November 27

15 comments

Wie betrifft Dich die DSGVO? Interview mit Datenschützerin Jasmin Lieffering

By Jasmin Lieffering

November 27, 2017


Letzte Aktua­li­sie­rung 27. Dezem­ber 2018 

Seit fast 70 Jah­ren leben wir in der Bun­des­re­pu­blik Deutsch­land in einer sta­bi­len Demo­kra­tie, die auf­grund ihrer Geschichte Daten­schutz sehr ernst nimmt. Das ist eine sehr gute Sache und wird von mir auch nicht in Frage gestellt. Aber als Mar­ke­ting-Bera­te­rin erlebe ich immer wie­der, dass viele Dinge, die im Aus­land selbst­ver­ständ­lich gemacht wer­den dür­fen, in Deutsch­land aus Daten­schutz­grün­den nicht erlaubt sind.

Nun nähert sich auch zusätz­lich mit schnel­len Schrit­ten die Daten­schutz­grund­ver­ord­nung — kurz DSGVO — deren Rege­lun­gen ab Mai 2018 in Europa bin­dend wird und die aus­nahms­los für große Kon­zerne ebenso wie für Ein­zel­un­ter­neh­mer gilt.

Wäh­rend große Unter­neh­men schon seit Wochen oder gar Mona­ten mit der Umset­zung von Maß­nah­men zur Ein­hal­tung der DSGVO beschäf­tigt sind, nehme ich bei Kun­den und Netz­werk­part­nern vor­nehm­lich Besorg­nis und eine große Rat­lo­sig­keit wahr. Wie sol­len wir das alles schaf­fen, wenn in gro­ßen Unter­neh­men ganze Abtei­lun­gen damit beschäf­tigt sind? Manch­mal ist auch gar kein Bewusst­sein vor­han­den, etwas tun zu müs­sen. Was kommt da auf mich zu? Muss ich damit rech­nen, hohe Stra­fen zah­len zu müs­sen und was muss ich eigent­lich tun oder lassen?

Da mich diese Fra­gen immer wie­der errei­chen und mich auch selbst beschäf­ti­gen, habe ich meine Fra­gen ein­fach mal an eine Spe­zia­lis­tin gestellt. Jas­min Lief­fe­ring ist Daten­schüt­ze­rin aus Lei­den­schaft und hat sich bereit erklärt, die drin­gends­ten Fra­gen zu beantworten.

Wer ist Jasmin Lieffering?

Jas­min, ganz herz­li­chen Dank, dass Du Dir die Zeit nimmst, den Lesern des Mar­ke­ting-Zau­ber-Blogs und mir die drän­gends­ten Fra­gen zur neuen Ver­ord­nung zu beant­wor­ten. Stelle Dich doch bitte zunächst kurz vor:

Danke Bir­git, dass Du mir die Mög­lich­keit gibst, auf Dei­nem Blog die­ses Thema etwas aus­zu­füh­ren. Mein Name ist Jas­min Lief­fe­ring und ich bin seit 2015 zer­ti­fi­zierte Datenschutzbeauftragte.

Ich habe mich auf Ziel­grup­pen spe­zia­li­siert, die noch kei­nen ein­fa­chen Zugang zum Daten­schutz bekom­men. Das sind Selbst­stän­dige und Klein­un­ter­neh­men. Hier stehe ich als Bera­ter zur Ver­fü­gung und begleite unter­stüt­zend meine Kun­den bei der Umset­zung von Datenschutz.

Warum sollen die Daten in Europa bleiben?

Warum wird eigent­lich ein so gro­ßer Wert dar­auf gelegt, dass die Daten in Europa ver­blei­ben müs­sen? Geht es wirk­lich nur um die ame­ri­ka­ni­schen Geheim­dienste — oder was ist der Hintergrund?

Tat­säch­lich war die Snow­den-Affäre wohl eine Art Weckruf.

