Langes Wort, es steckt aber auch viel dahinter. Die neue Datenschutzgrundverordnung (Ich werde sie im Folgenden nur noch DSGVO nennen.) bringt viele neue Pflichten für alle Unternehmen und Rechte für Nutzer mit sich. Was genau es damit auf sich hat möchte ich Punkt für Punkt erklären. Die DSGVO tritt bereits am 25. Mai 2018 in Kraft und droht mit gefährlich hohen Strafen. Da das nicht mehr viel Zeit ist, habe ich euch am Ende des Artikels eine zeitlich begrenzte Notlösung genannt.

Allgemeine Erklärung

Die DSGVO soll zukünftig einen höheren Datenschutz für Endnutzer garantieren und die Unternehmen zu mehr Verantwortungsbewusstsein zwingen. Feststeht: Wer bisher Datenschutz ernst genommen hat und sich bereits an den bestehenden Datenschutzgesetzen orientiert hat, hat weit aus weniger zu tun. Eines der Hauptziele ist die Schaffung von mehr Kontrolle über seine eigene Daten und eine transparentere Dokumentation über die Datenverarbeitung. Das ist ein großer Fortschritt für uns als Endnutzer, als Unternehmer und somit Datenerheber ist das jedoch ein großer Aufwand.

Anwendungsbereich

„Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.”

Sie gilt also letztendlich für alle personenbezogenen elektronischen Daten (außer natürlich bspw. private familiäre Daten).

Geltungsbereich

Ihr werdet sicherlich bereits festgestellt haben, dass ihr in den letzten Wochen vermehrt E-Mails von Anbietern bekommen habt, in denen ihr über aktualisierte Datenschutzbestimmungen informiert wurdet. Gerade bei Google, Facebook und WhatsApp ist das sehr aufgefallen. Aber warum? Die haben ihren Firmensitz doch gar nicht in Europa?!

Das europäische Parlament war da sehr schlau und hat den Anwendungsbereich nicht auf Unternehmen und einzelne Personen in Europa begrenzt. Die DSGVO gilt stattdessen für jede juristische und natürliche Person, die personenbezogene Daten von europäischen Bürgern verarbeitet. Ergo fallen auch Facebook und Co. mit ihren europäischen Nutzern unter diese Verordnung.

Damit haben wir auch den Hauptgrund für diese neuen Datenschutzrichtlinien: Die Vorratsdatenspeicherung der großen Unternehmen soll gestoppt und die restlichen Speicherungen transparenter gestaltet werden.

Einfache Sprache

Wer kennt es nicht: Eine Datenschutzerklärung sieht meistens aus wie ein Gesetzbuch, keiner versteht was die eigentlich aussagen soll. Das soll zukünftig im Thema Datenschutz geändert werden. Nach Artikel 12 Abs. 1 DSGVO sollen alle Datenschutzinformationen in einfacher Sprache formuliert werden, die nötigen juristischen Formulierungen zur Begründung der zu verarbeitenden Daten sollten aber trotzdem nicht fehlen. Ziel ist, dass sich jeder Endnutzer über die Verwendung seiner Daten leicht informieren kann und dafür kein Jura-Studium benötigt.

Datenschutzerklärung

WICHTIG!! Auch nach den alten Datenschutzgesetzen ist es bereits Pflicht, dass die Datenschutzerklärung wie das Impressum eine eigene Seite auf der Website und von überall aufrufbar ist.

Die Datenschutzerklärung ändert sich unteranderem im Bezug auf die „einfache Sprache“ und natürlich in seiner Genauigkeit. Jede Datenschutzerklärung muss erneuert werden, keine ist DSGVO-konform.

ADV Verträge

Die Verträge zur Auftragsdatenverarbeitung ist der größte Aufwand, gerade da hier viele Unternehmen verpennt haben, ihre Mitarbeiter über das Angebot eines solchen und wo diese zu finden sind, zu informieren.

Aber erstmal zur Erklärung: Ein ADV Vertrag ist ein Vertrag, den ihr mit einem Drittanbieter (z.B. Dropbox, Fitogram oder Google) abschließt. In diesem verpflichtet ihr diesen zur Einhaltung der geltenden Datenschutzrichtlinien. Diese müssen nicht allgemein zugänglich sein, sobald aber eine zuständige Datenschutzbehörde nach diesen fragt, müssen sie unverzüglich und in kürzester Zeit herausgegeben werden können.

