Datenschutz gestalten

Wichtigste Datenschutz-To-Dos:

Informieren – aufklären – einwilligen … Sonst dürfen Sie keine Daten verarbeiten!
Was ist zu tun?
(Die einzelnen Begriffe sind weiter unten ausführlicher erklärt – hier geht es um die Strategie!)

Webseite
- Datenschutzerklärung auf die Website
- Ansprechpartner ins Impressum
  Wer ist für die Inhalte verantwortlich (Verantwortliche Stelle)?
  Bilder – weisen Sie die Bildquellen und Fotografen für jedes Bild nach!
- SSL-Zertifikat (https) bei Kontaktformular
- Cookie-Banner – informieren zu ein- und ausschaltbaren Cookies
- Newsletter
Auftragsverarbeitung (AV) – gemeinsame Haftung
- Artikel 28 DSGVO – verarbeiten Sie personenbezogene Daten (pbD) gemeinsam mit Dritten?
  Schließen Sie mit Ihren regelmäßige Geschäftspartnern einen Vertrag ab,
  der die Haftung begrenzt.
Technisch-organisatorische Maßnahmen (TOMs)
- dokumentieren Sie Ihre Sicherheitsmaßnahmen für die pbD
Verzeichnis der Verarbeitungstätigkeiten (VVT)
- dokumentieren Sie alle Vorgänge in Ihrer Organisation, bei denen personenbezogene Daten beteiligt sind!

Tipp: offizielle Informationen zum neuesten Stand finden Sie bei https://deinedatendeinerechte.de/

Ich wünsche Ihnen, dass Ihre Daten immer sicher sind!
Gerne berate ich Sie bei der Umsetzung Ihres Datenschutzes.

Ihre Kerstin Armbrust

Die wichtigsten Begriffe zum Datenschutz kurz erklärt

Datenschutz auf der Webseite

Diese Inhalte gehören auf die Webseite – ein kurzer Überblick, was zu beachten ist.
(pbD sind die personenbezogenen Daten)

Datenschutzerklärung auf die Website
Welche Tools nutzen Sie auf der Webseite?
Welche und wie viele personenbezogene Daten (pbD) verarbeiten Sie?
Dies muss in auf der Webseite nach Artikel 13 der DSGVO angegeben werden.
Impressum
Wer ist für die Inhalte verantwortlich (Verantwortliche Stelle)?
Wie ist der Ansprechpartner erreichbar?
Was ist mit der Haftung für Links auf externe Seiten?
Bilder – weisen Sie die Bildquellen und Fotografen für jedes Bild nach!
Sind die abgebildeten Personen einverstanden?
SSL-Zertifikat (https)
Ist die Webseite verschlüsselt?
Gesetzlich vorgeschrieben, wenn die Webseite ein Kontaktformular enthält!
(das SSL-Zertifikat erhalten Sie z. B. beim Provider)
Kontaktformular?
Einwilligung einholen!
Sie muss klar formuliert sein, freiwillig erfolgen (aktives Anklicken)
und ist widerrufbar – Hinweis muss enthalten sein
Cookie-Banner
Werbung und Tracking?
Die Nutzer müssen freiwillig einwilligen
und erkennen können, welche Cookies eingesetzt werden
und diese gezielt ausschalten können
Newsletter
Nur die Mailadresse abfragen – Versand nur nach Einwilligung
das Abbestellen muss jederzeit möglich sein

Auftragsverarbeitung (AV)

Verarbeiten Sie Daten gemeinsam mit Dritten? Dann haften Sie auch gemeinsam.

Daten werden an Ihre Lieferanten oder Kunden weitergegeben … und eigentlich bräuchten Sie hierfür jeweils eine Einwilligung der Betroffenen – das wäre ein Einwilligungsmarathon-Chaos!
Hier greift der Artikel 28 der DSGVO:
Wenn der Auftragnehmer sich völlig den Weisungen des Auftraggebers unterwirft,
ist keine weitere Einwilligung notwendig. Ein AV-Vertrag reicht aus.

