Die DSGVO – was ist zu tun…?

Die Datenschutz Grundverordnung (DSGVO) tritt im Mai 2018 in Kraft und schafft damit innerhalb der Europäischen Union die Rechtsgrundlage für einen einheitlichen digitalen Binnenmarkt. Für Unternehmen bedeutet dies den Datenschutz in Zukunft ernster zu nehmen, als dies vielleicht in der Vergangenheit der Fall war. Die DSGVO ist sehr umfassend und gilt für alle Unternehmen, die in der EU tätig sind – egal ob Kleinunternehmer oder Konzern.

Leider hat sich durch die DSGVO auch schnell ein neuer Markt für Berater und Datenschutzexperten aufgetan. Es werden unzählige kostenpflichtige Vorträge, Broschüren und Informationsmappen angeboten. Häufig wird jedoch dort die sowieso schon sehr schwerfällige Verordnung der DSGVO nur in neue Worte gekleidet. Praktische Handlungsanweisungen für Unternehmen bieten diese in der Regel keine.

Im folgenden möchten wir einen kurzen Wegweiser und Leitfaden anbieten, welcher klein- und mittelgroßen Unternehmen helfen kann, die Neuregelungen der DSGVO praktisch umzusetzen.

Was muss beachtet werden?

In der DSGVO geht es um den Schutz von personenbezogenen Daten. Was ist damit nun eigentlich gemeint? Wir alle tauschen im täglichen Leben Daten aus. Sei es bei der Onlinebestellung im Internet oder beim Arztbesuch. Gerade aber im Internet werden personenbezogene Daten heute von den großen Internet Konzernen wie Google, Facebook oder Amazon als Geschäftsmodell benutzt – ohne dafür eine Grundlage zu haben. Die DSGVO als Rechtsgrundlage der Europäischen Union soll vor allem diese Art von Datenverarbeitung neu regeln. Für kleine Unternehmen bedeutet diese Regelung aber eben auch, dass diese mit personenbezogenen Daten zukünftig sorgfältiger umgehen müssen.

Was sind personenbezogene Daten?

Die DSGVO fasst den Begriff der personenbezogenen Daten sehr weit. Es geht dabei nicht nur um den Namen und die E-Mail Adresse einer Person, sondern auch um Daten wie Anschrift,  Ausweisnummer, Standortdaten, IP-Adressen, Cookie-Kennungen, Werbe-IDs oder Gesundheitsdaten. All diese Daten können zu einer eindeutigen Identifizierung einer Person führen. Nicht von der DSGVO betroffen sind hingegen Unternehmensdaten, also Informationen über Firmenkunden oder Lieferanten, mit denen der Unternehmer in Kontakt steht. Ein Ausnahme stellen hier die personenbezogenen Daten eines Ansprechpartners dar.

Zur Veranschaulichung möchte ich hier zwei Beispiele anführen:

Beispiel 1: Onlinehändler

Ein Hersteller von Energietechnik verkauft seine Produkte über das Internet sowohl an Privathaushalte als auch an Firmenkunden. Bei jedem Verkauf generiert er Auftragsdaten, wie eine Lieferadresse und eine Rechnungsadresse. Auch bietet er ein Kontaktformular im Internet an. Die dabei erfassten Daten sind unter Umständen geeignet einen Bezug zu einer Person herzustellen.

Beispiel 2: Optiker

Ein Optiker erfasst Kundenadressen von Privatpersonen und speichert für eine optimale Sehunterstützung und Kundenbetreuung die Ergebnisse aus einem durchgeführten Sehtest zusätzlich in einer Datenbank. Es handelt sich hierbei ausschließlich um personenbezogenen Daten. Hierunter fallen auch Daten von Kindern, die laut DSGVO sogar einen besonderen Schutz bei der Datenverarbeitung genießen.

Ist die Verarbeitung von personenbezogenen Daten erlaubt?

Was ist nun zu tun, wenn man personenbezogene Daten wie in den oben genannten Fällen verarbeitet oder speichert? In der DSGVO gilt das sogenannte „Verbot mit Erlaubnisvorbehalt„. Das heißt, jede Verarbeitung personenbezogener Daten ist verboten, es sei denn ein Gesetz erlaubt sie explizit. Und genau hier ist die DSGVO leider nicht sehr praxisorientiert. Konkret bedeutet dieses Verbot, dass künftig eine Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten vorhanden sein muss. Dabei gilt aber auch der Grundsatz, dass personenbezogene Daten verarbeitet werden dürfen, wenn dies zur Erfüllung eines Vertrages oder aufgrund gesetzlicher Verpflichtungen notwendig ist. Dies ist auch der Fall wenn die Datenverarbeitung aufgrund eines „berechtigten Interesses“ des Unternehmers erfolgt.