Beispiele für Drittanbieter mit denen ihr einen ADV Vertrag abschließen müsst:

• 1und1
• AWS
• Dropbox
• Google Analytics
• Google Mail
• Apple Kalender

Das fiese ist eigentlich das Zusammensuchen aller Verträge von jedem Drittanbieter. Wenn dieser keinen zur Verfügung stellt, müsst ihr einen eigenen zur Unterschrift dorthin schicken.

Wichtig ist hier, dass nur IHR dafür verantwortlich seid, einen solchen Vertrag abzuschließen. Die großen Unternehmen bieten diese aus zeitlichen Gründen einfach selbst an, um nicht jeden eingesendeten ADV Vertrag durch die Rechtsabteilung zu jagen.

Erweiterte Auskunftsrechte

Zukünftig haben Betroffene das Recht auf Auskünfte über die erfassten Daten zur Person. Hierfür ist es wichtig, erstmal die Identität des Nutzers zu prüfen. Aber Achtung! Eine DSGVO-konforme Lösung zur Identitätsprüfung ist nicht gerade leicht. Eine Lösung wäre eine automatische Auskunft des Systems wenn ein Nutzer eingeloggt ist. Eine andere wäre die Forderung des Personalausweises. Bei der zweiten Methode müsst ihr den Nutzer aber darauf hinweisen, dass er alles bis auf das Bild, den Namen und die Anschrift schwärzen darf. Vergesst ihr ihm das zu sagen, habt ihr schon die DSGVO-Bestimmungen verletzt.

Nach der Identitätsprüfung müsst ihr dem Betroffenen alle Daten offenlegen

• Verarbeitungszwecke
• personenbezogene Daten
• alle Empfänger dieser Daten
• Dauer der Speicherung
• auf die Rechte hinweisen (Recht auf Berichtigung, Löschung und Beschwerde bei einer Aufsichtsbehörde)
• Herkunft der Daten (nur wenn sie nicht direkt von der Person stammen)

Diese Daten müsst ihr kostenlos zur Verfügung stellen. Eine Kostenerstattung kann nur dann geltend gemacht werden, wenn ein offensichtlicher Missbrauch des Auskunftsrechts vorliegt.

Löschungspflicht

Ab dem 25. Mai ist Schluss mit Vorratsdatenspeicherung! Es ist nun die Pflicht eines jeden Verantwortlichen nicht benötigte Daten sofort zu löschen.

Nicht benötigt ist dann der Fall, wenn keine Rechtsgrundlage für die weitere Speicherung der Daten existiert (fehlende Einwilligung, keine geltende Gesetze zur Aufbewahrung, keine Rechte des DSGVO).

Verzeichnis von Verarbeitungstätigkeiten

Das Verarbeitungsverzeichnis muss, bzw. darf nicht online für jeden verfügbar sein. Es ist viel mehr die Dokumentation aller Datensätze mit Verwendungszweck und der Angabe, wer alle auf diese Daten Zugriff hat. Dieses Verzeichnis wird höchstwahrscheinlich nur von der Datenschutzbehörde bei bedarf angefragt, muss dann aber innerhalb kürzester Zeit herausgegeben werden. Sollte an Hand der benötigten Zeitspanne für das Herausgeben dieses Verzeichnisses erkennbar sein, dass dieses nicht vorher existiert hat, ist eine Geldstrafe fällig.

Löschungspflicht

Ab dem 25. Mai ist Schluss mit Vorratsdatenspeicherung! Es ist nun die Pflicht eines jeden Verantwortlichen nicht benötigte Daten sofort zu löschen.

Nicht benötigt ist dann der Fall, wenn keine Rechtsgrundlage für die weitere Speicherung der Daten existiert (fehlende Einwilligung, keine geltende Gesetze zur Aufbewahrung, keine Rechte des DSGVO).

Fazit

Es ist ein großer Aufwand die Anpassung an die DSGVO durchzuführen. Helfen kann ein gutes Verständnis dieser Verordnung. Ein großer Nachteil an der jetzigen Zeit, dass es so kurz vor knapp ist. Alle Muster von Anwälten sind in ihren Preisen teilweise um 3000% gestiegen und viele Webdesigner, die in beratender Tätigkeit eine DSGVO Anpassung durchführen könnten, sind bereits stark überlastet. Ich habe für euch zwei Lösungen, falls ihr noch nicht mit der Anpassung begonnen habt.