• Kontakt Info:
  • Langenstr. 66b, 18439 Stralsund
  • Mobil: +49 171 8367831
  • Telefon: +49 3831 4349530
  • info@orcas.de

erst ein Viertel aller Unternehmen setzt DSGVO um – ein Rückblick

Vier Monate nach ihrem endgültigen Inkrafttreten ist klar: erst ein Viertel aller deutschen Firmen setzen die DSGVO wirklich um. Was sind die Ursachen für teilweise gravierende Widersprüche und die fehlende Umsetzung bei den angenommenen anderen drei Vierteln?

http://www.faz.net/aktuell/wirtschaft/diginomics/die-dsgvo-sorgt-bei-vielen-unternehmen-fuer-probleme-15809464.html

Laut FAZ gibt es große Unsicherheit. Frau Thiel, Datenschutzbeauftragte für Niedersachsen, wird folgendermaßen zitiert: “Wir als Aufsichtsbehörden müssen die Rechtsbegriffe erstmal praktisch handhabbar machen.” Die International Association of Privacy Professionals stellte hingegen schon vor gut 2 Jahren fest:

https://www.heise.de/ix/meldung/IAPP-Datenschutzgrundverordnung-schafft-weltweit-Bedarf-fuer-75-000-Datenschutzbeauftragte-3461800.html

Es ist deutlich zu erkennen, dass einerseits seitens fachlich Kundiger und Branchenverbänden immer mal wieder ein erhöhter Bedarf an Datenschützern prognostiziert wird. Andererseits spiegeln sich (derzeit) diese Prognosen (noch) nicht am Markt wider.

Inzwischen wird in Deutschland über Änderungen, besonders über die Entlastung kleinerer Organisationen, Vereine und Betriebe in Sachen Datenschutzbeauftragter und Dokumentationspflichten nachgedacht, da ohnehin immer noch ein Streitpunkt ist, dass durch die Dokumentationspflichten eventuell mehr Daten von Betroffenen gesammelt werden als ohne (z. B. Zeitpunkte von An- und Abmeldung bei bestimmten Diensten):

https://netzpolitik.org/2019/datenschutzgrundverordnung-die-deutsche-umsetzung-ist-ein-laufender-prozess/#spendenleiste

Sicherlich hoffen immer noch viele, dass der anfängliche Wirbel um die DSGVO wieder in Vergessenheit gerät. Bei anderen gibt es immer noch Unsicherheiten, was überhaupt zu tun ist. Wiederum gibt es auch viele, die sich wirklich keinerlei Gedanken um notwendige und bereits eingetretene gesetzliche Änderungen des europäischen Datenschutzes machen. Es lohnt sich den Umgang mit personenbezogenen Daten zu überdenken. Das gilt auch vor dem Hintergrund, dass vielleicht angesichts der Überlastung der Datenschutzbehörden nicht unmittelbar Sanktionen für eine ausbleibende Umsetzung zu befürchten sind. Klar ist: Änderungen sind notwendig. Wir müssen den Umgang mit personenbezogenen Daten grundlegend überdenken. Hier wird sogar grundsätzlich kein Unterschied mehr zwischen Behörden und Firmen gemacht. Unklar ist zwar für viele immer noch, wie das genau passieren soll und oft wird die Wirksamkeit geforderter Maßnahmen bezweifelt, doch daran, dass sich etwas geändert hat, sollte kein Zweifel mehr bestehen.

Update: Tatsächlich hat der Bundestag am 28.06. zur Entlastung kleinerer Unternehmen beschlossen,  dass ein DSB erst ab einer Anzahl von 20 Mitarbeitern, die hauptsächlich mit der Verarbeitung personenbezogener Daten befasst sind, bestellt werden muss. Das mag sich zwar für nicht wenige gut anhören, doch es täuscht darüber hinweg, dass fast keine der bestehenden Unsicherheiten geklärt werden und die Anforderungen an den Datenschutz auch für Unternehmen ohne DSB weiterhin gestiegen sind. 

