DATENSCHUTZ-Fragen? Setzen Sie kein Geld in den Sand - nehmen Sie Kontakt auf!











„Wir können den Wind nicht ändern - aber wir können uns entscheiden diesen zu nutzen und die Segel richtig zu setzen oder zu rudern.

(nach ARISTOTELES)


Aktuelle Informationen, Fragen und Antworten rund um Datenschutz und Themen dieser Website:


Aktuelles

Kann man soziale Medien als verantwortungsbewusster Unternehmer überhaupt noch nutzen?

05.06.2018: Nach dem Urteil des EuGH, in dem eine gemeinsame Verantwortung des Fanpage-Betreibers mit Facebook gesehen wird, fragen sich viele KMU-Firmen, ob man überhaupt noch Facebook nutzen kann? Und auch die Entscheidung und deren Veröffentlichung am 11.06.2018 des Zulieferers Continental AG seinen über 200tsd Beschäftigten zu verbieten, WhatsApp zu nutzen, wirft diese Frage auf. Darüber hinaus zeigt aber auch die Panne bei Facebook, dass private Nachrichten (Posts) plötzlich öffentlich sichtbar wurden, dass es immer wichtiger wird, auch seinen Vertriebs- oder Werbekanal "social media" zu kontrollieren und steuern zu können. Doch gerade dies vergessen viele Geschäftsführer und -inhaber und stattdessen wird über die Ungerechtigkeiten gerade gegenüber den Konzernen "geklagt". Doch man konnte auch am 14.06.2018 lesen, dass das Bundestjustizministerium und dem Verein "Deutschland sicher im Netz" eine Steigerung des Unsicherheitsgefühls von Verbrauchern beim Surfen im Internet wahrgenommen wurde. Verbraucher sind auch B2B-Kunden und was tun verunsicherte Menschen? M.E. nichts - sie warten. 

Summa summarum ist also diese Unsicherheit eine schlechte Grundlage, um Entscheidungen zu treffen. Auch wenn es von einigen Rechtsanwälten im Internet Lösungen diskutiert werden, empfehlen wir mommentan die "werblichen oder vertrieblichen Finger" von diesen "Vertriebskanälen" zu lassen - solange, bis diese gerade für viele KMU's wichtigen Werbepartner ihre Pflichten im Sinne der DSGVO erledigt haben. 

Dazu gehören rechtskonforme und transparente Vereinbarungen gemäß Art. 26 oder Art. 28 der DS-GVO  anzubieten und auch technische Unterstützung (Tools/Werkzeuge) zu implementieren, die es den Webseiten-Betreibern ermöglichen ihre Rechte und Pflichten aus den Datenschutzgesetzen umzusetzen.

Was können Sie tun? Add- oder PlugIn's sollten Sie vermeiden. Einfache Links zu den Profilen und Webseiten genügen.

FAQ zum Datenschutz

Die wichtigsten Fragen zum Datenschutz bzw. zur europäischen Datenschutz-Grundverordnung (DS-GVO)

(wenn Sie auf die Frage klicken, sehen Sie die Antworten) Fehlt Ihnen eine Frage oder eine Antwort? Nehmen Sie einfach Kontakt auf!)

