Die DSGVO: So geht's rechtskonform - und ohne Klippen

Mit Harald Rossol oder Katharina Lampe von b.r.m. in Bremen als externe Datenschutzbeauftragte sind Sie in sicheren Händen.

Die neue Europäische Datenschutz-Grundverordnung (DSGVO) weckte zunächst Befürchtungen bei vielen Unternehmen und Netznutzern. Mit einem guten IT-Service als Partner, wie bspw. dem von b.r.m., haben sich diese Ängste zumindest im Raum Bremen als grundlos erwiesen. 

Der erste Entwurf der Verordnung stammt aus dem Jahr 2012; beschlossen wurden die neuen Paragraphen im April 2016; am 25. Mai 2018 trat die DSGVO (auf Englisch GDPR) dann in Kraft. Das Ziel der Verordnung ist es, europaweit den Datenschutz auf eine einheitliche Grundlage zu stellen. Das Unterlaufen von Standards durch einzelne Mitgliedsstaaten sollte mit ihr wirksam unterbunden werden.

Neu für den Nutzer von Online-Diensten ist vor allem sein ‚Recht auf Vergessenwerden‘. Er erhält die Möglichkeit, das Recht, Auskunft über persönliche Daten zu erhalten, und er kann das Löschen von Daten verlangen, wenn eine Speicherung "überfällig", "unnötig" oder "unrechtmäßig" erscheint. Weiterhin müssen alle Daten von nun an ‚portabel‘ sein: Auf Wunsch kann der Kunde eines Dienstes die Herausgabe seiner Daten in strukturierter Form verlangen, so dass er sie einem anderen Anbieter übergeben kann. Generell gelten für alle Datenverarbeitungsvorgänge im Internet, wie auch in Unternehmen zwei Prinzipien: ‚Privacy by Design‘ und ‚Privacy by Default‘ – d.h.: Der Schutz der Privatsphäre muss bereits beim Aufbau eines Datenverarbeitungsvorgangs berücksichtigt werden, und die Voreinstellungen müssen privatsphäreschützend eingerichtet sein.

Wer bei der Datenverarbeitung mit einem externen Dienstleister kooperiert, der darf sich bei b.r.m. heute schon sicher sein, dass unsererseits bei der Auftragsverarbeitung (AV) keine Verstöße gegen die neue Verordnung erfolgen. Auch die genannten Privacy-Prinzipien werden stets strikt eingehalten. Das Anlegen eines ‚Verzeichnisses der Verarbeitungstätigkeiten‘, welches die DSGVO fordert, ist bei uns längst implementiert. Ferner sind alle Verarbeitungstätigkeiten lückenlos dokumentiert. In allen Fragen rings um die DSGVO sind wir damit Ihr kompetenter Ansprechpartner, allein schon deshalb, weil Harald Rossol, unser Geschäftsführer, zugleich als anerkannter Datenschutzbeauftragter arbeitet. Assistiert wird er hierbei von der Kauffrau für Büromanagement und zugleich geprüften Datenschutzbeauftragten Katharina Lampe sowie vom Senior Consultant Rainer Dedermann - genügend 'Manpower' ist bei b.r.m. damit stets vorhanden.

Beratung und Betreuung in allen Fragen der neuen Europäischen Datenschutz-Grundverordnung (DSGVO) für den Großraum Bremen läuft mit uns an Ihrer Seite völlig reibungslos - von den Technischen und  Organisatorischen Maßnahmen (TOM) über die Sicherheitsanalyse und das Verzeichnis der Verarbeitungstätigkeiten bis hin zur Risikobewertung.

