DSGVO Datenschutzgrundverordnung - was wird geschützt?

Wie betrifft Dich die DSGVO? Interview mit Datenschützerin Jasmin Lieffering

Seit fast 70 Jahren leben wir in der Bundesrepublik Deutschland in einer stabilen Demokratie, die aufgrund ihrer Geschichte Datenschutz sehr ernst nimmt. Das ist eine sehr gute Sache und wird von mir auch nicht in Frage gestellt. Aber als Marketing-Beraterin erlebe ich immer wieder, dass viele Dinge, die im Ausland selbstverständlich gemacht werden dürfen, in Deutschland aus Datenschutzgründen nicht erlaubt sind.

Nun nähert sich auch zusätzlich mit schnellen Schritten die Datenschutzgrundverordnung – kurz DSGVO – deren Regelungen ab Mai 2018 in Europa bindend wird und die ausnahmslos für große Konzerne ebenso wie für Einzelunternehmer gilt.

Während große Unternehmen schon seit Wochen oder gar Monaten mit der Umsetzung von Maßnahmen zur Einhaltung der DSGVO beschäftigt sind, nehme ich bei Kunden und Netzwerkpartnern vornehmlich Besorgnis und eine große Ratlosigkeit wahr. Wie sollen wir das alles schaffen, wenn in großen Unternehmen ganze Abteilungen damit beschäftigt sind? Manchmal ist auch gar kein Bewusstsein vorhanden, etwas tun zu müssen. Was kommt da auf mich zu? Muss ich damit rechnen, hohe Strafen zahlen zu müssen und was muss ich eigentlich tun oder lassen?

Da mich diese Fragen immer wieder erreichen und mich auch selbst beschäftigen, habe ich meine Fragen einfach mal an eine Spezialistin gestellt. Jasmin Lieffering ist Datenschützerin aus Leidenschaft und hat sich bereit erklärt, die dringendsten Fragen zu beantworten.

Wer ist Jasmin Lieffering?

Jasmin, ganz herzlichen Dank, dass Du Dir die Zeit nimmst, den Lesern des Marketing-Zauber-Blogs und mir die drängendsten Fragen zur neuen Verordnung zu beantworten. Stelle Dich doch bitte zunächst kurz vor:

Danke Birgit, dass Du mir die Möglichkeit gibst, auf Deinem Blog dieses Thema etwas auszuführen. Mein Name ist Jasmin Lieffering und ich bin seit 2015 zertifizierte Datenschutzbeauftragte.

Ich habe mich auf Zielgruppen spezialisiert, die noch keinen einfachen Zugang zum Datenschutz bekommen. Das sind Selbstständige und Kleinunternehmen. Hier stehe ich als Berater zur Verfügung und begleite unterstützend meine Kunden bei der Umsetzung von Datenschutz.

Warum sollen die Daten in Europa bleiben?

Warum wird eigentlich ein so großer Wert darauf gelegt, dass die Daten in Europa verbleiben müssen? Geht es wirklich nur um die amerikanischen Geheimdienste – oder was ist der Hintergrund?

Tatsächlich war die Snowden-Affäre wohl eine Art Weckruf.

Die damaligen Enthüllungen haben gezeigt, dass es um den Datenschutz und somit um die Freiheit der Bürger schlecht bestellt war. Allerdings ist es ein Missverständnis, dass die Daten unbedingt in Europa bleiben müssen. Die EU hat mit den USA ein Abkommen abgeschlossen, den EU-US-Privacy Shield, der es auch ermöglicht, Daten in die USA zu geben.

In dem letzten Jahr haben wir allerdings erlebt, dass Datenschutz zu einem politischen Instrument wurde. Die derzeitige Regierung Trump versucht Datenschutz abzubauen und stößt dabei auf Widerstand aus der IT-Branche.

Ein Szenario, das ich für unmöglich gehalten habe.

Die IT-Branche setzt Datenschutz vor allem als Schutz gegenüber der eigenen Regierung ein. Sie baut Serverfarmen hier in Europa auf, um dem langen Arm der Regierung zu entkommen und nebenbei auch die EU-Vorgaben zu erfüllen.