Wann muss man einen Datenschutzbeauftragten bestellen?
  1. Es ist zu klären, ob die Datenschutzgesetze für Sie gelten: Wenn Sie ein Unternehmen sind und Geschäfte mit Produkten und Dienstleistungen in Deutschland und der EU machen wollen und dazu gehört auch das Angebot von Arbeitsstellen, MItgliedschaften (--> Vereine!), etc. - dann redet das Gesetz über sogenannte Verarbeiter, da Sie Daten erfassen, ordnen und nutzen - egal ob dies elektronisch oder per Papier erfolgt. Sie verarbeiten systematisch Daten und es gilt für Ihre Einrichtung, Organisation oder Unternehmen die Datenschutz-Grundverordnung - abgekürzt und im Nachfolgenden als DS-GVO oder DSGVO bezeichnet. Auch wenn Sie als Organisation für andere Unternehmen (sogenannte Dritte) in deren Auftrag personenbezogene Daten verarbeiten (z.B. CallCenter). Dann sind Sie sogenannter Auftragsverarbeiter und auch für diese Firmen gilt die DS-GVO.
  2. Wann gilt die DSGVO für Sie nicht? Wenn Sie für rein private Zwecke, familiäre Daten und Freunde und dergleichen, also als Privatperson  private Daten verarbeiten, wie z.B. in einem Adressverzeichnis, egal ob ein einm Büchlein oder in Outlook. D.h. aber andererseits auch, dass die DSGVO für private Vermieter wiederum anwendbar ist, weil hier (Miet-)Geschäfte mit (Wohn-)Dienstleistungen erfolgen.  
  3. Nun wissen Sie, die Datenschutzgesetze der EU gelten für Sie als Auftragsverarbeiter oder Verarbeiter, weil Sie Dienstleistungen, Produkte oder Waren in der EU anbieten.
  4. Aber, ab wann müssen Sie nun einen Datenschutzbeauftragten bestellen? Wenn Sie mehr als 10 Mitarbeiter beschäftigen (gezählt werden alle Köpfe), müssen Sie einen Datenschutzschutzbeauftragten bestellen. Die Grundlage hierfür ist im deutschen Datenschutzrecht §38 BDSG (Bundesdatenschutzgesetz) zu finden. Weitere Informationen, ob dies ein externer oder interner Datenschutzbeauftragter sein soll(te) erfahren Sie in einem anderen FAQ-Punkt.
  5. Organisationen, die unabhängig von der Anzahl der Mitarbeiter einen Datenschutzbeauftragten (DSB) bestellen müssen, sind z.B. Behörden, Firmen, Institute, Labore, Praxen, Unternehmen oder Vereine, die eine Datenschutzfolgeabschätzung (DSFA nach Art. 35 DS-GVO) durchführen müssen, weil sie Gesundheitsdaten, Daten aus denen ethnische oder rassistische Herkunft, politische Meinungen, weltanschaulichen Überzeugung, Gewerkschaftszugehörigkeit, sexueller Orientierung bzw. zum Sexualleben oder auf Grund biometrische oder genetische Daten verarbeiten, die zur Identifizierung dienen (Auftragsverarbeiter oder Verarbeiter sogenannter besonderer Kategorie von personenbezogenen Daten) oder deren Kerntätigkeiten die geschäftsmäßige Datenverarbeitung zur Übermittlung oder zum Zwecke der Markt- und Meinungsforschung sind. D.h. also m.E. auch medizinische Abrechnungsstellen, Adressverlage-/händler oder Stellen, die Menschen regelmäßig und systematisch überwachen, wie z.B. Detekteien.
Wer darf zum Datenschutzbeauftragten bestellt werden?

In Art. 37 Abs. 5 heißt es dazu: "Der Datenschutzbeauftragte (DSB) wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie seiner Fähigkeit zur Erfüllung der in Art. 39 genannten Aufgabe. Diese sind u.a.:

  • Unterrichtung und Beratung des Verantwortlichen oder des Auftragverarbeiters und der Beschäftigten, die Verarbeitungen durchführen
  • Überwachung der EInhaltung vom BDSG / DSGVO inklusive Zuweisung von Zuständigkeiten, Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligter Mitarbeiter
  • Berartung im Hinblick der Datenschutzfolgeabschätzung (DSFA)
  • Zusammenarbeit und Tätigkeit als Anlaufstelle zu bzw. mit den Aufsichtsbehörden
  • Weitere Beratung uns sonstige Klärungen in o.a. Zusammenhang

D.h. also das bayerische Fabelwesen, der "Wolpteringer" ist wieder gefragt. Vielleicht kann man sich dem auch so nähern: Wer darf nicht Datenschutzbeauftragter sein? Führungskräfte und Mitarbeiter aus

  • Administration / IT- und Rechenzentrumsleitung
  • Personal-/Vertriebsleitung
  • Unternehmens- / Geschäftsführung

Hier ist eine gemäß Art. 38 Abs. 3+6 geforderte "Freiheit von Interessenskonflikten" und "(Anweisungs-)Unabhängigkeit" nicht gewährleistet.