Betroffen von der DSGVO ist übrigens jeder, der personenbezogene Daten im Netz verarbeitet, vom kleinen Blogger bis hin zu globalen Giganten wie Facebook. Als ‚personenbezogen‘ gelten alle Merkmale wie Name, Geschlecht, Hautfarbe, politische Einstellung und sexuelle Orientierung, aber auch Autokennzeichen oder Kleidergrößen. Sobald Daten u.a. erhoben, gespeichert, verändert, ausgelesen oder übertragen werden, gilt dies als eine ‚Verarbeitung‘. Wer eine Webseite betreibt, der muss künftig jeden Besucher darüber aufklären, welche Daten er zu welchem Zweck erhebt und speichert. Ausgenommen hiervon sind allein Justiz und Strafverfolgung. Kontrolliert wird die Einhaltung der DSGVO von den Datenschutzbehörden. Maßgeblich für die Zuständigkeit ist die Hauptniederlassung eines Betreibers oder Unternehmens.

Auch nicht unwichtig: Die Online-Datenschutzerklärungen müssen künftig ‚allgemeinverständlich‘ sein, sie dürfen also kein 'Juristen-Chinesisch' enthalten, was natürlich einen weiten Interpretationsspielraum öffnet. Neu ist auch die ‚datenschutzrechtliche Selbstauskunft‘: Jedes Unternehmen muss innerhalb eines Monats einem Bürger Auskunft darüber geben, welche Informationen über ihn dort zu welchem Zweck und wie lange gespeichert sind.

Die Grenze zwischen ‚privat‘ und ‚kommerziell‘ wird jetzt trennschärfer gefasst. Poste ich bspw. Bilder meines heimischen Gartens, dann bleibt dies unkritisch. Verkaufe ich aber die dort gezeigten Gartenmöbel, dann fällt die Webseite künftig unter die DSGVO. Das gilt auch für ‚Affiliate-Angebote‘, also dort, wo der Betreiber einer Webseite auf einen anderen Anbieter verlinkt. Derartige Plug-Ins, ob nun unter Wordpress oder Firefox, sollten private Betreiber besser abschalten, bis rechtliche Klarheit herrscht.

Wesentlich ist auf alle Fälle eine Anpassung der Datenschutzerklärung und der Geschäftsbedingungen auf jeder Webseite, sonst öffnet man bloß den ‚Abmahnwälten‘ Tür und Tor. Fragen Sie im Zweifel einfach unsere betrieblichen Datenschutzbeauftragten Harald Rossol und Katharina Lampe.

Für viel Alarm sorgten vor allem die angedrohten finanziellen Sanktionen bei Verstößen. Lag das Bußgeld bisher maximal bei 300.000 Euro, können jetzt – abhängig von der Schwere des Verstoßes – bis zu 20 Mio. Euro fällig werden (Art. 83 DSGVO). Eine Extra-Regel, die sich vor allem gegen die Tech-Giganten richtet, macht auch eine Strafe bis zu vier Prozent des weltweiten Umsatzes möglich, und letztlich auch den Zugriff aufs Privatvermögen.

Die DSGVO lässt natürlich noch manche Fragen offen: Was sind bspw. ‚berechtigte Interessen‘ (Art. 6 Abs. 1 lit. f) DSGVO) eines Unternehmens? Die Verordnung enthält eine Fülle von solchen schwammigen Formulierungen, die erst durch Gerichtsentscheidungen zu klären sind. Hilfestellungen geben die Erwägungsgründe. Auch musste das nationale Datenschutzrecht durch ein neues Bundesdatenschutzgesetz an die DSGVO angepasst werden. Andererseits gibt es jetzt keine Fluchtmöglichkeit vor dieser Verordnung mehr, zum Beispiel nach Übersee. Der Rahmen ist für alle gleich. Die Verordnung gilt herkunftsunabhängig für jeden, der innerhalb der EU Daten erheben oder auswerten will – sie gilt also auch für Google oder Facebook.

Das Bundesdatenschutzgesetz (BDSG) ergänzt die DSGVO durch einige sogenannte ‚Öffnungsklauseln‘. Dies ist beispielsweise der Fall in  § 26 BDSG, der die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses ausführt. Hier hat der Gesetzgeber spezifischere Vorschriften festgelegt.

Bei Fragen zur neuen DSGVO und zu einem rechtskonformen IT Service in Bremen und Umgebung wenden Sie sich am besten einfach an uns …

Λ