Die dama­li­gen Ent­hül­lun­gen haben gezeigt, dass es um den Daten­schutz und somit um die Frei­heit der Bür­ger schlecht bestellt war. Aller­dings ist es ein Miss­ver­ständ­nis, dass die Daten unbe­dingt in Europa blei­ben müs­sen. Die EU hat mit den USA ein Abkom­men abge­schlos­sen, den EU-US-Pri­vacy Shield, der es auch ermög­licht, Daten in die USA zu geben.

In dem letz­ten Jahr haben wir aller­dings erlebt, dass Daten­schutz zu einem poli­ti­schen Instru­ment wurde. Die der­zei­tige Regie­rung Trump ver­sucht Daten­schutz abzu­bauen und stößt dabei auf Wider­stand aus der IT-Branche.

Ein Sze­na­rio, das ich für unmög­lich gehal­ten habe.

Die IT-Bran­che setzt Daten­schutz vor allem als Schutz gegen­über der eige­nen Regie­rung ein. Sie baut Ser­ver­far­men hier in Europa auf, um dem lan­gen Arm der Regie­rung zu ent­kom­men und neben­bei auch die EU-Vor­ga­ben zu erfüllen.

Wenn es nur um die Geheim­dienste gehen würde, dann wären die Daten in Deutsch­land auch nicht sicher. Die Regie­rung hat in der letz­ten Legis­la­tur­pe­ri­ode viele Gesetze ver­ab­schie­det, die den Daten­schutz und die IT-Sicher­heit auch hier im Land mas­siv nega­tiv beeinflussen.

Ist Datenschutz denn schlecht?

Daten­schutz wird oft als nega­tiv empfunden.

Als Inno­va­ti­ons­ver­hin­de­rer oder Dokumentationsmonster.

Dabei ist die Inten­tion eine ganz andere:

Denn im Mit­tel­punkt steht der Mensch als Per­son, als Indi­vi­duum. Nie­mand unter­stellt Unter­neh­men, absicht­lich Per­so­nen scha­den zu wollen.

Daten­schutz hat die Grund­in­ten­tion, Unter­neh­men dafür zu sen­si­bi­li­sie­ren, dass sich hin­ter den Daten­sät­zen reale Men­schen mit einem rea­len Leben ver­ber­gen, die ich einem rea­len Risiko aussetze.

Jede Daten­ver­ar­bei­tung bedeu­tet ein Risiko.

Nie­mand möchte sein Bank­konto leer­ge­räumt sehen, seine Iden­ti­tät von einem ande­ren genutzt wis­sen oder seine Kran­ken­akte im Netz zugäng­lich sehen. Gerade heute, in der Zeit der Digi­ta­li­sie­rung, rückt Daten­schutz den Men­schen in den Mit­tel­punkt einer daten­ba­sier­ten Wirtschaft.

Sind E‑Mails denn wirklich so gefährdet?

Das ver­stehe ich sehr gut, Jas­min, und wahr­schein­lich auch jeder Unter­neh­mer. Aber was ist an einem Vor­na­men und einer E‑Mail-Adresse, die zudem meist noch eine Free­mai­ler-Adresse von einem Anbie­ter wie Google, Yahoo oder Hot­mail denn so schützenswert?

Diese Frage bekomme ich immer wie­der gestellt. Wir kön­nen nicht abse­hen was die Digi­ta­li­sie­rung uns die nächs­ten Jahre so bringt. Auch ein Free­mail-Anbie­ter muss sich an Daten­schutz halten.

Oder möch­test Du, dass Deine Emails gele­sen werden?

Dar­aus kann man einen glä­ser­nen Men­schen machen!

Ein Bei­spiel was heute mög­lich ist und was auch schon getan wurde:

Google hat die Emails durch einen Algo­rith­mus aus­wer­ten las­sen und Wer­bung mit Bezug auf den Inhalt ange­zeigt. Also da hat jemand zum Bei­spiel von Urlaub in Grie­chen­land geschrie­ben und prompt war unter der E‑Mail eine Wer­be­an­zeige von Urlaubs­an­bie­tern mit Desti­na­tion Grie­chen­land. Nun kann man sich dar­über strei­ten, ob das schlimm ist oder nicht.