Wenn es nur um die Geheimdienste gehen würde, dann wären die Daten in Deutschland auch nicht sicher. Die Regierung hat in der letzten Legislaturperiode viele Gesetze verabschiedet, die den Datenschutz und die IT-Sicherheit auch hier im Land massiv negativ beeinflussen.

Ist Datenschutz denn schlecht?

Datenschutz wird oft als negativ empfunden.

Als Innovationsverhinderer oder Dokumentationsmonster.

Dabei ist die Intention eine ganz andere:

Denn im Mittelpunkt steht der Mensch als Person, als Individuum. Niemand unterstellt Unternehmen, absichtlich Personen schaden zu wollen.

Datenschutz hat die Grundintention, Unternehmen dafür zu sensibilisieren, dass sich hinter den Datensätzen reale Menschen mit einem realen Leben verbergen, die ich einem realen Risiko aussetze.

Jede Datenverarbeitung bedeutet ein Risiko.

Niemand möchte sein Bankkonto leergeräumt sehen, seine Identität von einem anderen genutzt wissen oder seine Krankenakte im Netz zugänglich sehen. Gerade heute, in der Zeit der Digitalisierung, rückt Datenschutz den Menschen in den Mittelpunkt einer datenbasierten Wirtschaft.

Sind E-Mails denn wirklich so gefährdet?

Das verstehe ich sehr gut, Jasmin, und wahrscheinlich auch jeder Unternehmer. Aber was ist an einem Vornamen und einer E-Mail-Adresse, die zudem meist noch eine Freemailer-Adresse von einem Anbieter wie Google, Yahoo oder Hotmail denn so schützenswert?

Diese Frage bekomme ich immer wieder gestellt. Wir können nicht absehen was die Digitalisierung uns die nächsten Jahre so bringt. Auch ein Freemail-Anbieter muss sich an Datenschutz halten.

Oder möchtest Du, dass Deine Emails gelesen werden?

Daraus kann man einen gläsernen Menschen machen!

Ein Beispiel was heute möglich ist und was auch schon getan wurde:

Google hat die Emails durch einen Algorithmus auswerten lassen und Werbung mit Bezug auf den Inhalt angezeigt. Also da hat jemand zum Beispiel von Urlaub in Griechenland geschrieben und prompt war unter der E-Mail eine Werbeanzeige von Urlaubsanbietern mit Destination Griechenland. Nun kann man sich darüber streiten, ob das schlimm ist oder nicht.

Ein anderes Beispiel:

Eine Frau wollte in den USA ihre Verwandten besuchen, die ein Kind hatten. Sie hatte vorgeschlagen mal darauf aufzupassen. Sie wurde an der Einreise gehindert, weil ihr eine geplante Steuerhinterziehung vorgeworfen wurde.

Die Grundintention der DSGVO kann man im Erwägungsgrund 4 nachlesen. Dort heißt es: „Die Verarbeitung personenbezogener Daten sollte im Dienst der Menschheit stehen.“

In Erwägungsgrund 2 steht, „die Grundsätze und Vorschriften zum Schutze natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten sollten gewährleisten, dass ihre Grundrechte und Grundfreiheiten und insbesondere ihr Recht auf Schutz personenbezogener Daten ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsorts gewahrt bleiben“.

Also im Grunde diskutieren wir ein Grundrecht was jeder hier hat.

Was tun, wenn der Datenschützer klingelt?

Wie muss ich mir das eigentlich vorstellen, was passiert, wenn der Datenschützer bei mir klingelt, um die Einhaltung der DSGVO zu überprüfen? Werde ich „vorgewarnt“?

Wie genau das Prüfverfahren unter der DSGVO aussieht, steht noch nicht fest. Ich bin der Meinung, dass es sich stark an dem bisherigen Verfahren orientiert. Bis jetzt wurden zu prüfende Unternehmen mit einem Anschreiben der Landesdatenschutzbeauftragten vorgewarnt.

