Der erste Entwurf der Verordnung stammt aus dem Jahr 2012; beschlossen wurden die neuen Paragraphen im April 2016; am 25. Mai 2018 trat die Datenschutz-Grundverordnung (auf Englisch General Data Protection Regulation – kurz GDPR) dann in Kraft. Die Intention der Verordnung ist es, europaweit den Datenschutz auf eine kongruente Grundlage zu stellen. Das Unterlaufen von Standards durch einzelne Mitgliedsstaaten sollte mit ihr wirksam unterbunden werden.

Neu für den Nutzer von Online-Diensten ist vor allem sein ‚Recht auf Vergessenwerden‘. Er erhält die Möglichkeit, das Recht, Auskunft über die gespeicherten persönliche Daten zu erhalten, und er kann das Löschen von Daten verlangen, wenn eine Speicherung “überfällig”, “unnötig” oder “unrechtmäßig” erscheint. Weiterhin müssen alle Daten von nun an ‚portabel‘ sein: Auf Wunsch kann der Kunde eines Dienstes die Herausgabe seiner Daten in strukturierter Form verlangen, so dass er diese einem anderen Anbieter übergeben kann. Generell gelten für alle Datenverarbeitungsvorgänge im Internet, wie auch in Unternehmen zwei Prinzipien: ‚Privacy by Design‘ und ‚Privacy by Default‘ – das heißt: Der Schutz der Privatsphäre muss bereits beim Aufbau eines Datenverarbeitungsvorgangs miteinbezogen werden, und die Voreinstellungen müssen privatsphäreschützend eingerichtet sein.

Wer bei der Datenverarbeitung mit einem externen Dienstleister kooperiert, der darf sich bei b.r.m. heute schon sicher sein, dass unsererseits bei der Auftragsverarbeitung (AV) keine Verstöße gegen die neue Verordnung erfolgen. Auch die genannten Privacy-Prinzipien werden stets strikt eingehalten. Das Anlegen eines ‚Verzeichnisses der Verarbeitungstätigkeiten‘, welches die DSGVO fordert, ist bei uns längst implementiert. Ferner sind alle Verarbeitungstätigkeiten lückenlos dokumentiert. In allen Fragen rings um die DSGVO sind wir damit Ihr kompetenter Ansprechpartner, allein schon deshalb, weil Harald Rossol, der Geschäftsführer von b.r.m., zugleich als anerkannter Datenschutzbeauftragter arbeitet. Assistiert wird er hierbei von dem Senior Consultant Rainer Dedermann – genügend ‘Manpower’ ist bei b.r.m. damit stets vorhanden.

Beratung und Betreuung in allen Fragen der neuen Europäischen Datenschutz-Grundverordnung (DSGVO) für Bremen und Umgebung läuft mit uns an Ihrer Seite völlig reibungslos – von den Technischen und  Organisatorischen Maßnahmen (TOM) über die Risikobewertung bis hin zum Verzeichnis der Verarbeitungstätigkeiten.

Von der DSGVO ist übrigens jeder betroffen, der personenbezogene Daten im Netz verarbeitet, vom kleinen Blogger bis hin zu globalen Giganten wie Facebook oder Google. Als ‚personenbezogen‘ gelten alle Merkmale wie Name, Geschlecht, Hautfarbe, politische Einstellung und sexuelle Orientierung, aber auch Autokennzeichen oder Kleidergrößen. Sobald Daten u.a. erhoben, gespeichert, verändert, ausgelesen oder übertragen werden, gilt dies als eine ‚Verarbeitung‘. Wer eine Webseite betreibt, der muss künftig jeden Besucher darüber aufklären, welche Daten er zu welchem Zweck erhebt und speichert. Ausgenommen hiervon sind allein Justiz und Strafverfolgung. Kontrolliert wird die Einhaltung der DSGVO von den Datenschutzbehörden. Maßgeblich für die Zuständigkeit ist die Hauptniederlassung eines Betreibers oder Unternehmens.

