DSGVO: verständlich erklärt Teil 1

Die neue Datenschutzverordnung ist bald aktuell – und betrifft alle Unternehmer, auch Einzelunternehmen.

Ich versuche hier mal alle Fakten, die natürlich auch  Kleinunternehmen betrifft, leicht verständlich zusammenzufassen.

Datenschutzbeauftragter

Der ist erst zwingend notwendig, wenn der Betrieb

  • umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen macht: das sind z.B alle Banken, Versicherungen, Dedekteien, etc.
  • die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung sensibler Daten oder von Daten über strafrechtliche Verurteilungen oder Straftaten besteht; das sind z.B. Krankenanstalten, Ärzte, etc.

Alle anderen können einen Datenschutzbeauftragten bestellen. Auch wenn kein extra Datenschutzbeauftragter bestellt wird müssen alle neuen Verordnungen genau eingehalten werden! Bei einem Einzelunternehmen ist dass dann eben der Unternehmer selbst. Er hat die Verantwortung, alle Vorgaben einzuhalten.

 

Datenschutz durch Technikgestaltung

heisst soviel wie: ich muss dafür sorgen, dass technisch und organisatorisch alles so eingestellt ist, dass die Daten meiner Kunden / Websitenbesucher/…. absolut geschützt und anonym sind.

Davon ausgenommen sind:

alle Daten, die zur Auftrags/Vertragserfüllung notwendig sind. Das sind Name, Anschrift und oder Telefonnummer, Mailadresse. Wenn ein Kunde z.B. ein Buch bestellt hat, dann braucht man zum Versand nun mal Name und Anschrift und eine Mailadresse. Die müssen angegeben werden und können nicht anonym bleiben und dürfen auch verarbeitet werden (Rechnung erstellen, Weitergabe an ein Transportunternehmen, z.B. die Post)

Was muss ich da machen?

  • Sensible Dateien Passwort-sichern
  • Darauf achten, dass Unbefugte keinen Zugang zu den Daten haben
  • Für regelmäßige Backups sorgen und damit die Daten immer gut sichern, auch analog.
  • Für Schutz des PC sorgen –> Antivirenprogramme, SSL-Verschlüsselung, etc.
  • Alles so einstellen, dass der User wirklich nur die auftragsrelevanten Daten angeben muss / angibt

ACHTUNG: hier ist es ganz besonders wichtig, dass die IP-Adresse nicht mehr gespeichert wird! Wenn du z.B. einen Blog hast und die Leute kommentieren unter den Posts dann speichert WordPress deren IP-Adressen. Das musst du in Zukunft verhindern! Wenn man weiss wie, geht das in ein paar Minuten!

 

Auskunftspflicht

Ab jetzt kann jeder darüber Auskunft verlangen, was mit seinen Daten passiert, wie lange sie gespeichert werden, wozu sie verwendet werden, woher die Daten gekommen sind, etc. Die Auskunft muss dann innerhalb eines Monats erteilt werden und zwar schriftlich.

Was muss alles in die Auskunft mit hinein? 

  • Kopien der Daten (E-Mails, Briefe, Auszüge aus Datenbanken, udgl), die konkret verarbeiteten Daten;
  • Verarbeitungszweck.
  • Kategorien der Daten, die verarbeitet wurden
  • die Empfänger oder Kategorien von Empfängern, an die die Daten weitergegeben worden sind oder noch weitergegeben werden, speziell bei Empfängern in Drittländern oder bei internationalen Organisationen (einschließlich Auftragsverarbeiter),
  • wenn möglich, die  Speicherfrist für die Daten
  • alle verfügbaren Informationen über die Herkunft der Daten (falls die Daten nicht vom Betroffenen selbst kommen)
  • bei internationalen Datentransfers: falls notwendig, die Grundlagen der geeigneten Garantien.

Ausserdem muss der, der die Auskunft möchte darüber informiert werden, dass er ein Recht darauf hat, dass

  • die Daten berichtigt werden (falls es falsche Daten gibt),
  • dass sie gelöscht werden wenn er das will und
  • dass die Daten nur eingeschränkt genutzt werden dürfen.
  • Und dass er ein Beschwerderecht bei einer Aufsichtsbehörde hat.