Facebook vs. DSGVO

Große Probleme angesichts des Inkrafttretens der DSGVO dürfte derzeit immer noch Facebook haben. Während Whatsapp und Apple hinsichtlich iCloud ausdrücklich von gewerbsmäßiger Nutzung ihrer Dienste abraten, vertritt das Unternehmen weiterhin aktuell entgegen der Datenschutzkonferenz, einem Gremium bestehend aus den unabhängigen Datenschutzbehörden, die Auffassung, dass die angebotenen Dienste im Einklang mit der DSGVO ständen.

https://www.datenschutz-berlin.de/pdf/publikationen/DSK/2018/2018-DSK-Facebook_Fanpages.pdf

“We want to be clear that Facebook Pages and Page Insights remain legal “

https://www.facebook.com/business/news/updates-for-page-admins-in-the-eu-and-the-eea

Sollte man nun vor lauter Verunsicherung sämtliche Unternehmensaktivitäten beim weltweit größten “Social” Net verbannen? Eine sehr gute und auch ausführliche Zusammenfassung dazu gibt es bei heise.de:

https://www.heise.de/newsticker/meldung/Analyse-zum-EuGH-Urteil-Noch-kein-Grund-Facebook-Seiten-zu-schliessen-4069690.html

bestehende Situation

Knackpunkt in der ganzen Debatte ist die Mitverantwortung des Nutzers an der Verarbeitung personenbezogener Daten. Viele argumentieren hier, dass sie keinen Einfluss auf die Verarbeitung hätten. Einerseits lassen viele gewerbliche Nutzer die Sorge um personenbezogenen Daten Dritter weitgehend vermissen und sind sich der Folgen leichtfertigen Umganges mit Daten nicht bewusst. Es lässt sich auch wohl nicht von heute auf morgen erwarten, dass sich das ändert. Andererseits zeigt sich Facebook bisher wenig flexibel, was die Anpassung des eigenen Geschäftsmodells an europäischen Datenschutz anbelangt. Facebook trägt hier also ganz klar die Verantwortung ein Produkt anzubieten, das sich ohne Bauchschmerzen in der EU ( s. Facebook – Urteil ) einsetzen lässt. Das sollte auch für Nutzer gelten, welche mitunter nicht so viel zusätzliche Zeit aufbringen können die neuen gesetzlichen Vorgaben im Einzelnen zu verstehen.

Personenbezogene Daten sind natürlich keine Ware, die man handeln könnte, sondern ein schutzwürdiges Gut. Hier fehlt immer noch Bewusstsein, auch im Sinne von Vertrauen erweckenden Geschäftsprozessen. Könnte sich jeder bedenkenlos ohne Sorgen und ohne Angst vor den Gefahren von Wirtschaftsspionage und Überwachung überall anmelden, würde sich das mit Sicherheit auch positiv auf geschäftliche Strukturen in vielen verschiedenen Bereichen auswirken. Andererseits kalkulieren Nutzer den Verkauf ihrer persönlichen Daten mehr oder weniger mit ein. Sie sind sich jedoch oft nicht wirklich über alle Folgen bewusst.

Doch auch dem, der sich schon Gedanken gemacht hat, bleibt es in Sachen Facebook nur abzuwarten. Welche Webdienste sicher eingesetzt werden können, wird sich erst in Zukunft entscheiden.

Bildquelle: https://pixabay.com/de/facebook-meeting-social-personen-260818/

EU-US Privacy Shield und DSGVO – Facebook, Whatsapp, Twitter, Google

Vielen Nutzern stellt sich die Frage, welche Webdienste gerade im geschäftlichen Umfeld nach den Vorgaben der DSGVO bedenkenlos genutzt werden können. Es geisterten auch schon einige Meldungen durch die Medien, u. a. dass die Nutzung von Whatsapp für Handwerkerfotos nicht mehr möglich ist. Welche Bedeutung hat die “EU-US Privacy Shield”-Zertifizierung?