Also ist der AV-Vertrag – meiner Meinung nach – datenschutzrechtlich gesehen sogar eine Vereinfachung.

Wichtig sind im AV-Vertrag noch die TOMs (Maßnahmen, mit denen der Auftragnehmer für die Sicherheit der pbD sorgt)

Schließen Sie, wenn Sie eine Leistung erbringen, mit Ihren regelmäßige Geschäftspartnern einen Vertrag ab, der die Haftung begrenzt.
Welche Sicherheitsmaßnahmen trifft Ihr Auftragsverarbeiter für die pbD?

Den AV-Vertrag können Sie sich zum Beispiel auf der Webseite des/der zuständigen Landesdatenschutzbeauftragten herunterladen.

Standardmäßig besteht der Vertrag aus vier Teilen:

Der eigentliche Vertragstext zur Haftung
Anlage 1: Der Zweck der Auftragsverarbeitung
Anlage 2: Relevant, wenn Subunternehmer existieren (also Daten nochmals weitergegeben werden)
Anlage 3: die TOMs – welche Maßnahmen der Auftragsnehmer trifft, um für die Sicherheit der pbD zu garantieren

Machtverhältnisse

Bei kleinen Unternehmen können Sie Ihre AV-Vertragsvorlage nutzen (und die TOMs sowie die Haftungsmodalitäten vorschreiben). Bei größeren Unternehmen als Gegenüber müssen Sie meist deren AV-Vertrag unterzeichnen. Prüfen Sie jeweils, ob Sie die verlangten Sicherheitsmaßnahmen auch erbringen können!

Das Prüfen von AV-Verträgen gehört auch zu den Aufgaben eines Datenschutzbeauftragten.

TOMs - Technisch-organisatorische Maßnahmen

Welche Maßnahmen treffen Sie, um die Sicherheit der personenbezogenen Daten zu garantieren,
die Ihnen deren Besitzer überlassen haben?

Ein Beispiel: Maßnahmen gegen den Einbruch in der Wohnung

Technische Maßnahme: Sicherheits-Haustüre mit Sicherheitsschloss

Organisatorische Maßnahme: Abschließen!

VVT - Verzeichnis der Verarbeitungstätigkeiten

Das Verzeichnis der Verarbeitungstätigkeiten führt alle Prozesse auf, bei denen personenbezogene Daten (pbD) fließen.

Dies kann in Form einer großen Tabelle oder z. B. eines PDF-Dokuments pro Vorgang erfolgen. Genaue gesetzliche Formvorschriften gibt es nicht.

Enthalten sein sollte:

Beschreibung des Vorgangs
eingesetzte Tools / Prozess
Zweck der Verarbeitung
Nutzer der Verarbeitungstätigkeit
die Rechtsgrundlage (warum ist das Verarbeiten der Daten gerechtfertigt)
die Kategorien der betroffenen Personen, der personenbezogenen Daten
die Kategorien der Empfänger
ob es Empfänger in Drittländern gibt (des Datenschutzniveaus wegen)
die vorgesehen Löschfristen
eine Beschreibung der TOMs
eine Risikofolgenabschätzung (falls nötig)

Datenschutz und personenbezogene Daten

Der Bauchnabel-Faktor

Datenschutz gilt nur für natürliche Personen!

Gesetzlich garantiert

1987 war die deutsche Volkszählung, nach der es Proteste von Bürgern gab – das Bundesverfassungsgericht bestätigte das Grundrecht an den eigenen Daten.

Seit 2018 gilt der Erlaubnisvorbehalt – personenbezogene Daten dürfen nur verarbeitet werden, wenn eine Einwilligung vorliegt (das kann auch ein Vertrag sein, zum Beispiel ein Arbeitsvertrag).