Es gab auch große Unterschiede zwischen den Prüfverfahren unter den einzelnen Bundesländern. So hat Bayern gerne kleine Unternehmen
geprüft, Niedersachsen hat sich immer gerne ganze Branchen vorgenommen.

Abschließend kann man dazu noch nicht viel sagen. Das wird auch noch sehr spannend werden, da die EU-Länder sich auch untereinander abstimmen müssen und sich auf ein einheitliches Verfahren einigen müssen.

Was muss für die DSGVO dokumentiert werden?

Gibt es irgendwo eine Liste, was ich dokumentieren muss – und in welcher Form? Ich habe gesehen, dass der Deutsche Dialogmarketing Verband (DDV) einen Best Practice Guide herausgegeben hat – leider ist das für Nichtmitglieder mit rund 200 Euro sehr teuer – wo bekomme ich zuverlässige Informationen in verständlicher Form?

Ich habe schon bemerkt, dass gerade dieses Thema für viel Aufregung sorgt.

Das Problem bei der ganzen Sache mit der Dokumentation ist, das hängt davon ab was das Unternehmen macht und wie komplex die Verarbeitungstätigkeiten sind. Was jedes Unternehmen haben sollte, ist eine Übersicht der Verarbeitungstätigkeiten. Also das ehemalige Verfahrensverzeichnis.

Auftragsdatenverarbeitungsverträge braucht man immer dann, wenn Outsourcing betrieben wird.

Was auch wichtig ist, ist eine Anleitung, was zu tun ist, wenn eine Datenschutzpanne passiert. Da in kurzer Zeit, 72 Stunden, geprüft werden muss, wer informiert werden muss und in welchem Umfang, bleibt dann nicht viel Zeit, noch lange darüber nachzudenken.

Auch das „Recht auf Vergessenwerden“ sollte nicht unterschätzt werden. Hier ist es gut, ein Löschungskonzept zu haben.

Wie muss die Dokumentation aussehen?

Verfahrensverzeichnis sagt mir jetzt nichts. Und wahrscheinlich vielen anderen Einzelunternehmern auch nicht. Verstehe ich das also richtig, dass ich einfach ein Word-Dokument erstellen könnte, in das ich reinschreibe:

  • Rechnungserstellung – Fastbill
  • Newsletter-Versand – ActiveCampaign
  • Datensicherung – Crashplan
  • und so weiter …

Und wie kann ich mir grob vorstellen, wie ich dokumentieren muss, was ich im Falle einer Panne tun werde?

Ganz so simpel ist es nicht.

Neben den Grundangaben zum Unternehmen müssen die Bezeichnung der Verarbeitungstätigkeit (zum Beispiel Newsletterversand),  Datenkategorien (beispielsweise Kundenstammdaten und Nutzungsverhalten), die betroffene Person (also Kunden, Interessenten, Websitebesucher, …), Zwecke (Adressierung der Ansprache, Nachweis wirksamer Einwilligung), Rechtsgrundlage, Datenquelle, Information der Betroffenen, Empfänger, Löschung, Schutzmaßnahmen (technische und organisatorische Maßnahmen) genannt und ausgeführt werden.

Dazu gibt es aber auch schon Vorlagen im Internet zu finden.

Für die Dokumentation einer Panne also einer Data Breach, ist zuerst zu prüfen wer überhaupt informiert werden muss. Also ob nur die Aufsichtsbehörde oder auch Betroffene informiert werden müssen.

Dazu muss eine Risikoabwägung durchgeführt werden.

Die Aufsichtsbehörde bekommt eine sogenannte Data Breach Notification.

Diese muss folgendes enthalten:

  • eine Beschreibung der Datenpanne,
  • wenn möglich mit Angabe der Kategorie und Anzahl der betroffenen Personen,
  • der Kategorie und Anzahl der betroffenen Datensätze,
  • Name und Kontaktdaten eines Datenschutzbeauftragten oder einer anderen Anlaufstelle,
  • eine Beschreibung der wahrscheinlichen Folgen der Datenpanne und
  • eine Beschreibung der ergriffenen oder vorgeschlagene Maßnahmen durch die verantwortliche Person zum Eindämmen oder Beenden der Datenpanne.