EU-US Privacy Shield

Da ein Großteil des genutzten Internets immer noch durch amerikanische Firmen bestimmt wird, spielt hier die nicht unumstrittene “EU-US Privacy Shield”-Zertifizierung eine wichtige Rolle. Nach dem Bruch des “Safe-Harbor Abkommens” (heise.de berichtete) stellt diese eine Orientierung bereit um zu entscheiden, ob Dienste von Unternehmen aus nicht EU-Ländern in Europa genutzt werden dürfen. Die Unternehmen in dieser Liste haben sich zertifizieren lassen und sich damit verpflichtet die Grundsätze des europäischen Datenschutzrechts zu befolgen. Google, Facebook, Twitter, Microsoft und auch Whatsapp finden sich in der Liste der zertifizierten Unternehmen auf https://www.privacyshield.gov/list. Apple findet sich übrigens nicht in der Liste.

AV-Vereinbarung

Spätestens seit dem Urteil in Sachen Facebook wurde klar gestellt, dass eine sogenannte “gemeinsame Verantwortung” des Nutzers zusammen mit dem Anbieter des Webdienstes in Sachen personenbezogene Daten vorliegt. Gerade vor diesem Hintergrund ist allerdings wichtig, dass bei nicht privater Nutzung, also auch z. B. im Verein, eine entsprechende AV-Vereinbarung als organisatorische Maßnahme mit dem jeweiligen Anbieter  zustande kommt.

Rechtliche Position

Wie wackelig der rechtliche Bezug auf die EU-US Privacy Shield Zertifizierung ist, zeigt sich bei Whatsapp. Whatsapp ist zertifiziert, scheidet aber für die Nutzung im nicht privaten Umfeld aus, da ohne Einwilligung des Nutzers personenbezogene Daten erfasst werden, um gewohnte Funktionen bereit zu stellen. Damit ist jedem Nutzer klar, dass gegen die Grundsätze der DSGVO verstoßen wird. So kann man sich auch nicht mehr auf die “rechtliche Krücke” der EU-US Privacy Shield Zertifizierung zurück ziehen. Whatsapp schließt übrigens in seinen AGB’s die Nutzung im nicht privaten Umfeld ohne extra Zustimmung durch Whatsapp aus.

Besonders kritisch ist bei Whatsapp die Freigabe der Kontaktliste zu betrachten. Ein Nutzer darf der Freigabe eigentlich erst zustimmen, wenn er von allen Kontakten, deren Daten nicht öffentlich zugänglich sind, eine Einwilligung hat. Die Kontaktdaten in der persönlichen Kontaktliste sind nämlich gar nicht seine eigenen Daten, sondern gehören der jeweiligen Person. Siehe dazu auch “WhatsApp: Datenschutzkonforme Nutzung möglich?“.

Etwas anders verhält es sich im Falle von Apple. Hier sind Produkte grundsätzlich etwas mehr auf Datenschutz ausgelegt. Dennoch wird z.B. die “iCloud” für Unternehmen zum Problem, s. https://www.datenschutz-guru.de/warum-apples-icloud-fur-unternehmen-derzeit-ein-problem-sein-kann/.

In der Frage der Einwilligung in die Erfassung personenbezogenener Daten laufen im Moment außerdem Verfahren gegen Google und Facebook. Hier wird wiederum deutlich, dass eine wie auch immer geartete Zertifizierung einen Anhaltspunkt, jedoch keine Garantie dafür bietet, dass ein Webdienst im geschäftlichen Umfeld genutzt werden darf oder sollte.

Europäische Rechenzentren

In Sachen Technik und IT-Sicherheit ist es zu Recht umstritten, ob personenbezogene Daten grundsätzlich im Unternehmensnetzwerk oder der Cloud besser aufgehoben sind. Da muss einfach je nach Situation entschieden und abgewogen werden.

Microsoft

Eine Sonderposition nimmt hier aktuell Microsoft ein. Die Firma betreibt für Firmen eigene Rechenzentren in Europa und möchte so ausschließen, dass Daten in die USA übertragen werden. Das führte auch schon zu rechtlichen Auseinandersetzungen zwischen Microsoft und dem FBI (Microsoft setzt sich bei Datenabfrage gegen FBI durch). Aber aufpassen, denn das bedeutet nicht, dass alle von Microsoft angebotenen Dienste als datenschutzkonform nach DSGVO zu betrachten sind. Die Speicherung von Daten in europäischen Rechenzentren zum Beispiel lässt sich Microsoft extra bezahlen.