Ein ande­res Beispiel:

Eine Frau wollte in den USA ihre Ver­wand­ten besu­chen, die ein Kind hat­ten. Sie hatte vor­ge­schla­gen mal dar­auf auf­zu­pas­sen. Sie wurde an der Ein­reise gehin­dert, weil ihr eine geplante Steu­er­hin­ter­zie­hung vor­ge­wor­fen wurde.

Die Grund­in­ten­tion der DSGVO kann man im Erwä­gungs­grund 4 nach­le­sen. Dort heißt es: “Die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten sollte im Dienst der Mensch­heit stehen.”

In Erwä­gungs­grund 2 steht, “die Grund­sätze und Vor­schrif­ten zum Schutze natür­li­cher Per­so­nen bei der Ver­ar­bei­tung ihrer per­so­nen­be­zo­ge­nen Daten soll­ten gewähr­leis­ten, dass ihre Grund­rechte und Grund­frei­hei­ten und ins­be­son­dere ihr Recht auf Schutz per­so­nen­be­zo­ge­ner Daten unge­ach­tet ihrer Staats­an­ge­hö­rig­keit oder ihres Auf­ent­halts­orts gewahrt bleiben”.

Also im Grunde dis­ku­tie­ren wir ein Grund­recht was jeder hier hat.

Was tun, wenn der Datenschützer klingelt?

Wie muss ich mir das eigent­lich vor­stel­len, was pas­siert, wenn der Daten­schüt­zer bei mir klin­gelt, um die Ein­hal­tung der DSGVO zu über­prü­fen? Werde ich “vor­ge­warnt”?

Wie genau das Prüf­ver­fah­ren unter der DSGVO aus­sieht, steht noch nicht fest. Ich bin der Mei­nung, dass es sich stark an dem bis­he­ri­gen Ver­fah­ren ori­en­tiert. Bis jetzt wur­den zu prü­fende Unter­neh­men mit einem Anschrei­ben der Lan­des­da­ten­schutz­be­auf­trag­ten vorgewarnt.

Es gab auch große Unter­schiede zwi­schen den Prüf­ver­fah­ren unter den ein­zel­nen Bun­des­län­dern. So hat Bay­ern gerne kleine Unternehmen
geprüft, Nie­der­sach­sen hat sich immer gerne ganze Bran­chen vorgenommen.

Abschlie­ßend kann man dazu noch nicht viel sagen. Das wird auch noch sehr span­nend wer­den, da die EU-Län­der sich auch unter­ein­an­der abstim­men müs­sen und sich auf ein ein­heit­li­ches Ver­fah­ren eini­gen müssen.

Was muss für die DSGVO dokumentiert werden?

Gibt es irgendwo eine Liste, was ich doku­men­tie­ren muss — und in wel­cher Form? Ich habe gese­hen, dass der Deut­sche Dia­log­mar­ke­ting Ver­band (DDV) einen Best Prac­tice Guide her­aus­ge­ge­ben hat — lei­der ist das für Nicht­mit­glie­der mit rund 200 Euro sehr teuer — wo bekomme ich zuver­läs­sige Infor­ma­tio­nen in ver­ständ­li­cher Form?

Ich habe schon bemerkt, dass gerade die­ses Thema für viel Auf­re­gung sorgt.

Das Pro­blem bei der gan­zen Sache mit der Doku­men­ta­tion ist, das hängt davon ab was das Unter­neh­men macht und wie kom­plex die Ver­ar­bei­tungs­tä­tig­kei­ten sind. Was jedes Unter­neh­men haben sollte, ist eine Über­sicht der Ver­ar­bei­tungs­tä­tig­kei­ten. Also das ehe­ma­lige Ver­fah­rens­ver­zeich­nis.

Auf­trags­da­ten­ver­ar­bei­tungs­ver­träge braucht man immer dann, wenn Out­sour­cing betrie­ben wird.