Schauen wir uns dazu die beiden oben aufgeführten Beispiele an, trifft dies sowohl beim Onlinehändler als auch beim Optiker zu.

Beispiel 1: Onlinehändler

Es werden Rechnungsdaten mit Anschrift erfasst, um die gesetzlichen Anforderungen an eine ordnungsgemäße Buchführung zu erfüllen – Bücher müssen bis zu 10 Jahre aufbewahrt werden. Die online Kontaktanfragen werden gespeichert, um ein Angebot erstellen zu können. Damit handelt es sich um ein „berechtigtes Interesse“.

Beispiel 2: Optiker

Hier werden sowohl Kundendaten (Name, Adresse) als auch zusätzliche persönliche Daten (Alter, Geschlecht, Sehfähigkeit) erfasst. Die Erfassung dieser Daten dient dem eigentlichen Unternehmenszweck – der Erbringung einer Dienstleistung. Auch hier handelt es sich um ein „berechtigtes Interesse“.

Für Unternehmen bedeutet dies: Es muss künftig dokumentiert werden, warum personenbezogene Daten verarbeitet werden – bzw. auf welcher Rechtsgrundlage diese erfolgt.

Dokumentation von Verarbeitungstätigkeiten

Unternehmen mit 250 oder mehr Mitarbeitern sind laut DSGVO verpflichtet ein umfangreiches Verzeichnis aller dort stattfindenden Datenverarbeitungsvorgänge zu führen. Aber diese Dokumentation empfiehlt sich auch für kleinere Unternehmen. Wie diese Dokumention genau auszusehen hat ist durch die DSGVO nicht vorgeschrieben. Von daher kann diese auf die selbe Art erfolgen, wie auch andere Informationen (z.B Dokumentation der Software, Zugangsdaten oder Netzwerkpläne) im Unternehmen dokumentiert werden.

Zurückkommend auf unsere beiden Beispielunternehmen würde der Onlinehändler eine Datei anlegen, in der die jeweiligen Webseiten aufgelistet sind, in denen der Kunde seine Rechnungs-, Lieferanschrift oder Kontaktdaten erfassen kann. Der Optiker würde hingegen auflisten, welche Daten eines Sehtests konkret in der Datenbank gespeichert werden. Auch muss dokumentiert werden, wie diese Daten z.B. durch ein Backup gesichert werden.

Für Unternehmen bedeutet dies: Zu jedem Datenverarbeitungsvorgang sollten folgende Informationen festgehalten werden:

  • auf welcher Rechtsgrundlage erfolgt die Erfassung (berechtigtes Interesse, Buchführungspflichten, usw.)
  • welche Art personenbezogener Daten werden zu welchem Zweck verarbeitet (Adresse, Sehstärke, Bankverbindung)
  • auf welche Art und Weise werden Daten gesammelt und gespeichert (Online Formular, Fragebogen, Datenbank, usw…)
  • wie lange werden die Daten aufbewahrt.

Die Einwilligung

Personenbezogene Daten dürfen natürlich weiterhin auch dann verarbeitet werden, wenn dafür die Einwilligung der Betroffenen vorliegt. Diese muss jedoch unter den neuen Regeln der DSGVO belegt werden und kann jederzeit vom Betroffenen widerrufen werden. Eine Einwilligung in digitaler Form – beispielsweise in einem Kontaktformular, sollte dabei mit Datums- und Zeitangabe protokolliert werden, um im Streitfall dies belegen zu können. Auf den Nachweis der Einwilligung sollte der Betroffenen – zum Beispiel durch eine Bestätigungsemail – dann nochmal explizit hingewiesen werden.

Beispiel 1: Onlinehändler

Im Falle des Onlinehändlers genügt hier eine sogenannte Opt-In Funktion im Kontaktformular, die der Kunde explizit auswählen muss.

Eine anschließende Bestätigung in einer E-Mail könnte wie folgt aussehen:

… Wir bestätigen Ihnen hiermit, dass Sie der Speicherung ihrer Daten am …. zugestimmt haben.

Beispiel 2: Optiker

Der Optiker muss den Kunden auf die Datenspeicherung mündlich hinweisen und die Zustimmung in seiner Datenbank vermerken, sowie dem Kunden einen entsprechenden Ausdruck seiner Daten aushändigen.

Hier kommt uns die bereits oben genannte Dokumentation der Verarbeitungstätigkeit  zu gute. Denn darin kann auch das entsprechende Opt-In Verfahren kurz beschrieben werden.

Für Unternehmen bedeutet dies: Kontaktformulare sollten mit einer Opt-In Funktion versehen werden. Erfasste Daten aus einem persönlichen Gespräch sollten dem Betroffenen ausgehändigt werden.