Fazit

Insgesamt zeigt sich inzwischen deutlich, dass die mittlerweile gewohnte Nutzung einiger Webdienste Probleme im Kontext des europäischen Rechtsraumes mit sich bringt. Rechtskonform in Bezug auf die Nutzung amerikanischer Dienste verhält man sich scheinbar nur durch völligen Verzicht.

Ob der Druck durch die EU Kommission und dem europäischen Markt groß genug wird, dass gerade häufig in Anspruch genommene amerikanische Firmen in Sachen Datenschutz nachbessern, bleibt abzuwarten.

Warum sollten alle Dateisysteme verschlüsselt sein?

In einem Unternehmen sollten alle Dateisysteme, nicht nur die von mobilen Geräten wie Laptops, USB-Sticks und Smartphones, verschlüsselt sein, weil das Vorbeugen gegen Missbrauch unter die vorgeschriebene Sorgfaltspflicht fällt. Kommt es zu einem, nach DSGVO, meldepflichtigen Vorfall oder zu einer Kontrolle durch die Aufsichtsbehörden, können Ihnen unverschlüsselte Dateisysteme als grob fahrlässig ausgelegt werden und zu Strafen führen.

Davon bleibt unbeschadet, dass es Ihnen mit Sicherheit auch lieber ist, dass Diebe mit Ihren Daten nichts anfangen und so auch keine Folgeschäden verursachen können.

Wer benötigt einen Datenschutzbeauftragten?

Die DSGVO und das BDSG schreiben für alle Firmen, Unternehmen, Vereine, Organisationen usw. einen Mindeststandard für den Datenschutz vor. Einige müssen sogar einen Datenschutzbeauftragten benennen, der dann dem Landesdatenschutzbeauftragten gemeldet werden muss. Aber wer genau benötigt so einen Datenschutzbeauftragten?

Allgemein bekannt scheint die im §38 Art. 1 BDSG (neu) genannte Regelung zu sein, nach der ein Unternehmen, in dem mindestens 10 Personen (Angestellte oder auch freie Mitarbeiter) ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind, einen Datenschutzbeauftragten benötigen. Es gibt aber eine Vielzahl weiterer Regelungen und damit verbundener Auslegungen. Unter folgenden Bedingungen ist beispielsweise auch ein Datenschutzbeauftragter erforderlich:

  • bei Unternehmen mit mehr als 250 Mitarbeitern,
  • in ärztlichen Gemeinschaftspraxen in denen mehr als ein Arzt auf die selben Patientendaten zugreifen kann,
  • in einer Arztpraxis, in der die Anzahl der Betroffenen erheblich über dem Betroffenenkreis eines durchschnittlichen, durch ErwGr. 91 Satz 4 privilegierten Einzelarztes, liegt,
  • in Behörden oder öffentlichen Stellen (mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln),
  • bei Verarbeitung besonderer Arten von personenbezogenen Daten nach Art. 9 DSGVO
  • bei Notwendigkeit einer Datenschutzfolgeabschätzung (DSFA)
  • wenn der überwiegende Geschäftszweck die Verarbeitung von personenbezogenen Daten ist
    • dazu werden die meisten IT-Unternehmen gezählt, da durch Zugriff auf unternehmensfremde Systeme i. d. R. ein Zugriff auf personenbezogene Daten gegeben ist, auch wenn diese praktisch nicht verarbeitet werden. Ausnahmen stellen hier lediglich Designer dar, welche keinen umfassenden Zugriff auf Systeme ihrer Kunden erhalten.
  • wenn die „Kerntätigkeit“ eine „umfangreiche regelmäßige und systematische Überwachung von Personen“ beinhaltet,
  • wenn eine geschäftsmäßige Verarbeitung personenbezogener Daten zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung vorliegt.

Datenschutz nach DSGVO, die nächste große Hürde nach dem Euro?

ein Abriss zwei Monate nach Inkrafttreten der DSGVO

Wenn man die Diskussion zum Thema verfolgt, so geht es vor allem um Eines: nebulöse neue Bedingungen für den Geschäftsbetrieb, das Business sowie alle möglichen Organisationsstrukturen, z. B. Vereine – Bedingungen, die eigentlich gar nicht umsetzbar seien und nur Kosten in die Höhe trieben, wobei alle Unternehmen und Organisationen, die tatsächlich viele Daten verarbeiten, mit ihren Rechtsabteilungen ohne viele Reibereien davon kämen; und Eigenlob auf der anderen Seite in den gesetzgebenden Instanzen für einen scheinbar gelungenen zeitgemäßen Datenschutz.