Was auch wich­tig ist, ist eine Anlei­tung, was zu tun ist, wenn eine Daten­schutz­panne pas­siert. Da in kur­zer Zeit, 72 Stun­den, geprüft wer­den muss, wer infor­miert wer­den muss und in wel­chem Umfang, bleibt dann nicht viel Zeit, noch lange dar­über nachzudenken.

Auch das “Recht auf Ver­ges­senwer­den” sollte nicht unter­schätzt wer­den. Hier ist es gut, ein Löschungs­kon­zept zu haben.

Wie muss die Dokumentation aussehen?

Ver­fah­rens­ver­zeich­nis sagt mir jetzt nichts. Und wahr­schein­lich vie­len ande­ren Ein­zel­un­ter­neh­mern auch nicht. Ver­stehe ich das also rich­tig, dass ich ein­fach ein Word-Doku­ment erstel­len könnte, in das ich reinschreibe: 

  • Rech­nungs­er­stel­lung — Fastbill
  • News­let­ter-Ver­sand — Acti­ve­Cam­paign
  • Daten­si­che­rung — Crashplan
  • und so weiter …

Und wie kann ich mir grob vor­stel­len, wie ich doku­men­tie­ren muss, was ich im Falle einer Panne tun werde?

Ganz so sim­pel ist es nicht.

Neben den Grund­an­ga­ben zum Unter­neh­men müs­sen die Bezeich­nung der Ver­ar­bei­tungs­tä­tig­keit (zum Bei­spiel News­let­ter­ver­sand),  Daten­ka­te­go­rien (bei­spiels­weise Kun­den­stamm­da­ten und Nut­zungs­ver­hal­ten), die betrof­fene Per­son (also Kun­den, Inter­es­sen­ten, Web­site­be­su­cher, …), Zwe­cke (Adres­sie­rung der Anspra­che, Nach­weis wirk­sa­mer Ein­wil­li­gung), Rechts­grund­lage, Daten­quelle, Infor­ma­tion der Betrof­fe­nen, Emp­fän­ger, Löschung, Schutz­maß­nah­men (tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men) genannt und aus­ge­führt werden.

Dazu gibt es aber auch schon Vor­la­gen im Inter­net zu finden.

Für die Doku­men­ta­tion einer Panne also einer Data Bre­ach, ist zuerst zu prü­fen wer über­haupt infor­miert wer­den muss. Also ob nur die Auf­sichts­be­hörde oder auch Betrof­fene infor­miert wer­den müssen.

Dazu muss eine Risi­ko­ab­wä­gung durch­ge­führt werden.

Die Auf­sichts­be­hörde bekommt eine soge­nannte Data Bre­ach Noti­fi­ca­tion.

Diese muss fol­gen­des enthalten:

  • eine Beschrei­bung der Datenpanne,
  • wenn mög­lich mit Angabe der Kate­go­rie und Anzahl der betrof­fe­nen Personen,
  • der Kate­go­rie und Anzahl der betrof­fe­nen Datensätze,
  • Name und Kon­takt­da­ten eines Daten­schutz­be­auf­trag­ten oder einer ande­ren Anlaufstelle,
  • eine Beschrei­bung der wahr­schein­li­chen Fol­gen der Daten­panne und
  • eine Beschrei­bung der ergrif­fe­nen oder vor­ge­schla­gene Maß­nah­men durch die ver­ant­wort­li­che Per­son zum Ein­däm­men oder Been­den der Datenpanne.

Dies muss unver­züg­lich nach Kennt­nis, dass es eine Daten­panne gibt, erfol­gen. Der Auf­sichts­be­hörde muss eine Data Bre­ach Noti­fi­ca­tion spä­tes­tens inner­halb von 72 Stun­den zuge­stellt wer­den. Die Auf­sichts­be­hör­den arbei­ten gerade an einer Mög­lich­keit eine Data Bre­ach Noti­fi­ca­tion online zu verfassen.

Übri­gens: Das Ver­lie­ren eines USB-Sticks, auf dem sich per­so­nen­be­zo­gen Daten befin­den, wäre schon eine sol­che Datenpanne.