Gewünschte Fähigkeiten sind m.E. die gemäß BvD und GDD-Ausbildungen auch im Lehrprogramm enthaltenen Inhalte, wie:

  • Betriebswirtschaft
  • EDV- und IT-(Sicherheits-)Kompetenzen
  • Prozess- und Vorgehenssystematik in der jeweiligen Branche/Organisation bzw. Fähigkeit sich hier einzuarbeiten
  • Rechtliches Know How bezogen auf Datenschutz (BDSG, DSGVO) und damit verbundene Rechtsgebiete (BGB, HGB, SGB, UWG, ...)
  • Vertriebs-/Marketingpraxis bzw. Führungs- und Organisationsfähigkeit genauso wie es von Vorteil ist, eine entsprechende Erfahrung im Beratungs- / Schulungsumfeld vorweisen zu können.

Alle Freiberufler und 1-Mann Unternehmen können dies natürlich selbst übernehmen. Gerade für solche Unternehmen lohnt es sich die Seiten der regionalen Aufsichtsbehörde zu besuchen und wenn Sie einzelne Fragen haben können Sie sich gerne per E-Mail an uns wenden.  

Was sind die Unterschiede zwischen einem internen und externen Datenschutz-Beauftragten?

Grundsätzlich können Sie einen Mitarbeiter zum Datenschutzbeauftragten bestellen, als auch einen externen Dienstleister auf Vertragsbasis. Doch was sind die Vor- oder Nachteile? 

Die Vorteile des internen Mitarbeiters als Datenschutzbeauftragter liegen auf der Hand:

Er oder sie kennen sich in Ihrem Unternehmen gut aus. Wissen, wie der "Hase läuft". Allerdings müssen Sie diese meistens im Hinblick des Datenschutzes erst ausbilden, damit die Aufgabe gem. Art . 39 DS-GVO erfüllt werden können. Durch die Stellung des Datenschutzbeauftragten, die im Art. 38 DS-GVO beschrieben ist. wird klar, dass diese auch weisungsfrei und interessenslos arbeiten können und Zugang zu den erforderlichen Ressourcen haben müssen. Ist das in Ihrem Haus für die Mitarbeiter gewährleistet? Wollen Sie das? In der Praxis werden häufig dazu Administratoren berufen, die neben Ihrer Tätigkeit diese Aufgabe übernehmen sollen. Doch ist eine Interessenslosigkeit wirklich sichergestellt? Ein anderes Mal ist es geplant, dass der Partner des Geschäftsführers / Inhabers dies übernehmen soll - sicherlich - die Ressourcenfrage ist hier besser zu klären, doch die Frage nach der Interessensunabhängigkeit (Neutralität) bleibt gleich. Und was ist, wenn Mitarbeiter eine diffizilere, persönliche Frage haben?

Was sind die Vorteile des externen Datenschutzbeauftragten?

Er oder sie sind bereits ausgebildet. Haben berufliche Erfahrungen und verfügen über ein Netzwerk. D.h. das Thema Ausbildung können Sie meistens als gegeben abhaken. Meistens sind Sie auch Mitglied in einem der führenden Berufsverbänden (BvD oder GDD) und so können sie auch die laufende Weiterbildung gewährleisten, die spätestens nötig ist, wenn es gesetzlich Veränderungen gibt oder neue Verordnungen, wie die im Herbst 2018 erwartete ePrivacy-Verordnung wirksam wird. Sie kennen allerdings nicht Ihre Organisation und die entsprechenden Vorgänge (Prozesse) in Ihrem Unternehmen. Hier empfiehlt es sich durch einen internen Mitarbeiter als Koordinator die internen mit den externen Vorteilen zu kombinieren.

Die Nachteile liegen auch auf der Hand: Ein externer Datenschutzbeauftragter kostet zusätzlich Geld. 