Neue Datenschutzerklärung

Die DSGVO verpflichtet Unternehmen dazu, Betroffene über die Verarbeitung personenbezogener Daten in einer Datenschutzerklärung zu informieren. Die Datenschutzerklärung muss dazu nun höheren Anforderungen genügen. Konkret geht es darum, dass alle Informationen „leicht zugänglich, verständlich und in klarer und einfacher Sprache“ abgefasst werden müssen. Gerade wenn es sich um die Daten von Kindern handelt, muss hier besonders auf eine klare Formulierung  geachtet werden.

Betroffene müssen auch über ihr Recht auf Auskunft der über sie verarbeiteten Daten informiert werden, sowie ihr Recht auf Datenübertragbarkeit, Berichtigung der Daten, Widerspruch gegen die Verarbeitung, sowie auf das Recht auf Vergessenwerden. Darüber hinaus müssen Betroffene auch über den Zweck und die Rechtsgrundlage der Datenverarbeitung aufgeklärt werden.

Für Unternehmen bedeutet dies: Überprüfen Sie Ihre aktuelle Datenschutzerklärung und ergänzen Sie diese ggf.. Im Internet gibt es zahlreiche Vorlagen, die auch die DSGVO berücksichtigen.

Auskunftspflicht

Unternehmen müssen zukünftig auf Anfrage einer Person jederzeit darüber Auskunft geben, ob personenbezogene Daten über diese Person verarbeiten werden oder nicht. Unternehmen sind außerdem verpflichtet, auf Anfrage eine Kopie solcher personenbezogenen Daten zur Verfügung zu stellen. D.h. es muss ggf. ein Formular vorbereitet werden, in dem alle personenbezogenen Daten eines Betroffenen eingetragen sind. Hier kann es tatsächlich sein, dass vorhandene Software Systeme angepasst werden müssen. Solche Anfragen müssen laut DSGVO „unverzüglich“, laut EU-Kommission grundsätzlich „spätestens innerhalb eines Monats nach Eingang des Antrags“ beantwortet werden.

Beispiel 1: Onlinehändler

Der Onlinehändler sollte in der Lage sein die Daten aus einer Kontaktanfrage auszudrucken und auf Verlangen per E-Mail an den Betroffenen übertragen zu können. Diese Übertragung gilt nur für personenbezogene Daten, Informationen über Firmenkunden müssen hier nicht übermittelt werden.

Beispiel 2: Optiker

Der Optiker muss in der Lage sein, die Ergebnisse eines Sehtests auf Verlangen ausdrucken, um diese dem Betroffenen aushändigen können.

Für Unternehmen bedeutet dies: Überprüfen Sie, ob ihre Software eine geeignete Funktion zum Ausdruck der erfassten Daten aufweist.

Löschung von Daten

Eine besondere Herausforderung der DSGVO stellt das „Recht auf Vergessenwerden“ dar. Hier geht es darum, dass der Betroffene das Unternehmen auffordern kann, seine Daten zu löschen. Hier treffen jedoch eine Vielzahl sehr unterschiedlicher Regelungen und Gesetze aufeinander. So können beispielsweise Gesetze zur Buchführung oder  Gewährleistungspflichten diesem Recht widersprechen.

Schauen wir uns hierzu wieder die beiden Beispiele an:

Beispiel 1: Onlinehändler

Wird der Onlinehändler von einem Betroffenen aufgefordert, dessen Daten zu löschen, ist dies für die erfassten Daten über ein Kontaktformular unstrittig. Diese Daten müssen unverzüglich gelöscht werden. Anders sieht es jedoch mit den Adressdaten bei einem Kaufvertrag aus. Diese sind Teil der Geschäftsbücher, welche 10 Jahre aufbewahrt werden müssen. Eine Lösung ist hier also gar nicht möglich. D.h. Rechnungen, Lieferscheine oder Bestellungen mit der Adresse und dem Namen des Betroffenen müssen in einem solchen Fall nicht gelöscht werden und dürfen vom Unternehmer weiterhin gespeichert werden. Auch die Unternehmensdaten eines Firmenkunden fallen nicht unter das „Recht auf Vergessenwerden„. Anders sieht es jedoch mit den personenbezogenen Daten eines Ansprechpartners innerhalb einer Firma aus. Wir werden dies weiter unten unter dem Begriff Anonymisierung behandeln.

Beispiel 2: Optiker

Komplizierter ist hier der Fall des Optikers, der die Daten eines durchgeführten Sehtests speichert. Letztendlich sind diese Daten ja die Grundlage für die Herstellung einer Sehhilfe und damit Teil der Produktdokumentation, die im Falle eines Gewährleistungsanspruchs von hoher Bedeutung für den Unternehmer ist. D.h. wird der Optiker vom Betroffenen aufgefordert die Daten zu löschen, kann er dies verweigern, wenn der Gewährleistungsanspruch noch nicht erloschen ist. Wurden hingegen die Daten erfasst, ohne dass es später zu einem Vertrag kam, müssen diese Daten auf Verlangen unverzüglich gelöscht werden – hier besteht dann kein berechtigtes Interesse mehr zur Speicherung dieser Daten.