Die­ses Pro­ze­dere zeigt warum, man sich schon im Vor­feld damit beschäf­tigt haben sollte. Die Daten­schutz­leit­li­nie für das Worst-Case Sze­na­rio sollte daher immer fol­gen­des beinhalten:

  • Kon­takt, den man im Not­fall anruft um die Daten­panne zu behe­ben (falls möglich),
  • Kon­takt, der eine Risi­ko­ab­wä­gung durch­füh­ren kann und genau bestim­men kann ob auch betrof­fene Per­so­nen infor­miert wer­den müssen
    und genau die Punkte bear­bei­tet, die für eine Data Brach Noti­fi­ca­tion nötig sind.

Damit man das schnell erstel­len kann.

Muss ich jeden einzelnen Internet-Dienst, den ich verwende, angeben?

Für alle, die im Inter­net für ihre Dienst­leis­tun­gen und Pro­dukte wer­ben und teil­weise ihre Dienst­leis­tun­gen auch mit Hilfe von Online-Diens­ten über­haupt erst erbrin­gen kön­nen, ist die DSGVO ein dicker Bro­cken. Gilt sie eigent­lich für jeden ein­zel­nen Dienst, den ich ver­wende? Also von der online Pass­wort-Ver­wal­tung, mei­nem FTP-Pro­gramm, mit dem ich Daten auf Kun­den­ser­ver über­tra­gen kann, Webi­nar-Soft­ware (zum Bei­spiel Click­Mee­ting oder Zoom), Kon­fe­renz-Sys­teme wie Skype, Chat-Sys­teme wie den Face­book-Mes­sen­ger bis hin zu News­let­ter- und CRM-Sys­te­men wie Mail­chimp oder Acti­ve­Cam­paign? Was ist mit Backup- und Daten­syn­chro­ni­sa­ti­ons­diens­ten wie der Drop­box oder GoogleDrive? 

Grund­sätz­lich gilt die DSGVO für alle Unter­neh­men, die ihre Dienste oder Pro­dukte in Europa anbieten.

Also ja, auch Online-Dienste sind davon betroffen.

Bei Daten­schutz geht es aller­dings immer um per­so­nen­be­zo­gene Daten.

Also Umsatz­zah­len eines Unter­neh­mens fal­len nicht unter Daten­schutz, son­dern wären ein Fall für die IT-Sicherheit.

Also immer dann, wenn ich per­so­nen­be­zo­gene Daten an einen Online-Dienst wei­ter­gebe, brau­che ich einen Auf­trags­da­ten­ver­ar­bei­tungs­ver­trag mit die­sen Unternehmen.

Aus­nah­men bestä­ti­gen die Regel.

Das kön­nen sein:

  • eine Ein­wil­li­gung des Betrof­fe­nen liegt vor (schwie­rigste Variante),
  • eine ver­trag­li­che Not­wen­dig­keit (Bei­spiel: Ein Shop ver­sen­det Waren mit Logis­tik­dienst­leis­ter) oder
  • ein berech­tig­tes Inter­esse (Ach­tung: hier muss sehr gut argu­men­tiert werden!).

Muss ich eventuell den Dienstleister wechseln?

Was ist, wenn der außer­eu­ro­päi­sche Dienst das ver­wei­gert, ich aber schon im Vor­aus Gebüh­ren bezahlt habe? Muss ich dann tat­säch­lich die Nut­zung des Diens­tes unter­las­sen? Bekommt ich even­tu­ell eine Ent­schä­di­gung? Und was ist, wenn der Dienst nur semi­pro­fes­sio­nell ist, viel­leicht ein Startup-Unter­neh­men, das erst noch im Auf­bau ist?

Mir ist schon zu Ohren gekom­men, dass es Dienste gibt, die das noch nicht anbieten.

Das Pro­blem liegt darin, dass ich als Auf­trag­ge­ber einen poten­zi­el­len Auf­trag­neh­mer vorab auf Daten­schutz­kon­for­mi­tät über­prü­fen muss.

Also der schwarze Peter liegt beim Auftraggeber.