Auch nicht unbedeutend: Die Online-Datenschutzerklärungen müssen künftig ‚allgemeinverständlich‘ sein, sie dürfen also kein ‘Juristen-Chinesisch’ enthalten, was natürlich einen breiten Interpretationsspielraum öffnet. Neu ist auch die ‚datenschutzrechtliche Selbstauskunft‘: Jedes Unternehmen muss innerhalb eines Monats einem Bürger Auskunft darüber geben, welche Informationen über ihn dort zu welchem Zweck und wie lange gespeichert sind.

Die Grenze zwischen ‚privat‘ und ‚kommerziell‘ wird jetzt trennschärfer gefasst. Poste ich bspw. Bilder meines  Gemüsegärtchens, dann bleibt dies unkritisch. Verkaufe ich aber die dort gezeigte Hollywoodschaukel, dann fällt die Webseite künftig unter die Datenschutz-Grundverordnung. Das gilt auch für ‚Affiliate-Angebote‘, also dort, wo der Betreiber einer Webseite auf einen anderen Anbieter verlinkt. Derartige Plug-Ins, ob nun unter WordPress oder Firefox, sollten private Betreiber besser abschalten, bis rechtliche Klarheit herrscht.

Wesentlich ist auf alle Fälle eine Adaption der Datenschutzerklärung und der allgemeinen Geschäftsbedingungen auf jeder Webseite, sonst öffnet man bloß den ‚Abmahnwälten‘ Tür und Tor. Fragen Sie im Zweifel einfach unsere betrieblichen Datenschutzbeauftragten Harald Rossol und Rainer Dedermann.

Für viel Unruhe sorgten vor allem die angedrohten finanziellen Sanktionen bei Verstößen. Lag das Bußgeld bisher maximal bei 300.000 Euro, können jetzt – abhängig von der Schwere des Verstoßes – bis zu 20 Mio. Euro fällig werden (Art. 83 DSGVO). Eine Extra-Regel, die sich vor allem gegen die Tech-Giganten richtet, macht auch eine Strafe bis zu vier Prozent des weltweiten Umsatzes möglich, und letztlich auch den Zugriff aufs Privatvermögen.

Bei Vorliegen eines Datenschutzvorfalles hat eine Meldung an die zuständige Datenschutzbehörde immer zu erfolgen (Meldepflicht), außer wenn die Datenschutzverletzung voraussichtlich nicht zu einem Risiko für den Betroffenen führt. Wenden Sie sich in jedem Fall an Ihren Datenschutzbeauftragten. Auch die betroffenen Personen müssen benachrichtigt werden, wenn ein hohes Risiko für deren Rechte und Freiheiten bestehen könnte. Ein hohes Risiko liegt beispielsweise vor, wenn Daten aus den “besonderen Kategorien” (Art. 9 DSGVO), z. B. Gesundheitsdaten oder politische Ansichten, in unbefugte Hände geraten.

Die DSGVO lässt natürlich noch manche Fragen offen: Was sind bspw. ‚berechtigte Interessen‘ (Art. 6 Abs. 1 lit. f) DSGVO) eines Unternehmens? Die Verordnung enthält eine Fülle von solchen schwammigen Formulierungen, die erst durch Gerichtsentscheidungen zu klären sind. Hilfestellungen geben die Erwägungsgründe. Auch musste das nationale Datenschutzrecht durch ein neues Bundesdatenschutzgesetz an die DSGVO angepasst werden. Andererseits gibt es jetzt keine Fluchtmöglichkeit vor dieser Verordnung mehr, zum Beispiel nach Übersee. Der Rahmen ist für alle gleich. Die Verordnung gilt unabhängig von der Herkunft für jeden, der innerhalb der EU Daten erheben oder auswerten will – sie gilt also auch für Google oder Facebook.

Das Bundesdatenschutzgesetz (BDSG) ergänzt die DSGVO durch einige sogenannte ‚Öffnungsklauseln‘. Dies ist beispielsweise der Fall in  § 26 BDSG, der die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses ausführt. Hier hat der Gesetzgeber spezifischere Vorschriften festgelegt.

Bei Fragen zur neuen DSGVO und zu einem rechtskonformen IT Service in der Hansestadt Bremen und Umgebung wenden Sie sich am besten einfach an uns. Gerne können Sie sich direkt mit unseren Datenschutzbeauftragten Harald Rossol und Rainer Dedermann in Verbindung setzen.