Die Auskunft muss gratis erfolgen, ausser es werden mehrere Kopien angefordert.

WICHTIG: bei der Auskunftserteilung gelten aber auch DEINE Datenschutzansprüche! D.h wenn bei der Auskunft Betriebsinterna dabei sind, kannst du diese natürlich schwärzen, so dass sie nicht mehr lesbar sind. Genauso wenn Daten anderer Personen dabei sind.

 

Recht auf Löschung

heisst, dass jeder das Recht hat, dass seine Daten KOMPLETT auf Wunsch gelöscht werden.

Das Recht besteht dann,

  • wenn die Daten nicht mehr gebraucht werden, also der Auftrag abgewickelt ist, der Vertrag erfüllt ist.
  • Oder wenn  dein Kunde die Zustimmung zur Datenverarbeitung widerruft.
  • wenn die Daten unrechtmäßig verarbeitet werden/wurden

 

Recht auf Berichtigung

heisst nichts anderes, als dass falsche Daten ausgebessert werden müssen.

 

Datenschutzrechtliche Pflicht zur Datenübertragbarkeit

Darunter kann man sich am Besten sowas wie „Rufnummer mitnehmen“ vorstellen.

Beispiele:

  • E-Mails
  • Chatprotokolle
  • Kontaktlisten
  • Fotos
  • Überweisungen

Die Daten müssen dem Kunden in einen gängigen Format übergeben werden, z.B. CSV.

Daten sind dann „bereitgestellt“, wenn die betroffene Person diese aktiv zur Verfügung gestellt hat (z.B. Daten, die über ein Kontaktformular übermittelt werden, Fotos auf einer Social-Media-Plattform), aber auch solche, die durch Nutzung der Dienstleistung bzw. Beobachtung der Tätigkeiten des Nutzers angefallen sind (z.B. Aktivitätsprotokolle, Rohdaten aus einem Smart Meter oder Tracking-Gerät, Websiten-Suchverläufe, Verkehrs- und Standortdaten).

Die Kleinunternehmer wird das besonders bei Google Analytics betreffen bzw bei allen Diensten, die die Besuche auf der Website aufzeichnen und analysieren. Also Vorsicht bei diesen Diensten! Wie das dann genau geht kommt in Teil 2.

 

Widerspruchsrecht

Jeder kann der Verarbeitung seiner Daten widersprechen. Dann dürfen die Daten nicht mehr weiter verarbeitet werden. Wichtig bei Direktmarketing, Profiling genauso wie bei wissenschaftlichen und statistischen Zwecken.

Das Widerspruchsrecht gilt NICHT bei Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen! Soll heissen wenn dir jemand dein Honorar schuldet und du das an deinen Anwalt oder an ein Inkasso-Büro weitergibst ist das rechtens und dem kann auch nicht widersprochen werden.

 

Für alles gilt:

man kann seine Ansprüche entweder schriftlich oder mündlich geltend machen. Allerdings kann es bei einem Telefonat möglich sein, dass die Identität angezweifelt wird. Daher mein Tipp: immer schriftlich beantragen.

Alle Ansuchen müssen innerhalb eines Monats bearbeitet werden und dann dem Antragsteller mitgeteilt werden, welche Schritte unternommen wurden.

Man kann das Ansuchen ablehnen, wenn es unbegründet ist oder der Antragsteller sehr oft / dauernd einen Antrag stellt. Allerdings muss man das dann auch gut begründen können!

Alle Ansuchen müssen kostenlos abgewickelt werden. Ausser der Kunde stellt sehr oft/dauernd einen Antrag – dann kann man ein Bearbeitungsentgelt dafür verlangen.

 

Ich hoffe, ich habe die einzelnen Punkte gut und leicht verständlich erklärt. Natürlich halte ich mich weiter auf dem Laufenden und werde wenn nötig, die Punkte auch überarbeiten.

Im Teil 2 kommt dann die Umsetzung: was es zu beachten gibt und wie es funktioniert! 

 

Datenschutzverordnung