Es ist eben­falls nicht gere­gelt, ob ein Auf­trags­da­ten­ver­ar­bei­tungs­ver­trag unent­gelt­lich ange­bo­ten wer­den muss.

Wenn es tat­säch­lich keine andere Mög­lich­keit der Eini­gung gibt, wäre hier eine Mög­lich­keit die Lan­des­da­ten­schutz­be­hörde davon in Kennt­nis zu set­zen. Diese wird unter Umstän­den ver­bie­ten, den Dienst­leis­ter zu nut­zen, sich aber dann auch mit dem Dienst­leis­ter beschäf­ti­gen. Eine andere Mög­lich­keit, wäre es, sich einen Daten­schutz­be­ra­ter zu suchen, der sich die­ses Pro­blems annimmt.

Auch für Start-ups gilt die DSGVO. Also wenn ein Dienst in der EU ange­bo­ten wird, egal ob von einem gro­ßen oder klei­nen Unter­neh­men, muss Daten­schutz ein­ge­hal­ten wer­den. Lei­der ist das nicht immer im Bewusst­sein der Gründer.

Ich muss das Löschen dokumentieren?!

Ich habe gele­sen, dass ich auch Löschun­gen von Daten doku­men­tie­ren muss. Wie kann ich das als Ein­zel­un­ter­neh­mer eigent­lich machen?

Eigent­lich ist das ja paradox.

Von etwas eine Doku­men­ta­tion zu machen, was nicht mehr da sein soll.

Beim Löschen von Daten ist die Ver­nich­tung der Daten gemeint. Also Daten die nicht mehr gebraucht werden.

Die Frage ist hier auch immer, wel­cher Daten­trä­ger gelöscht wird. Über Fest­plat­ten und andere Hard­ware lässt sich ja eine Doku­men­ta­tion füh­ren. Ein­zelne Daten­sätze sind schwie­ri­ger zu erfassen.

Was ist der Grund des Löschens? Ist es im Rah­men eines Betrof­fe­nen­rech­tes? Dann kann ich das Auf­for­de­rungs­schrei­ben zur Löschung der Daten doku­men­tie­ren. In vie­len Fäl­len ist auch Soft­ware mit einer Pro­to­kol­lie­rung aus­ge­stat­tet. Auch das wäre eine Möglichkeit.

Hilfe bei der Vorbereitung auf die DSGVO?

Vie­len herz­li­chen Dank für Deine Ant­wor­ten, Jas­min. Damit wird mir und mei­nen Lesern jetzt eini­ges schon kla­rer. Kannst Du uns auch wei­ter unter­stüt­zen? Bie­test Du auch eine indi­vi­du­elle Hilfe bei der Vor­be­rei­tung auf die DSGVO an? 

Kein Pro­blem! Natür­lich unter­stütze ich Unter­neh­men und Selbst­stän­dige, fit für die DSGVO zu wer­den. Hier­bei berate ich sowohl zu Ein­zel­the­men, unter­stütze auch bei der Daten­ana­lyse, der Auf­nahme von tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men, erstelle Doku­men­ta­tion wie Über­sich­ten der Ver­ar­bei­tungs­tä­tig­kei­ten, Auf­trags­da­ten­ver­ar­bei­tungs­ver­träge, Daten­schutz­leit­li­nien, IT-Sicher­heits­leit­li­nien und helfe Kun­den­an­fra­gen zu beantworten.

Fazit — Die DSGVO betrifft uns alle

Schön, dass Du bis zum Ende dabei geblie­ben bist! Denn sich zu ver­ste­cken, ist sel­ten eine gute Idee. Bes­ser, man ist vor­be­rei­tet und kann erste Maß­nah­men ergrei­fen. Für mich ist nach dem Inter­view mit Jas­min klar gewor­den, dass ich mich jetzt doch kurz­fris­tig mit dem Thema aus­ein­an­der set­zen muss. In mei­ner Win­ter­pause werde ich die ers­ten Schritte dazu unter­neh­men. Wie sieht es bei Dir aus? Hat­test Du schon vor­her von der DSGVO gehört? Hast Du schon erste Schritte zur Ein­hal­tung die­ser Ver­ord­nung unter­nom­men? Hast Du viel­leicht erste Tipps, die Du tei­len möch­test? Jas­min und ich freuen uns auf Dei­nen Kommentar!