Praktisch stellt sich jedoch allein die Frage, welche neuen und beständigen, andererseits, welche unmittelbaren Vorgaben wurden hier seitens EU und deutschem Gesetzgeber, der ja schon mal mit hoher Durchfallquote beim Bundesverfassungsgericht glänzt, gemacht. Und darum soll es hier gehen.

Die erste Frage, die sich stellt: Was ändert sich für mich auch ohne Datenschutzbeauftragten?

Wer sich mit dem Thema Datenschutz auseinander setzt, der weiß, dass künftig nahezu jede Organisationsstruktur, angefangen beim Verein, die personenbezogene Daten, auch im Auftrag Dritter, erfasst und verarbeitet, als Verantwortliche eine Menge Dokumentationen zu erstellen hat, mit denen der Schutz personenbezogener Daten nachgewiesen werden kann und auch muss. Dazu zählt in erster Linie das Verfahrensverzeichnis, welches künftig standardmäßige für alle verbindliche Verfahren definiert, um Daten zu verarbeiten. Gerade bei der Erstellung eines Verfahrensverzeichnisses kann sich durchaus auch herausstellen, dass eine DSFA (Datenschutzfolgeabschätzung, begrifflich eine Nachfolgerin der Technikfolgeabschätzung) notwendig wird. Somit ist auch ein Datenschutzbeauftragter zu bestellen. Daneben wird für alle auch die Dokumentation zu Berechtigungen, Sicherheit, Backup und Notfällen Pflicht. Doch die Dokumentation allein reicht nicht. Es muss künftig gerade auch ein sowohl technisches als auch organisatorisches, gegebenenfalls erhöhtes, Sicherheitsniveau sicher gestellt sein oder geschaffen werden, damit personenbezogene Daten allein überhaupt erfasst und verarbeitet werden dürfen. Wichtig ist vor allem, dass künftig nur noch auf verschlüsselte Datenträger gespeichert wird. Der Gesetzgeber verlangt darüber hinaus auch organisatorische Garantien, wie z. B. spezielle Vereinbarungen. Konkret vorgeschrieben ist die sogenannte Auftragsdatenverarbeitungsvereinbarung (AV-Vereinbarung).
Wird keine Dokumentation erstellt, vor allem – fehlt ein Verfahrensverzeichnis oder AV-Vereinbarungen – wird dies wiederum als grob fahrlässig angesehen.

Was muss ich Betroffenen gegenüber künftig beachten?

Betroffenen, von den Daten verarbeitet werden, steht künftig ein Auskunftsrecht über alle gespeicherten Daten zu. Das gilt auch gegenüber Behörden. Betroffene müssen außerdem anders als bisher informiert werden, sollten sie nicht ohnehin Kenntnis von der Erfassung und Speicherung ihrer Daten erlangt haben.
Außerdem ist die Verfügbarkeit der personenbezogenen Daten sicher zu stellen.

Brauche ich nun einen Datenschutzbeauftragten und was kann mir passieren?