Die regelmäßige Datenlöschung

In beiden Beispielen gilt aber auch, dass Daten immer nur so lange aufbewahrt werden dürfen, solange ein Rechtsanspruch oder ein berechtigtes Interesse zur Datenspeicherung besteht. Dies bedeutet, dass die Daten aus dem Online Kontaktformular spätestens nach 3 Jahren automatisch gelöscht werden sollten. Auch die Daten aus durchgeführten Sehtests sollten nach dieser Frist bzw. nach Ablauf der Gewährleistung automatisch gelöscht werden. Hierzu sind ggf. wieder Anpassungen an der Software notwendig.

Aggregierung von Daten

Eine Alternative zur vollständigen Lösung von Daten ist die Aggregierung der Daten, so dass ein Rückschluss auf eine Person nicht mehr möglich ist. Der Vorteil hier ist, dass zwar die Daten gelöscht wurden, diese aber als statistische Daten weiterhin vorliegen. Z.b. Anzahl der Kontaktanfragen pro Monat, oder Anzahl der durchgeführten Sehtests bei Männern und Frauen.

Die Anonymisierung von Daten

Neben der vollständigen Löschung eines Datensatzes ist auch die Anonymisierung möglich. D.h. es werden hier einfach alle Merkmale, die zur Identifizierung einer Person verwendet werden können (Name, E-Mail, Adresse,…) aus dem Datensatz entfernt.

Ein konkreter Anwendungsfall sind hier die Firmendaten aus dem Beispiel des Onlinehändlers. Firmendaten fallen erst einmal nicht unter die DSGVO und müssen daher auch nicht gelöscht werden. Anders sieht es jedoch aus, wenn in solch einem Datensatz auch der Name eines Ansprechpartners gespeichert ist. Es macht hier jedoch keinen Sinn den gesamten Datensatz zu löschen, da dieser ja für die weitere Geschäftstätigkeit wertvoll ist. Um der DSGVO hier zu entsprechen sollte der Name eines Ansprechpartners nach 3 Jahren bzw. auf Verlangen des Betroffenen anonymisiert werden. Hier genügt es, den Namen aus dem Kontaktformular oder dem betreffenden Datensatz zu löschen oder unkenntlich zu machen – z. B. durch den Eintrag ‚Max Mustermann‘.

Weitergabe personenbezogener Daten

Insbesondere für IT-Unternehmen und Plattformanbieter hält die DSGVO weitere Herausforderungen bereit. Sobald personenbezogene Daten an Dritte zur Verarbeitung weitergegeben werden – sogenannte Auftragsverarbeitung -, sollte ein Auftragsverarbeitungsvertag erstellt werden. Dieser regelt die Rechte und Pflichten des Auftragsverarbeiters und bestätigt, dass dieser ebenfalls DSGVO-konform arbeitet, wozu unter anderem wiederum ein eigenes Verzeichnis der Datenverarbeitungsvorgänge zählt. Werden personenbezogene Daten also an Dritte weitergegeben, sind im Zuge der DSGVO also besondere Maßnahmen erforderlich.

Fazit

Im Grunde gilt bei der DSGVO, dass alle personenbezogenen Daten besonders schützenswert sind. Der Umgang mit ihnen sollte mit Bedacht erfolgen. Personenbezogene Daten sind nicht mehr einfach nur Einträge in einer Datenbank oder eine Zeile in einer Excel Datei. Es handelt sich um persönliche Daten, die vertraulich sind und mit Sorgfalt zu behandeln sind. Den Handel mit personenbezogenen Daten sollte man generell überdenken. Und bei der Speicherung von Gesundheitsdaten oder Daten von Kindern fordert der Gesetzgeber nun besondere Sorgfaltspflichten ein – was im Grunde selbstverständlich sein sollte.

Die Imixs Software Solutions GmbH ist ein Spezialanbieter von Geschäftsprozessmanagement Lösungen und befasst sich daher seit langem mit der Verarbeitung von Daten und deren Dokumentation. Die Workflow Lösung Imixs-Office-Workflow bietet in der neuesten Version bereits vorgefertigte Prozesse für die DSGVO, welche die Dokumentation, Freigabe und Lösung der Datenerfassung im Unternehmen unterstützen.

Setzen Sie sich mit uns in Verbindung – wir helfen Ihnen mit einer passenden Lösung für Ihr Unternehmen.