 

Jasmin Lieffering

About the author

Jasmin Lieffering ist Datenschutzbeauftragte aus Leidenschaft. Schon als Kind war sie von allem Technischen und Science-Fiction-Literatur begeistert. Seit 2015 ist sie zertifizierte Datenschutzbeauftragte und wendet sich mit ihrem Angebot an kleinere Unternehmen. Sie hilft bei der Datenanalyse, der Aufnahme von technischen und organisatorischen Maßnahmen und erstellt Dokumentation wie Übersichten der Verarbeitungstätigkeiten, Auftragsdatenverarbeitungsverträge, Datenschutzleitlinien, IT-Sicherheitsleitlinien.

Leave a Reply

Your email address will not be published. Required fields are marked

  1. Wie viele Arbeits­stun­den sollte man da denn pro Woche für die gan­zen Doku­men­ta­tio­nen einplanen?
    Ist das nicht sehr auf­wän­dig, wenn man bedenkt, dass ja oft nur Daten wie Name oder E‑mail-Adresse erho­ben werden?

    1. Hallo Klaus Georg,
      ehr­lich gesagt, ich habe auch noch keine Ahnung, was da genau auf uns zukommt. Auch aus Name und E‑Mail las­sen sich natür­lich Nut­zer­pro­file gene­rie­ren. Im Prin­zip ver­stehe ich die Anfor­de­run­gen schon. Wie das für Ein­zel­un­ter­neh­mer umge­setzt wer­den kann, weiß ich auch nicht.
      Beste Grüße
      Birgit

    2. Hallo Klaus Georg,
      Meist hat man mehr als nur Name und Email. Adresse oder Bank­da­ten sind ja vor­han­den. Der zeit­li­che Auf­wand ist schwer ein­zu­schät­zen. Es hängt von der Kom­ple­xi­tät der Ver­ar­bei­tungs­tä­tig­kei­ten ab. Im Grunde ist die Doku­men­ta­tion recht schnell erle­digt. Was Zeit kos­tet ist die Vor­ar­beit. Also das iden­ti­fi­ziert der Daten und betrof­fe­nen Per­so­nen­grup­pen, das doku­men­tie­ren des Ver­ar­beitubgs­vor­gangs, den Zweck, die Rechts­grund­lage, die ein­ge­setz­ten Tools und die Bestim­mung der tech­ni­schen und orga­ni­sa­to­ri­schen Maßnahmen.

  2. Danke euch bei­den für das infor­ma­tive Inter­view. Die DSGVO gilt höchst­wahr­schein­lich auch für gemein­nüt­zige Ver­eine mit 10–15 Bestel­lun­gen pro Monat und weni­ger als 100 Artikeln?
    Gruß, Andreas

    1. Hallo Andreas,
      vie­len Dank für Dei­nen Kom­men­tar. Dei­nen Link­tipp habe ich aller­dings gelöscht, da mir die Betrei­ber der Site nichts sagen. Sorry.
      Was Deine Frage betrifft: Ich gehe davon aus, dass die DSGVO alle betrifft, die Daten ver­ar­bei­ten — also auch Vereine.
      Beste Grüße
      Birgit

  3. Hallo,

    jetzt habe ich eine Frage — was ist ein Auf­trags­da­ten­ver­ar­bei­tungs­ver­trag? Habe ich das rich­tig ver­stan­den, dass ich den mit dem Anbie­ter abschließe den ich nutze? Oder muss ich meine Kun­den in Kennt­nis set­zen, dass ihre Daten von Anbie­ter xy ver­ar­bei­tet wer­den bzw. mir deren Ein­wil­li­gung dazu geben lassen?
    Herz­li­che Grüße, Martina

