Beiträge

Ihre Daten sind kein Konfetti… 

DSGVO – fünf Buchstaben für den Weg zum Europäischen Datenschutz

 

Datenschutz ist keine einmalige Aufgabe, sondern ein dauerhafter Prozess. 

Sanktionen von den Aufsichtsbehörden sollen gemäß Art. 83 Abs.1 DSGVO verhältnismäßig und abschreckend verhängt werden. Mindestanforderungen, die Unternehmen, Selbständige und Vereine umsetzen müssen. 

 

1. Ein nicht datenschutzkonformer Internetauftritt – Ihre Webseite – führt zu einem großen, ärgerlichen Risiko

Eine kostspielige Abmahnung droht, da jedermann freien Zugriff auf die Webseite hat und somit schnell fehlerhafte bspw. fehlende Informationspflichten feststellen und dagegen vorgehen kann: „Abmahnung mit strafbewehrter Unterlassungserklärung“ für den Wiederholungsfall… Fehlerhafte Datenschutzhinweise oder fehlende Informationen über Datenverarbeitungen, die auf Webseiten stattfinden, führen ggf. zu Abmahnungen und Schadensersatzansprüchen – häufig von Konkurrenten oder Verbraucherschutzverbänden nach dem Gesetz gegen den unlauteren Wettbewerb (UWG)

2. Sind Sie dazu verpflichtet eine/n Datenschutzbeauftragten zu benennen? Ja - wenn: 

mindestens zehn Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind, 

Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung (DSFA) unterliegen, oder 

personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden. 

Die Kontaktdaten des Datenschutzbeauftragten müssen auf der Webseite angegeben und der zuständigen Aufsichtsbehörde gemeldet sein/werden. 

3. Machen Sie eine Bestandsaufnahme aller datenschutzrelevanten Prozesse, in denen personenbezogene Daten verarbeitet werden und erstellen Sie ein Verzeichnis von Verarbeitungstätigkeiten. Hilfreiche Beispiele für Unternehmen: https://www.lda.bayern.de/de/kleine-unternehmen.html 

4. Seit 25. Mai 2018 müssen Sie nachweisen, dass Sie rechtskonform Daten verarbeiten – Beweislastumkehr. Die „Rechenschaftspflicht“ nach Art. 5 Abs. 2 DSG, nach der Sie …„für die Einhaltung des Absatzes 1 verantwortlich sind und dessen Einhaltung nachweisen können…“ müssen. 

5. Dokumentieren Sie Ihre technischen und organisatorischen Maßnahmen (TOM) gemäß Art. 25 und Art. 32 DSGVO, um festzustellen, ob Ihre personenbezogenen Daten z. B. ausreichend vor unbefugtem Zugriff und Weitergabe geschützt sind. 

6. Beschäftigen Sie externe Dienstleister (IT-Wartung) oder sind für andere Unternehmen als externer Dienstleister tätig? Bei Weitergabe (als Verantwortlicher) bzw. Zugriff (als Auftragsverarbeiter) auf personenbezogene Daten findet eine Verarbeitung statt, deren Vereinbarungen in einem Auftragsverarbeitungsvertrag (AV-Vertrag) zwischen Auftraggeber und Auftragnehmer festgehalten werden müssen.  

7. Sind alle Verarbeitungen von personenbezogenen Daten rechtmäßig? Ist für die Verarbeitung eine Einwilligung der Betroffenen notwendig? Weitere Rechtsgrundlagen finden Sie in Artikel 6 DSGVO

8. Erfüllen Sie die Informationspflichten, die gemäß Art. 12, Art. 13 DSGVO bei der Verarbeitung von personenbezogenen Daten befolgt werden müssen? Diese sollten Sie bei sämtlichen Datenverarbeitungen umsetzen. 

9. Für jeden Prozess der Verarbeitung von personenbezogenen Daten ist ggf. eine Risikoanalyse durchzuführen, mit deren Hilfe eine Schutzbedarfsfeststellung erfolgt. Diese kann bspw. im Verzeichnis von Verarbeitungstätigkeiten integriert werden. 

10. Wenn in Ihrem Unternehmen/Gewerbe/Verein Verarbeitungen von personenbezogenen Daten stattfinden, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten betroffener Personen bedeuten können, muss für die betroffenen Verarbeitungen eine Datenschutz-Folgenabschätzung durchgeführt werden (Sensible Daten). 

11. Sind Sie in der Lage, die Betroffenenrechte zu erfüllen? Dazu gehören u. a. 

das Auskunftsrecht (Art. 15 DSGVO

das Recht auf Berichtigung (Art. 16 DSGVO

das Recht auf Löschung (Art 17 DSGVO

das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO

das Recht auf Datenübertragbarkeit (Art. 20 DSGVO) sowie 

das Widerspruchsrecht (Art. 21 DSGVO

ein Beschwerderecht bei einer Aufsichtsbehörde zu. 

Liste der Datenschutzbeauftragten: https://www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html. 

12. Richten Sie eine regelmäßige Prüfung des Datenschutzes bzw. des Umgangs und der Verarbeitung mit personenbezogenen Daten ein. Datenschutz ist keine einmalige Aufgabe, sondern ein dauerhafter Prozess. Diese regelmäßigen Kontrollen, ggf. Verbesserungen und deren Umsetzung bilden ein Datenschutz-Managementsystem und helfen Ihnen dabei, auch in Zukunft datenschutzkonform zu arbeiten

13. Verpflichten Sie alle Mitarbeiter, die Zugriff auf personenbezogenen Daten besitzen, zur Vertraulichkeit bzw. Einhaltung der Datenschutz-Grundverordnung. Zudem sollten die Mitarbeiter nachweislich für das Thema Datenschutz sowie die DSGVO sensibilisiert werden, bspw. durch Schulungen statt. 

Links zu Datenschutzaufsichtsbehörden: 

https://datenschutz-hamburg.de/pages/dsgvo/ https://www.lfd.niedersachsen.de/startseite/dsgvo/ https://www.datenschutzzentrum.de/dsgvo/ https://www.lda.bayern.de/de/kleine-unternehmen.html 

Generatoren für Impressum und DS-Erklärung: https://www.e-recht24.de/muster-datenschutzerklaerung.html https://drschwenke.de/dsgvo-ready-datenschutz-generator-de-kostenlos/ https://www.wbs-law.de/it-recht/datenschutzrecht/datenschutzerklaerung-generator/ 

Sonstige lesenswerte Links: 

Shodan ist eine Suchmaschine, die bestimmte Arten von Computern und Diensten (Webcams, Routern, Servern usw.), die mit dem Internet verbunden sind, sucht. https://www.shodan.io/ 

HPI Identity Leak Checker mithilfe Ihrer E-Mailadresse ob Ihre persönlichen Identitätsdaten bereits im Internet veröffentlicht wurden

https://sec.hpi.de/ilc/search?lang=de 

https://monitor.firefox.com/ 

Datenschutz-Guru: Stephan Hansen-Oest, Fachanwalt für IT-Recht in Flensburg, Newsletter, Infos und Webinare für Datenschutz-Interessierte 

https://www.datenschutz-guru.de/ 

 

(Quelle: Christa Wiese, 

www.datenschutz-wiese.de, Juni 2019 

Referentin auf einer Veranstaltung des ver.di-Fachbereichs Medien in Kiel)