Weiteres erfahren Sie auch in dem Kurzpapier der Datenschutz-Konferenz (DSK) Nr. 12, welches Sie hier downloaden können.

Was sind personenbezogene Daten, was sind Betroffene und was heißt in diesem Zusammenhang Datenschutz?

Betroffene sind Menschen, deren Daten verarbeitet werden. Typischerweise also Kunden (sowohl Geschäfts- als auch Privatkunden), Lieferanten, Kooperations- oder Geschäftspartner und Mitarbeiter bzw. Beschäftigte (Personal).

Personenbezogene Daten sind Informationen, durch die man auf diese Betroffenen, also die Personen, direkt oder indirekt schließen kann. Dazu gehören: Name, Vorname, Email, Adresse, Telefon-, Konto- oder Sozialversicherungsnummern, aber auch die TCP/IP-Adresse. Daneben gibt es noch die besondere Kategorien von Daten, die Gesundheits-/Krankheitsdaten, gewerkschaftliche oder ethnische Zugehörigkeit sowie weitere Daten beinhaltet. Weitere Informationen erfahren Sie hier (siehe auch die Frage: Wann muss ich einen Datenschutzbeauftragten bestellen?

Wichtig ist es den Begriff des Datenschutz nicht den sicheren Daten, sondern dem Schutz der Personen zuzuordnen. Dem gegeüber meint die Daten- oder IT-Sicherheit die technische Sicherheit, zu der auch die Marken-, Patentente, Produkt-, Zeichnungs- oder Artikeldaten dazu gehören. Hier spricht man über den Schutz des Assets. "Zuständig" ist hier nicht das Datenschutzgesetz, welches vom "Stand der Technik" spricht und damit eine technische Sicherheit meint, die grundlegend sicherstellt, dass die personenbezogenen Daten wie auch die anderen Assets eines Unternehmens gut aufgehoben und geschützt werden. Daten- oder Informationssicherheit werden auch in Standards, wie der ISO27001 oder dem BSI-Grundschutz beschrieben und sind zertifizierbar. Der Datenschutz wurde in der Datenschutz-Grundverordnung für alle Mitgleidsstaaten verbindlich "verordnet" und in Deutschland durch das Bundesdatenschutz-Gesetz (BDSG) ergänzend geregelt.

Was muss man beachten, damit die Organisation die europäische Datenschutz-Grundverordnung erfüllt?

Platt gesagt die europäischen (DS-GVO), die nationalen (BDSG) und die speziellen (z.B. EKD, LDSG, UWG, etc.) Datenschutzgesetze einhalten. Doch wie und in welchen Schritten empfiehlt es sich vorzugehen?

  1. Von Außen nach Innen:
    • Organisation des Unternehmens bezüglich Datenschutz
    • Datenschutzerklärung und Impressum auf der Website prüfen
    • Information der Kunden über entsprechende Änderungen und das Widerspruchsrecht (Transparenzpflichten)
    • Rechtsgrundlagen für die Verarbeitung einholen, z.B. im Falle Newsletterversand oder andere Werbezusendungen
    • Verträge checken und Ergänzungen im Falle von Auftragsverarbeitungen abschließen
  2. Und innen - im Unternehmen?
    • Datenschutzrichtlinien etablieren
    • Datenschutzverpflichtungen der Mitarbeiter, Freiberufler und Dienstleister
    • Schulungen / Sensibilisierungen durchführen
    • Verzeichnis von Verarbeitungstätigkeiten und technisch-organisatorische Maßnahmen (Status aufnehmen) und kontinuierliche Verbesserungen einführen
    • Auskunfts- und Meldepflichten umsetzen

Weitere Informationen können Sie auch über dieses Kurzpapier downloaden.

Wann sind Sie Auftragsverarbeiter, wann sind Sie Verantwortlicher, wer muss einen Auftragsverarbeitungsvertrag abschließen?