    1. Hallo Mar­tina,
      ich erkläre es mal am Bei­spiel von Google Ana­ly­tics. Wenn Du das auf Dei­ner Web­site ver­wen­dest, so musst Du einen Ver­trag mit Google schlie­ßen, indem Du das Ver­trags­do­ku­ment von der Google Ana­ly­tics Seite her­un­ter­lädst, 2x aus­druckst und unter­schreibst und per Post nach Google schickst. Ein paar Tage/Wochen spä­ter bekommst Du ein Exem­plar unter­schrie­ben von Google zurück. Das dann gut abhef­ten. Außer­dem musst Du Deine Web­site-Besu­cher in der Daten­schutz­er­klä­rung dar­über auf­klä­ren, dass Du Google Ana­ly­tics ver­wen­dest. Die­ses Ver­fah­ren musst Du mit allen Anbie­tern, mit deren Hilfe Du per­so­nen­be­zo­gene Daten ver­ar­bei­test, wie­der­ho­len. Klarer?
      Beste Grüße
      Birgit

  4. Hallo Bir­git,
    eine offene Frage für mich stellt sich bspw. bei der Daten­panne für Ein­zeln­un­ter­neh­mer wie mich ein. Es soll in der Daten­schutz­leit­li­nie ein Kon­takt (eine Per­son) genannt wer­den, den man im Not­fall anru­fen kann, um die Panne zu behe­ben, oder der eine Risi­ko­ab­wä­gung durch­führt. Reicht es, wenn ich jeman­den dem ich ver­traue, auto­ri­siere und ent­spre­chend aus­statte (Zugang zu Tech­nik und den Daten), damit die­ser im Not­fall reagie­ren kann, bzw. mit mir reagie­ren kann (mich sozu­sa­gen beauf­sich­tigt)? Ich habe weder einen Ver­tre­ter noch einen Datenschutzbeauftragten.
    Lie­ben Gruß, Gerda

    1. Liebe Gerda,
      diese Frage wird Dir nur ein zer­ti­fi­zier­ter Daten­schutz­be­auf­trag­ter oder ein Anwalt ver­bind­lich beant­wor­ten kön­nen. Ich frag mal nach.
      Beste Grüße
      Birgit

      1. Hallo Gerda,
        ich habe mal nach­ge­fragt — mich betrifft das ja selbst. In mei­nem Falle sieht es so aus: Da ich die IT in mei­nem Unter­neh­men alleine ohne Hilfe von außen selbst mache, bin auch ich selbst ver­ant­wort­lich. Jas­min Lief­fe­ring schrieb mir: “Wenn du weißt wie du die Vor­fälle behe­ben kannst und auch beur­tei­len kannst wann du auch Betrof­fene benach­rich­ti­gen müss­test, dann brauch da kein ande­rer drin ste­hen.” Ich hoffe, dass das auch Dir weiterhilft.
        Zau­ber­hafte Grüße
        Birgit

  5. Sehr inter­es­san­ter Bericht!
    Ich bin der Mei­nung, dass teil­weise Gren­zen über­schrit­ten wur­den und eine Rege­lung drin­gend nötig ist um die Pri­vat­sphäre von Pri­vat­per­so­nen, aber auch von Mit­ar­bei­tern in Unter­neh­men zu schüt­zen.” Auch wenn alles mit sehr viel Auf­wand ver­bun­den ist.

    1. Hallo Franko,
      vie­len Dank für Dei­nen Kom­men­tar. Rich­tig ist, dass die “Gro­ßen” sich sehr wenig um das Thema Daten­schutz geküm­mert haben. Rich­tig ist lei­der auch, dass die lei­der auch Mit­tel und Wege (und gut gefüllte Kas­sen) haben, um trotz­dem wei­ter zu han­deln, wie bis­her. Rich­tig ist wei­ter­hin, dass gerade klei­nere Unter­neh­men und Ein­zel­un­ter­neh­mer von den Vor­schrif­ten mas­siv getrof­fen sind.
      Beste Grüße
      Birgit

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}

Direct Your Visitors to a Clear Action at the Bottom of the Page

Cookie Hinweis von Real Cookie Banner