Die Technisch-Organisatorischen Maßnahmen (TOM‘s)

Die DSGVO macht eine ganze Reihe von technisch-organisatorischen Maßnahmen (TOM’s) jetzt zur Pflicht für jeden Anbieter und Verarbeiter digitaler Dienstleistungen. Nicht alle sind neu, oft handelt es sich auch um Bestimmungen, wie sie sich bereits in den nationalen Datenschutzgesetzen fanden. In der Regel handelt es sich stets um Kontrollmaßnahmen, die auch dokumentiert und zertifiziert sein müssen. Hier die zehn wichtigsten TOM‘s, welche das Pflichtenheft der DSGVO jetzt umfasst:

1. Zugangskontrolle: Unbefugte sind von allen Einrichtungen, mit Hilfe derer eine Datenverarbeitung durchgeführt wird, fernzuhalten.

2. Zugriffskontrolle: Es muss sichergestellt sein, dass Mitarbeiter nur auf jene Daten Zugriff haben, welche ihrer Zugangsberechtigung entsprechen.

3. Datenträgerkontrolle: Es ist sicherzustellen, dass Daten nicht unbefugt ausgelesen, verändert oder gar gelöscht werden können.

4. Transportkontrolle: Personenbezogene Daten müssen auch bei der Übermittlung oder beim Transport von Datenträgern vertraulich und integer bleiben.

5. Speicherkontrolle: Der Anbieter muss sicherstellen, dass keine Daten unbefugt eingegeben, verändert oder gelöscht werden können.

6. Benutzerkontrolle: Jede Nutzung einer automatisierten Verarbeitung durch Unbefugte muss ausgeschlossen sein.

7. Übertragungskontrolle: Für alle personenbezogenen Daten muss gewährleistet sein, dass sie nur jenen Stellen zur Verfügung gestellt werden, die zur Kenntnisnahme berechtigt sind.

8. Eingabekontrolle: Auch nachträglich muss sichergestellt sein, dass jeder Nutzer, der Daten eingab oder veränderte, dauerhaft zugeordnet werden kann.

9. Auftragskontrolle: Es muss sichergestellt sein, dass Daten die im Auftrag verarbeitet werden, nur gemäß den Weisungen des Auftraggebers verarbeitet werden.

10. Verfügbarkeitskontrolle: Personenbezogene Daten müssen sicher vor Zerstörung oder Verlust geschützt sein.

Hinzu kommen noch einige technische und organisatorische Bedingungen, die sich auf die systemischen Eigenschaften der eingesetzten Geräte beziehen:

1. Wiederherstellbarkeit: Im Falle einer technischen Panne müssen die Daten fehlerfrei rekonstruiert werden können.

2. Zuverlässigkeit: Alle Funktionen eines datenverarbeitenden Systems müssen stets unterbrechungsfrei zur Verfügung stehen, auftretende Fehlfunktionen sind meldepflichtig.

3. Integrität: Es ist sicherzustellen, dass Daten nicht durch Fehlfunktionen der Technik verändert oder beschädigt werden können.

4. Trennbarkeit: Der Anbieter muss gewährleisten, dass Daten, die zu unterschiedlichen Zwecken erhoben wurden, auch getrennt verarbeitet werden können.

Bei der Umsetzung der neuerdings erforderlichen Technisch-Organisatorischen Maßnahmen (TOM’s) stehen Ihnen die zertifizierten Datenschutzbeauftragten bei b.r.m. sehr gerne zur Seite:

Rainer Dedermann & Harald Rossol

Die beiden Begriffe ‚Privacy by Design‘ und ‚Privacy by Default‘ sind älter als die neue Datenschutz-Grundverordnung (DSGVO). Durch das Gesetz haben sie allerdings ein ganz neues Gewicht erhalten (Art. 25 DSGVO).

‚Privacy by Design‘ meint, dass der technische Aufbau eines datenverarbeitenden Systems so gestaltet sein muss, dass der Datenschutz schon automatisch in das System integriert ist. Anders ausgedrückt: Der Datenschutz muss eine Systemeigenschaft sein. Dies geschieht durch die ‚Technischen und Organisatorischen Maßnahmen‘ (TOM) bei der Installation der Rechner und bei der Implementierung ihrer Programme. Hier ist der Hersteller am Zug.