Auftragsverarbeiter ist nach Art. 4 Nr. 8 DSGVO eine Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Während unter Verantwortlicher die DSGVO gemäß Art. 4 der DSGVO eine Stelle versteht, die allein oder gemeinsam mit anderen über die Mittel und Zwecke der Verarbeitung personenbezogener Daten entscheidet. D.h. anders ausgedrückt: Wenn Sie als Unternehmen eigenständige, von anderen bei der Verarbeitung von personenbezogene Daten unabhängige Dienstleistungen oder Produkte anbieten (wie Ärzte, Handelsunternehmen, Handwerker, Hersteller/Produzenten, etc.) sind Sie Anbieter von Fachleistungen und gelten nach der DSGVO als Verantwortlicher. Meistens lagern solche Organisationen Teile von elektronischer oder manueller Verarbeitung von personenbezogenen Daten an Dritte aus. Die Kennzeichen solcher Verarbeitungen sind Verträge mit konkreten (An-)Weisungen, wie die Umsetzung zu erfolgen hat. D.h. Auftragsverarbeiter verarbeiten auf Vertragsbasis nach diesen Anweisungen personenbezogene Daten und hierzu gehören nach aktueller Meinung (Stand 16.01.2018) der Datenschutzkonferenz (DSK) typischerweise:

  • Auslagern von E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten (z. B. Betreuung von Kontaktformularen oder Nutzeranfragen),
  • Auslagerung von Backup-Sicherheitsspeicherung und anderer Archivierungen, Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten,
  • DV-technische Arbeiten für die Lohn- und Gehaltsabrechnung oder die Finanzbuchhaltung durch Rechenzentren,
  • Entsorgung von Datenträger und Papierunterlagen durch Dienstleister,
  • Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing, ohne dass ein inhaltlicher Datenzugriff des Cloud-Betreibers erforderlich ist,
  • Verarbeitung von Kundendaten durch ein Callcenter ohne wesentliche eigene Entscheidungsspielräume dort,
  • Wartung, Installation, Prüfung von ITK-Anlagen (z. B. durch Fernwartung, externer Support), wenn bei diesen Tätigkeiten ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.
  • Werbeadressenverarbeitung durch eine Werbe- oder Marketingagentur oder einem Lettershop,
  • Zentralisierung bestimmter „Shared Services-Dienstleistungen“ innerhalb eines Konzerns, wie Dienstreisen-Planungen oder Reisekostenabrechnungen (jedenfalls sofern kein Fall gemeinsamer Verantwortlichkeit nach Art. 26 DS-GVO vorliegt)

 Dazu gehören nicht(!), da es sich hierbei um die Inanspruchnahme von ganz normalen (Fach-)Dienstleistungen handelt:

  • Bankinstitute für den Geldtransfer,
  • Berufsgeheimnisträger (Datenschutzbeauftragte, Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer),
  • Inkassobüros mit Forderungsübertragung,
  • Postdienste für den Brieftransport, Logistik- und Speditionsdienstleister,
  • Weiteres: Keine Auftragsverarbeitung liegt auch nicht, wenn eine gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO gegeben ist, d.h. wenn mehrere Verantwortliche gemeinsam über die Verarbeitungszwecke und -mittel entscheiden.
    Hierunter können je nach Gestaltung eine Reihe von Verarbeitungen fallen:
    • Klinische Arzneimittelstudien, wenn mehrere Mitwirkende (z. B. Sponsor, Studienzentren/Ärzte) jeweils in Teilbereichen Entscheidungen über die Verarbeitung treffen,
    • gemeinsame Verwaltung bestimmter Datenkategorien (z.B. „Stammdaten“) für bestimmte gleichlaufende Geschäftszwecke mehrerer Konzernunternehmen.

 Zu beachten ist, dass die Datenverarbeitung im Auftrag keine (!) Erlaubnis darstellt, Daten dem Auftragsverarbeiter zu offenbaren, die wegen gesetzlicher Geheimhaltungspflichten (z.B. Berufs- oder anderen Amtsgeheimnissen) vertraulich zu behandeln sind (siehe §1 Abs.2 S.3 BDSG).