Personenbezogene Daten
sind zum Beispiel Name, Adresse, Telefonnummer, E-Mail-Adresse, Personalnummer, Autokennzeichen, Schulnoten

Besonders schützenswerte personenbezogene Daten
sind zum Beispiel die IP-Adresse, die Bankverbindung, Religionszugehörigkeit, rassische Herkunft, Mitgliedschaft in einem Verein oder einer Gewerkschaft, Gesundheits- und Krankheitsdaten

Gesetze

Der Datenschutz umfasst verschiedene Aspekte, die in unterschiedlichen Gesetzen definiert sind.

Datenschutz auf europäischer Ebene:
DSGVO – die Datenschutz-Grundverordnung – „Verordnung“ bedeutet „Europa-Gesetz“, es gilt EU-weit und hat Artikel, keine Paragraphen
Mehr als 70 Öffnungsklauseln bieten Raum, um das nationale Datenschutzrecht im Rehmen der europäischen Verordnung auszugestalten.

Nationale Ebene:

BDSG – das Bundesdatenschutzgesetz und
LDSG – die Landesdatenschutzgesetze der einzelnen Bundesländer
Es gibt keine Hierarchie zwischen den Landesdatenschutzbeauftragten und dem Bundesdatenschutzbeauftragten.

Die Datenschutzkonferenz DSK ist die Versammlung der Datenschutz-Gesetzgeber
Sie haben Erwägungsgründe für die Gesetze herausgegeben, an denen man sich orientieren kann, um einzelne Sachverhalte besser zu verstehen.

Weitere relevante Rechtsbereiche und Gesetze:

Persönlichkeitsrecht
Gesetz gegen unlauteren Wettbewerb
Telemediengesetz
Fachgesetze

Datenschutzbeauftragte/r

Der/die Datenschutzbeauftragte (DSBA) ist Experte für die Umsetzung des Datenschutzes.

In größeren Organisationen existiert ein behördlicher oder betrieblicher Datenschutzbeauftragter. Aus den einzelnen Bereichen arbeiten Datenschutz-Koordinatoren dem DSBA zu.

Kleine Unternehmen benötigen einen DSBA, wenn mehr als 20 Personen mit personenbezogenen Daten zu tun haben. Ärzte benötigen einen DSBA, wenn mindestens zwei ‚Behandler‘ in der Praxis sind.
Behörden haben laut gesetz immer eine(n) behördlichen Datenschutzbeauftragte(n).

Geschäftsführung als DSBA in Personalunion? Hier besteht ein Interessenkonflikt!
Die GF möchte so pragmatisch – und kostengünstig – wie möglich bleiben. Der DSBA möchte einen soliden Datenschutz in der Organisation etablieren.

Ein externer / eine externe DSBA kann diesen Konflikt lösen – oft ist es deutlich günstiger, hier externe Dienst- und Beratungsleistung einzukaufen. In kleinen Organisationen kann der/die externe DSBA benannt werden oder einfach beratend für den Datenschutz tätig sein – oder sogar die Umsetzung übernehmen.

Aufgaben, die der/die DSBA übernehmen kann:

Das Dokumentieren des Datenschutz-Niveaus
(Informationspflichten – Grundlage für eventuelle Anfragen von Betroffenen),
Das Überwachen des VVT,
Das regelmäßige Prüfen des Internetauftritts
Das Entwickeln eine Datenschutz-Managementsystems
Das Kontrollieren und kursorische Prüfen der AV-Verträge
Das Schulen der Mitarbeiter (gesetzlich vorgeschrieben)

Nehmen Sie Kontakt auf

Gerne rufe ich Sie zurück oder sende Ihnen einen Terminvorschlag.

Auf dem Laufenden bleiben

Tragen Sie sich ein, um am Ball zu bleiben. Alle wichtigen Informationen zu Seminaren, Workshops und wichtigen Änderungen im Bereich Datenschutz. Erscheint bei wichtigen Anlässen, sonst einmal pro Quartal.