Konkret nennt die DSGVO bei den Maßnahmen allerdings nur die Pflicht zur Pseudonymisierung (Art. 25, Abs. 1). Diese wird in Art. 4, Abs. 5 dann näher definiert. In allen anderen Punkten aber ist die DSGVO dann äußerst ‚schwammig‘:
„…Maßnahmen können unter anderem darin bestehen, dass die Verarbeitung personenbezogener Daten minimiert wird, personenbezogene Daten so schnell wie möglich pseudonymisiert werden, Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten hergestellt wird, der betroffenen Person ermöglicht wird, die Verarbeitung personenbezogener Daten zu überwachen, und der Verantwortliche in die Lage versetzt wird, Sicherheitsfunktionen zu schaffen und zu verbessern …“ (Erwägungsgrund 78).

‚So schnell wie möglich‘, ‚Transparenz herstellen‘, ‚minimieren‘, ‚in die Lage versetzen‘ – alles Formulierungen, die bisher kaum mehr als einen weiten Interpretationsspielraum schaffen.
Kurzum: Die Regel des ‚Privacy by Design‘ erlaubt keine standardisierte Antwort, sie ist abhängig von den jeweiligen Anforderungen im Datenschutz. Klar ist aber, dass schon beim Aufbau eines datenverarbeitenden Systems und bei der Auswahl und Implementierung der eingesetzten Technik und Software mögliche Anforderungen der DSGVO zu berücksichtigen sind.

Fragen Sie b.r.m. in Bremen. Neben unseren Ressourcen im Datenschutz durch Harald Rossol und Rainer Dedermann, verfügen wir auch über umfassende Expertise im Bereich IT.

Wo ‚Privacy by Design‘ sich eher auf den technischen Aufbau eines datenverarbeitenden Systems bezieht, da fasst ‚Privacy by Default‘ die Konfiguration des Systems ins Auge, die ‚Voreinstellungen‘. Die Datenschutzgrundverordnung (DSGVO) verlangt, dass ‚nutzerfreundliche‘ Werkseinstellungen gewählt werden müssen. Gerade ‚User‘, die wenig technikaffin sind, sollen durch ‚Privacy by Default‘ rechtlich verbindlich geschützt sein.

Anlass für diese Regelung war das ‚Privacy Paradox‘: Es gibt nutzerseitig einerseits das Bedürfnis nach einem umfassenden Schutz persönlicher Daten. Andererseits sind viele Anwender nicht in der Lage, oder auch nicht willens, die technischen Einstellungen eines Systems selbsttätig entsprechend anzupassen. Die Anbieterseite steht durch die DSGVO hier jetzt in der Pflicht, diesen Schutz zunächst ihrerseits zu gewährleisten.

Es gibt natürlich Grenzen: Die DSGVO spricht nebulös vom Stand der Technik, von Implementierungskosten, vom Umfang, den Umständen und dem Zweck der Verarbeitung. Klar ist in jedem Fall, allein schon durch den verwendeten Plural beim Wort ‚Maßnahmen‘, dass eine einzelne Aktion hier zumeist nicht ausreicht. Notwendig ist in fast jedem Fall ein ganzes Bündel von ‚Maßnahmen‘.

Der Artikel 25, Abs. 3 DSGVO gibt übrigens jedem Anbieter die Möglichkeit, sich zertifizieren zu lassen. Eine Zertifizierung im Sinne des Art. 42 DSGVO schafft hier Rechtssicherheit – zum Beispiel durch die zertifizierten externen Datenschutzbeauftragten Harald Rossol bei b.r.m. in Bremen.
Fragen Sie im Falle eines Falles einfach uns …

Was genau sind überhaupt personenbezogene Daten? Diese Frage stellte sich bestimmt schon jeder , der in den Medien das Thema Datenschutzgrundverordnung verfolgt oder den 101. Newsletter mit den neuen Datenschutzhinweisen zugestellt bekommen hat.