Wo findet man dazu mehr? Hier!

Wo bekomme ich eine kostengünstige, "erste Hilfe" zur Umsetzung der Anforderungen des Datenschutzes?

Auf diesen Internetseiten ;-) und neben den angebotenen Dienstleistungen in diesem empfehlenswerten Werk:


Weitere interessante Links 

25.05.2018: Interessanter Videobeitrag zum europäischen Datenschutz aus Sicht der Schweiz (Quelle SRF, Ziel des Links ist das SRG SSR der Schweiz): https://tp.srgssr.ch/p/portal?urn=urn:srf:video:8ead78fc-b48f-4029-8970-9ce50752cbbd&autoplay=true&legacy=true&width=640&height=360&playerType=

05.04.2018: Link zu den FAQs zur Datenschutz-Grundverordnung aus Sicht des Bundesinnenministerium (Quelle + Ziel des Links ist das  BMI): https://www.bmi.bund.de/SharedDocs/kurzmeldungen/DE/2018/04/faqs-datenschutz-grundverordnung.html

23.03.2018: DSGVO und Drittländer: Schweiz ist Drittland und es gibt einen Angemessenheitsbeschluß der EU Kommission nach Art. 45 Abs.3. USA ist Drittland und es gibt einen Privacy Shield. Hier findet man Antworten zu damit zusammenhängenden Fragen:

  1. Grundsatzpapier zum Austausch und Schutz von Daten in einer globalen Welt (Interessant zum Lesen, wenn man nicht gerade etwas drigend sucht ;-) http://ec.europa.eu/transparency/regdoc/rep/1/2017/DE/COM-2017-7-F1-DE-MAIN-PART-1.PDF 
  2. Welche Vorschriften gelten, wenn das Unternehmen Daten außerhalb der EU übermittelt: https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/what-rules-apply-if-my-organisation-transfers-data-outside-eu_de
  3. Okay, doch in welchen Schritten bringt es Sinn pragmatisch vorzugehen?
    • Ist-Analyse: Es gehen Daten ins Ausland
    • Klärung 1: Was ist die Basis? Diese kann man u.a. in der DSGVO in den Artt. 44 - 50 nachlesen
    • Klärung 2: Gibt es für das Land einen Angemessenheitsbeschlusses? (Art. 45 Abs. 3 - siehe Link unter Punkt 7.)
    • Klärung 3: Gibt es eine Einwilligung der betroffenen Person nach Art. 49 Abs.1 lit.a DSGVO?
    • Klärung 4: Findet die Datenübermittlung mit geeigneten Garantien statt? Diese sind nach Art. 46 Abs.2 zu prüfen:
      • lit.b - verbindliche interne Datenschutzvorschirften gemäß Art. 47, sogenannte Binding Cooperate Rules (BCR) siehe Link unter Punkt 6.)
      • lit.c - Vertrag mit Standarddatenschutzklauseln, die von der EU-Kommission gemäß einem Prüfverfahren erlassen werden (siehe Link unter Punkt 4.)
      • lit.d - Vertrag mit Standarddatenschutzklauseln, die von einer Aufsichtsbehörde bereits angenommen wurden
      • lit.e - genehmigte Verhaltensregeln, wie - genau - jetzt sind wir bei dem EU-USA Privacy Shield, siehe Link unter Punkt 5.
      • lit.f - einem genehmigten Zertifizierungsmechanismus (aktuell noch n.a. = "not available")
      • Art. 46 Abs.3 einem individuellen Vertrag, der von den Aufsichtsbehörden genehmigt wurde
  4. Hier findet man etwas zu den Standard-Datenschutzklauselnhttps://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en
  5. Hier findet man etwas zu den Vereinbarungen mit der USA auf Basis des Privacy Shieldhttps://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/eu-us-privacy-shield_en
  6. Was sind Cooperate Binding Ruleshttps://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/binding-corporate-rules_en
  7. Und nun der wichtigste Link zu den Dritt-Ländern mit Angemessenheitsbeschlußhttps://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_de
empty