Die DSGVO: So geht's rechtskonform - und ohne Klippen

Mit Harald Rossol oder Rainer Dedermann von b.r.m. in der Hansestadt Bremen als betrieblich Datenschutzbeauftragte sind Sie in sicheren Händen.

Die Europäische Datenschutz-Grundverordnung (DSGVO) aus dem Jahr 2018 weckte zunächst Befürchtungen bei vielen Unternehmen und auch bei Nutzern des Internets. Mit einem guten IT-Service als Weggefährte, wie bspw. dem von b.r.m., haben sich diese Ängste zumindest im Großraum Bremen als grundlos erwiesen.

 

Manches klar – und vieles unklar in Europa: Die DSGVO

 

Die neue Europäische Datenschutz-Grundverordnung (DSGVO) hatten viele Unternehmen und Netznutzer zu lange nicht auf dem Radar. Der erste Entwurf stammt aus dem Jahr 2012, beschlossen wurden die neuen Paragraphen im April 2016, am 25. Mai 2018 tritt die DSGVO jetzt in Kraft. Viel Zeit ging seither also ins Land. Das Ziel der Verordnung ist es, europaweit den Datenschutz auf eine einheitliche Grundlage zu stellen. Das Unterlaufen von Standards durch einzelne Mitgliedsstaaten soll mit ihr wirksam unterbunden werden.

Neu für den Nutzer von Online-Diensten ist sein ‚Recht auf Vergessenwerden‘. Er erhält die Möglichkeit, Auskunft über persönliche Daten zu erhalten, und er kann das Löschen von Daten verlangen, wenn eine Speicherung überfällig, unnötig oder unrechtmäßig ist. Weiterhin müssen alle Daten von nun an ‚portabel‘ sein: Auf Wunsch kann der Kunde eines Dienstes die Herausgabe seiner Daten in strukturierter Form verlangen, so dass er sie einem anderen Anbieter übergeben kann. Generell gelten für alle Datenverarbeitungsvorgänge im Internet und auch in Unternehmen zwei Prinzipien: ‚Privacy by Design‘ und ‚Privacy by Default‘ – d.h.: Der Schutz der Privatsphäre muss bereits beim Aufbau eines Datenverarbeitungsvorgangs berücksichtigt werden, und die Voreinstellungen müssen privatsphäreschützend eingerichtet sein.

Wer bei der Datenverarbeitung mit einem externen Dienstleister kooperiert, der darf bei b.r.m. heute schon sicher sein, dass unsererseits bei der Auftragsverarbeitung (AV) keine Verstöße gegen die neue Verordnung erfolgen, auch, dass die genannten Privacy-Prinzipien eingehalten werden. Das Anlegen eines ‚Verzeichnisses der Verarbeitungstätigkeiten‘, welches die DSGVO fordert, ist bei uns längst implementiert. Ferner sind alle Verarbeitungstätigkeiten lückenlos dokumentiert.  In allen Fragen rings um die DSGVO sind wir damit Ihr kompetenter Ansprechpartner, allein schon deshalb, weil Harald Rossol, unser Geschäftsführer, zugleich als anerkannter Datenschutzbeauftragter arbeitet. Beratung und Betreuung in allen Fragen der neuen Europäischen Datenschutz-Grundverordnung (DSGVO) liegen damit bei uns in besten Händen – von den Technischen und  Organisatorischen Maßnahmen (TOM) über die Sicherheitsanalyse und das Verzeichnis der Verarbeitungstätigkeiten bis hin zur Risikobewertung.

Betroffen von der DSGVO ist übrigens jeder, der personenbezogene Daten im Netz verarbeitet, vom kleinen Blogger bis hin zu globalen Giganten wie Facebook. Als ‚personenbezogen‘ gelten alle Merkmale wie Name, Geschlecht, Hautfarbe, politische Einstellung, aber auch Autokennzeichen oder Kleidergrößen. Sobald Daten u.a. erhoben, gespeichert, verändert, ausgelesen oder übertragen werden, gilt dies als eine ‚Verarbeitung‘. Wer eine Webseite betreibt, der muss künftig jeden Besucher darüber aufklären, welche Daten er zu welchem Zweck erhebt und speichert. Ausgenommen hiervon sind allein Justiz und Strafverfolgung. Kontrolliert wird die Einhaltung der DSGVO von den Datenschutzbehörden. Maßgeblich für die Zuständigkeit ist die Hauptniederlassung eines Betreibers oder Unternehmens.