Nach Art. 4 Nr. 1 DSGVO sind personenbezogene Daten alle Infomationen, die sich entweder direkt oder indirekt (mittels Zuordnung zu einer Kennung) eindeutig einer Person, der sogenannten “betroffenen Person”, zuordnen lassen.

Gemeint sind damit wirklich alle Daten, die in jeglicher Hinsicht einer natürlichen Person zuzuordnen sind. Unter “personenbezogen” ist damit nicht nur der Name, das Geburtsdatum oder die Adresse gemeint sondern auch die IP-Adresse, das KFZ-Kennzeichen und sogar die Kleidergröße.

Besonders sensibel sind personenbezogene Daten über…

• die rassische oder ethische Herkunft,
• politische Meinungen oder Gewerkschaftszugehörigkeit,
• religiöse oder weltanschauliche Überzeugung,
• Gesundheit, Sexualleben und die sexuelle Orientierung sowie
• genetische und biometrische Daten sowie auch Daten über Strafdaten

Diese Daten genießen gemäß Art. 9 Abs. 1 DSGVO einen besonderen Schutz.

Bei der Verarbeitung personenbezogener Daten aus diesen “besonderen Kategorien” sollten verschärfte Schutzmaßnahmen umgesetzt werden. Verarbeitet ihr Unternehmen in Bremen oder Umgebung sensible Daten? Nein? Sehr wahrscheinlich irren Sie sich, da schon allein die Aufführung der Religion in der Personalakte ein sensibles Datum darstellt.

Bei weiteren Fragen steht Ihnen unser Datenschutz-Team gerne zur Verfügung…

b.r.m. bietet Unternehmen die Tätigkeiten eines externen betrieblichen Datenschutzbeauftragten an.

Aufgaben und Tätigkeiten eines internen oder externen Datenschutzbeauftragten regeln in Deutschland die Artt. 38 und 39 der Datenschutz-Grundverordnung (DSGVO) und die §§ 6 und 7 des Bundesdatenschutzgesetzes (BDSG neu). Hinzu kommen landesrechtliche Vorschriften. Der Beauftragte für Datenschutz soll die Einhaltung der DSGVO, des BDSG und anderer Gesetze kontrollieren (Telemedien-Gesetz (TMG) oder Telekommunikations-Gesetz (TKG)). Der Datenschutzbeauftragte handelt stets unabhängig und weisungsfrei.

Alle Unternehmen und Vereine, die nichtöffentlichen Stellen, müssen einen Datenschutzbeauftragten benennen, sobald mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder die Stellen personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten. ‚Automatisiert‘ ist jede Verarbeitung, die elektronische Datenverarbeitungsgeräte (z. B. PCs) für den Geschäftsablauf verwendet. Außerdem sollte ein Datenschutzbeauftragter benannt werden, wenn eine Datenschutzfolgenabschätzung durchgeführt werden muss. Der Datenschutzbeauftragte entstammt entweder ‚intern‘ der Organisation, oder er muss ‚extern‘ benannt werden und muss der zuständigen Aufsichtsbehörde gemeldet werden. Fristen gibt es seit der DSGVO nicht mehr, demnach sollte der Datenschutzbeauftragte schnellstmöglich mitgeteilt werden, um mögliche Strafen zu vermeiden.

Datenschutzbeauftragter kann nicht jeder werden. Er oder sie muss drei Hauptkriterien erfüllen:

1. berufliche Qualifikation und Fachwissen im Bereich des Datenschutzrechts

2. Fachwissen auf dem Gebiet der Datenschutzpraxis

3. Fähigkeit zur Erfüllung der in Art. 39 DSGVO genannten Aufgaben.

Dazu sollte ein Datenschutzbeauftragter natürlich auch Diskretion wahren können sowie ein gewisses Konfliktlösungs- und Organisationstalent mitbringen.

Wer die Funktion eines Datenschutzbeauftragten nicht ‚aus Bordmitteln‘ erfüllen kann, darf gern uns und unsere Erfahrung ‚extern‘ von b.r.m. nutzen. Für Fragen stehen Ihnen die betrieblichen Datenschutzbeauftragten Harald Rossol sowie Senior Consultant Rainer Dedermann zur Verfügung.