Dies muss unverzüglich nach Kenntnis, dass es eine Datenpanne gibt, erfolgen. Der Aufsichtsbehörde muss eine Data Breach Notification spätestens innerhalb von 72 Stunden zugestellt werden. Die Aufsichtsbehörden arbeiten gerade an einer Möglichkeit eine Data Breach Notification online zu verfassen.

Übrigens: Das Verlieren eines USB-Sticks, auf dem sich personenbezogen Daten befinden, wäre schon eine solche Datenpanne.

Dieses Prozedere zeigt warum, man sich schon im Vorfeld damit beschäftigt haben sollte. Die Datenschutzleitlinie für das Worst-Case Szenario sollte daher immer folgendes beinhalten:

  • Kontakt, den man im Notfall anruft um die Datenpanne zu beheben (falls möglich),
  • Kontakt, der eine Risikoabwägung durchführen kann und genau bestimmen kann ob auch betroffene Personen informiert werden müssen
    und genau die Punkte bearbeitet, die für eine Data Brach Notification nötig sind.

Damit man das schnell erstellen kann.

Muss ich jeden einzelnen Internet-Dienst, den ich verwende, angeben?

Für alle, die im Internet für ihre Dienstleistungen und Produkte werben und teilweise ihre Dienstleistungen auch mit Hilfe von Online-Diensten überhaupt erst erbringen können, ist die DSGVO ein dicker Brocken. Gilt sie eigentlich für jeden einzelnen Dienst, den ich verwende? Also von der online Passwort-Verwaltung, meinem FTP-Programm, mit dem ich Daten auf Kundenserver übertragen kann, Webinar-Software (zum Beispiel ClickMeeting oder Zoom), Konferenz-Systeme wie Skype, Chat-Systeme wie den Facebook-Messenger bis hin zu Newsletter- und CRM-Systemen wie Mailchimp oder ActiveCampaign? Was ist mit Backup- und Datensynchronisationsdiensten wie der Dropbox oder GoogleDrive?

Grundsätzlich gilt die DSGVO für alle Unternehmen, die ihre Dienste oder Produkte in Europa anbieten.

Also ja, auch Online-Dienste sind davon betroffen.

Bei Datenschutz geht es allerdings immer um personenbezogene Daten.

Also Umsatzzahlen eines Unternehmens fallen nicht unter Datenschutz, sondern wären ein Fall für die IT-Sicherheit.

Also immer dann, wenn ich personenbezogene Daten an einen Online-Dienst weitergebe, brauche ich einen Auftragsdatenverarbeitungsvertrag mit diesen Unternehmen.

Ausnahmen bestätigen die Regel.

Das können sein:

  • eine Einwilligung des Betroffenen liegt vor (schwierigste Variante),
  • eine vertragliche Notwendigkeit (Beispiel: Ein Shop versendet Waren mit Logistikdienstleister) oder
  • ein berechtigtes Interesse (Achtung: hier muss sehr gut argumentiert werden!).

Muss ich eventuell den Dienstleister wechseln?

Was ist, wenn der außereuropäische Dienst das verweigert, ich aber schon im Voraus Gebühren bezahlt habe? Muss ich dann tatsächlich die Nutzung des Dienstes unterlassen? Bekommt ich eventuell eine Entschädigung? Und was ist, wenn der Dienst nur semiprofessionell ist, vielleicht ein Startup-Unternehmen, das erst noch im Aufbau ist?

Mir ist schon zu Ohren gekommen, dass es Dienste gibt, die das noch nicht anbieten.

Das Problem liegt darin, dass ich als Auftraggeber einen potenziellen Auftragnehmer vorab auf Datenschutzkonformität überprüfen muss.

Also der schwarze Peter liegt beim Auftraggeber.

Es ist ebenfalls nicht geregelt, ob ein Auftragsdatenverarbeitungsvertrag unentgeltlich angeboten werden muss.