Ändern wird sich für die Betreiber kleiner Webseiten zunächst wenig, weil die DSGVO in vieler Hinsicht den bisher gültigen Datenschutzgesetzen gleicht. Es genügt hier in den meisten Fällen, die Datenschutzerklärungen und Allgemeinen Geschäftsbedingungen (AGB) anzupassen. Vor allem sollen die Online-Datenschutzerklärungen künftig ‚allgemeinverständlich‘ sein, was natürlich einen weiten Interpretationsspielraum öffnet. Neu ist auch die ‚datenschutzrechtliche Selbstauskunft‘: Jedes Unternehmen muss innerhalb eines Monats einem Bürger Auskunft darüber geben, welche Informationen über ihn dort zu welchem Zweck und wie lange gespeichert sind.
Die Grenze zwischen ‚privat‘ und ‚kommerziell‘ wird allerdings trennschärfer. Poste ich Bilder meines heimischen Gartens, dann bleibt dies unkritisch. Verkaufe ich aber beispielsweise dort gezeigte Gartenmöbel, dann fällt die Webseite künftig unter die DSGVO. Das gilt auch für ‚Affiliate-Angebote‘, also dort, wo der Betreiber einer Webseite auf einen anderen Anbieter verlinkt. Derartige Plug-Ins, ob nun unter WordPress oder Firefox, sollten private Betreiber besser eliminieren, bis rechtliche Klarheit herrscht.

Wesentlich ist auf alle Fälle eine Anpassung der Datenschutzerklärung und der Geschäftsbedingungen auf jeder Webseite, sonst öffnet man bloß den ‚Abmahnwälten‘ Tür und Tor. Im Netz finden sich hierzu eine Fülle rechtskonformer Textvorlagen.

Für viel Alarm sorgten vor allem die angedrohten finanziellen Sanktionen bei Verstößen. Lag das Bußgeld bisher maximal bei 300.000 Euro, können jetzt – abhängig von der Schwere des Verstoßes – bis zu 20 Mio. Euro fällig werden (Art. 83). Eine Extra-Regel, die sich vor allem gegen die Tech-Giganten richtet, macht auch eine Strafe bis zu vier Prozent des weltweiten Umsatzes möglich, und letztlich auch den Zugriff aufs Privatvermögen.

Die erste Folge der DSGVO dürfte zunächst aber eine anhaltende Rechtsunsicherheit sein. Was sind bspw. ‚berechtigte Interessen‘ eines Unternehmens? Die Verordnung enthält eine Fülle von solchen schwammigen Formulierungen, die erst durch Gerichtsentscheidungen zu klären sind, vermutlich nach Jahren vor dem Europäischen Gerichtshof. Auch musste das nationale Datenschutzrecht durch ein neues Bundesdatenschutzgesetz an die DSGVO angepasst werden. Andererseits gibt es keine Fluchtmöglichkeit vor dieser Verordnung mehr, zum Beispiel nach Übersee. Die Verordnung gilt für alle, die innerhalb der EU Daten erheben oder auswerten wollen – sie gilt also auch für Google oder Facebook.

Bei Fragen zur neuen DSGVO und IT Service in Bremen wenden Sie sich einfach an uns …

Datenschutzbeauftragter: Weisungsfreie Kontrollfunktion

b.r.m. bietet Unternehmen die Tätigkeiten eines externen betrieblichen Datenschutzbeauftragten an. Aufgaben und Tätigkeiten eines internen oder externen Datenschutzbeauftragten regeln in Deutschland die Artt. 38 und 39 der Datenschutz-Grundverordnung (DSGVO) und die §§ 6 und 7 des...

Personenbezogene Daten

Was genau sind überhaupt personenbezogene Daten? Diese Frage stellte sich bestimmt schon jeder , der in den Medien das Thema Datenschutzgrundverordnung verfolgt oder den 101. Newsletter mit den neuen Datenschutzhinweisen zugestellt bekommen hat. Nach Art. 4 Nr. 1 DSGVO sind...

Privacy by Default

Wo ‚Privacy by Design‘ sich eher auf den technischen Aufbau eines datenverarbeitenden Systems bezieht, da fasst ‚Privacy by Default‘ die Konfiguration des Systems ins Auge, die ‚Voreinstellungen‘. Die Datenschutzgrundverordnung (DSGVO) verlangt, dass ‚nutzerfreundliche‘...

Privacy by Design

Die beiden Begriffe ‚Privacy by Design‘ und ‚Privacy by Default‘ sind älter als die neue Datenschutz-Grundverordnung (DSGVO). Durch das Gesetz haben sie allerdings ein ganz neues Gewicht erhalten (Art. 25 DSGVO). ‚Privacy by Design‘ meint, dass der technische Aufbau eines...

Alles unter Kontrolle?

Die Technisch-Organisatorischen Maßnahmen (TOM‘s) Die DSGVO macht eine ganze Reihe von technisch-organisatorischen Maßnahmen (TOM’s) jetzt zur Pflicht für jeden Anbieter und Verarbeiter digitaler Dienstleistungen. Nicht alle sind neu, oft handelt es sich auch um Bestimmungen, wie...

Manches klar – und vieles unklar in Europa: Die DSGVO – Fortsetzung

Der erste Entwurf der Verordnung stammt aus dem Jahr 2012; beschlossen wurden die neuen Paragraphen im April 2016; am 25. Mai 2018 trat die Datenschutz-Grundverordnung (auf Englisch General Data Protection Regulation – kurz GDPR) dann in Kraft. Die Intention der Verordnung ist es,...