Mit dieser Frage sind nach bisheriger Erfahrung mit dem neuen Datenschutz viele überfordert. Habe ich mehr als 9 Mitarbeiter, die hauptsächlich mit personenbezogenen Daten beschäftigt sind, d. h. in der Regel Management, Verwaltung und Buchhaltung? Wenn ja, dann ist ein Datenschutzbeauftragter notwendig. Doch das ist nicht das einzige Kriterium. Werden möglicherweise besondere Kategorien personenbezogener Daten, also solche, die besonders sensibel sind und eines erhöhten Schutzniveaus bedürfen, verarbeitet oder fallen solche an, z. B. eine weiträumige Videoüberwachung öffentlich zugängiger Bereiche, oder ist für eine Verarbeitung eine DSFA nötig? Auch dann ist ein Datenschutzbeauftragter nötig, unabhängig von der Anzahl der Mitarbeiter. Dazu gibt es von den Datenschutzbehörden Listen mit Verarbeitungstätigkeiten, hier die Liste für Mecklenburg-Vorpommern (https://www.datenschutz-mv.de/static/DS/Dateien/DS-GVO/Hilfsmittel%20zur%20Umsetzung/MV_DSFA_Muss-Liste.pdf), die auf jeden Fall einer DSFA bedürfen. Zusätzlich gibt es für spezielle Berufsgruppen wie z. B. Rechtsanwälte, Steuerberater und Ärzte Ausnahmeregelungen. Trotzdem ist z. B. bei ärztlichen Gemeinschaftspraxen auch bei weniger als 10 Mitarbeitern nach allgemeiner Auffassung ein Datenschutzbeauftragter notwendig.
Es zeigt sich also, dass nicht mehr wie bisher die Unternehmensgröße allein eine Rolle spielt.
Wird ein Datenschutzbeauftragter allerdings trotz mitunter nicht einfach nachvollziehbarer Vorgaben nicht bestellt, dann wird das in Zukunft als fahrlässig angesehen und aller Wahrscheinlichkeit nach mit einem Bußgeld belegt.

Was ist die Grundlage des neuen Datenschutzes nach EU-Recht?

Grundlage des “neuen” Datenschutzes ist ein Verbot der Verarbeitung personenbezogener Daten außer zu gesetzlich vorgeschriebenen Zwecken mit Erlaubnisvorbehalt. Dieser Erlaubnisvorbehalt stützt sich im Wesentlichen auf die Einwilligung des Betroffenen sowie mitunter ein berechtigtes Interesse des Verantwortlichen zu Verarbeitung. Wer also tatsächlich  bedenkenlos persönliche Daten weg gibt, dem ist möglicherweise auch in Zukunft nicht geholfen. Darüber hinaus wird es im Einzelnen schon mal kompliziert. Der Erlaubnisvorbehalt ist zudem an einen genau definierten Zweck der Verarbeitung gebunden. Der Wegfall des Zweckes der Verarbeitung von Daten bedingt grundsätzlich deren Löschung. Zusammen mit dem Zweck gibt es ein Gebot der Minimierung von zu verarbeitenden Daten. Außerdem besteht künftig ein Koppelungsverbot. Es dürfen Informationsdienste nicht an die Erfassung personenbezogener Daten gekoppelt werden. Das bereitet derzeit vor allem Facebook und auch Google Kopfzerbrechen.

Fazit

Der neue Datenschutz hat es in sich. Unternehmen und Organisationen müssen künftig nachweisen, dass sie sich um Datenschutz nicht nur bemüht, sondern diesen aktiv umgesetzt haben und im Tagesgeschäft beachten. Einerseits gibt es mitunter noch keine klaren Vorgaben, was zu tun ist, auf der anderen Seite jedoch bereits drastischere Möglichkeiten der Sanktionierung als bisher.

Was sich allgemeiner definiert als Zweckbindung, Datenminimierung, Betroffenenrechte, Transparenz und Sicherheit und auf der technischen Seite mit Integrität, Vertraulichkeit, Zuverlässigkeit ganz gut anhört, ist doch mitunter nicht so leicht zu verstehen und umzusetzen.
Andererseits möchten mit Sicherheit auch Sie, dass Ihre Geschäftspartner und Dienstleister mit Ihren Daten verantwortungsvoll umgehen.

Updates

04.08.2018 – Fazit

17.08.2018 – Korrekturen und Formulierungen

21.08. 2018 – Beitragsbild

Quellenangaben

https://pixabay.com/en/privacy-policy-privacy-data-security-3583612/

Sind Sie es leid, immer wieder dieselbe Auswahl zu treffen?
Wichtiger Hinweis
DSGVO Nachricht
  • Beschreibung
    Weitere Informationen sind nicht bekannt.
  • Beschreibung
    Weitere Informationen sind nicht bekannt.
  • Beschreibung
    Weitere Informationen sind nicht bekannt.
  • Beschreibung
    Weitere Informationen sind nicht bekannt.
x