Wenn es tatsächlich keine andere Möglichkeit der Einigung gibt, wäre hier eine Möglichkeit die Landesdatenschutzbehörde davon in Kenntnis zu setzen. Diese wird unter Umständen verbieten, den Dienstleister zu nutzen, sich aber dann auch mit dem Dienstleister beschäftigen. Eine andere Möglichkeit, wäre es, sich einen Datenschutzberater zu suchen, der sich dieses Problems annimmt.

Auch für Start-ups gilt die DSGVO. Also wenn ein Dienst in der EU angeboten wird, egal ob von einem großen oder kleinen Unternehmen, muss Datenschutz eingehalten werden. Leider ist das nicht immer im Bewusstsein der Gründer.

Ich muss das Löschen dokumentieren?!

Ich habe gelesen, dass ich auch Löschungen von Daten dokumentieren muss. Wie kann ich das als Einzelunternehmer eigentlich machen?

Eigentlich ist das ja paradox.

Von etwas eine Dokumentation zu machen, was nicht mehr da sein soll.

Beim Löschen von Daten ist die Vernichtung der Daten gemeint. Also Daten die nicht mehr gebraucht werden.

Die Frage ist hier auch immer, welcher Datenträger gelöscht wird. Über Festplatten und andere Hardware lässt sich ja eine Dokumentation führen. Einzelne Datensätze sind schwieriger zu erfassen.

Was ist der Grund des Löschens? Ist es im Rahmen eines Betroffenenrechtes? Dann kann ich das Aufforderungsschreiben zur Löschung der Daten dokumentieren. In vielen Fällen ist auch Software mit einer Protokollierung ausgestattet. Auch das wäre eine Möglichkeit.

Hilfe bei der Vorbereitung auf die DSGVO?

Vielen herzlichen Dank für Deine Antworten, Jasmin. Damit wird mir und meinen Lesern jetzt einiges schon klarer. Kannst Du uns auch weiter unterstützen? Bietest Du auch eine individuelle Hilfe bei der Vorbereitung auf die DSGVO an?

Kein Problem! Natürlich unterstütze ich Unternehmen und Selbstständige, fit für die DSGVO zu werden. Hierbei berate ich sowohl zu Einzelthemen, unterstütze auch bei der Datenanalyse, der Aufnahme von technischen und organisatorischen Maßnahmen, erstelle Dokumentation wie Übersichten der Verarbeitungstätigkeiten, Auftragsdatenverarbeitungsverträge, Datenschutzleitlinien, IT-Sicherheitsleitlinien und helfe Kundenanfragen zu beantworten.

Fazit – Die DSGVO betrifft uns alle

Schön, dass Du bis zum Ende dabei geblieben bist! Denn sich zu verstecken, ist selten eine gute Idee. Besser, man ist vorbereitet und kann erste Maßnahmen ergreifen. Für mich ist nach dem Interview mit Jasmin klar geworden, dass ich mich jetzt doch kurzfristig mit dem Thema auseinander setzen muss. In meiner Winterpause werde ich die ersten Schritte dazu unternehmen. Wie sieht es bei Dir aus? Hattest Du schon vorher von der DSGVO gehört? Hast Du schon erste Schritte zur Einhaltung dieser Verordnung unternommen? Hast Du vielleicht erste Tipps, die Du teilen möchtest? Jasmin und ich freuen uns auf Deinen Kommentar!

 

Über den Autor Jasmin Lieffering

Jasmin Lieffering ist Datenschutzbeauftragte aus Leidenschaft. Schon als Kind war sie von allem Technischen und Science-Fiction-Literatur begeistert.

Seit 2015 ist sie zertifizierte Datenschutzbeauftragte und wendet sich mit ihrem Angebot an kleinere Unternehmen. Sie hilft bei der Datenanalyse, der Aufnahme von technischen und organisatorischen Maßnahmen und erstellt Dokumentation wie Übersichten der Verarbeitungstätigkeiten, Auftragsdatenverarbeitungsverträge, Datenschutzleitlinien, IT-Sicherheitsleitlinien.

follow me on:

Hinterlasse einen Kommentar:

7 comments
Füge Deine Antwort hinzu