Mai
15, 2018
DSGVO – Die neue Datenschutzgrundverordnung gilt auch für Pilates
Langes Wort, es steckt aber auch viel dahinter. Die neue Datenschutzgrundverordnung (Ich werde sie im Folgenden nur noch DSGVO nennen.) bringt viele neue Pflichten für alle Unternehmen und Rechte für Nutzer mit sich. Was genau es damit auf sich hat möchte ich Punkt für Punkt erklären. Die DSGVO tritt bereits am 25. Mai 2018 in Kraft und droht mit gefährlich hohen Strafen. Da das nicht mehr viel Zeit ist, habe ich euch am Ende des Artikels eine zeitlich begrenzte Notlösung genannt.
Allgemeine Erklärung
Die DSGVO soll zukünftig einen höheren Datenschutz für Endnutzer garantieren und die Unternehmen zu mehr Verantwortungsbewusstsein zwingen. Feststeht: Wer bisher Datenschutz ernst genommen hat und sich bereits an den bestehenden Datenschutzgesetzen orientiert hat, hat weit aus weniger zu tun. Eines der Hauptziele ist die Schaffung von mehr Kontrolle über seine eigene Daten und eine transparentere Dokumentation über die Datenverarbeitung. Das ist ein großer Fortschritt für uns als Endnutzer, als Unternehmer und somit Datenerheber ist das jedoch ein großer Aufwand.
Anwendungsbereich
„Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.”
Sie gilt also letztendlich für alle personenbezogenen elektronischen Daten (außer natürlich bspw. private familiäre Daten).
Geltungsbereich
Ihr werdet sicherlich bereits festgestellt haben, dass ihr in den letzten Wochen vermehrt E-Mails von Anbietern bekommen habt, in denen ihr über aktualisierte Datenschutzbestimmungen informiert wurdet. Gerade bei Google, Facebook und WhatsApp ist das sehr aufgefallen. Aber warum? Die haben ihren Firmensitz doch gar nicht in Europa?!
Das europäische Parlament war da sehr schlau und hat den Anwendungsbereich nicht auf Unternehmen und einzelne Personen in Europa begrenzt. Die DSGVO gilt stattdessen für jede juristische und natürliche Person, die personenbezogene Daten von europäischen Bürgern verarbeitet. Ergo fallen auch Facebook und Co. mit ihren europäischen Nutzern unter diese Verordnung.
Damit haben wir auch den Hauptgrund für diese neuen Datenschutzrichtlinien: Die Vorratsdatenspeicherung der großen Unternehmen soll gestoppt und die restlichen Speicherungen transparenter gestaltet werden.
Einfache Sprache
Wer kennt es nicht: Eine Datenschutzerklärung sieht meistens aus wie ein Gesetzbuch, keiner versteht was die eigentlich aussagen soll. Das soll zukünftig im Thema Datenschutz geändert werden. Nach Artikel 12 Abs. 1 DSGVO sollen alle Datenschutzinformationen in einfacher Sprache formuliert werden, die nötigen juristischen Formulierungen zur Begründung der zu verarbeitenden Daten sollten aber trotzdem nicht fehlen. Ziel ist, dass sich jeder Endnutzer über die Verwendung seiner Daten leicht informieren kann und dafür kein Jura-Studium benötigt.
Datenschutzerklärung
WICHTIG!! Auch nach den alten Datenschutzgesetzen ist es bereits Pflicht, dass die Datenschutzerklärung wie das Impressum eine eigene Seite auf der Website und von überall aufrufbar ist.
Die Datenschutzerklärung ändert sich unteranderem im Bezug auf die „einfache Sprache“ und natürlich in seiner Genauigkeit. Jede Datenschutzerklärung muss erneuert werden, keine ist DSGVO-konform.
ADV Verträge
Die Verträge zur Auftragsdatenverarbeitung ist der größte Aufwand, gerade da hier viele Unternehmen verpennt haben, ihre Mitarbeiter über das Angebot eines solchen und wo diese zu finden sind, zu informieren.
Aber erstmal zur Erklärung: Ein ADV Vertrag ist ein Vertrag, den ihr mit einem Drittanbieter (z.B. Dropbox, Fitogram oder Google) abschließt. In diesem verpflichtet ihr diesen zur Einhaltung der geltenden Datenschutzrichtlinien. Diese müssen nicht allgemein zugänglich sein, sobald aber eine zuständige Datenschutzbehörde nach diesen fragt, müssen sie unverzüglich und in kürzester Zeit herausgegeben werden können.
Beispiele für Drittanbieter mit denen ihr einen ADV Vertrag abschließen müsst:
- 1und1
- AWS
- Dropbox
- Google Analytics
- Google Mail
- Apple Kalender
Das fiese ist eigentlich das Zusammensuchen aller Verträge von jedem Drittanbieter. Wenn dieser keinen zur Verfügung stellt, müsst ihr einen eigenen zur Unterschrift dorthin schicken.
Wichtig ist hier, dass nur IHR dafür verantwortlich seid, einen solchen Vertrag abzuschließen. Die großen Unternehmen bieten diese aus zeitlichen Gründen einfach selbst an, um nicht jeden eingesendeten ADV Vertrag durch die Rechtsabteilung zu jagen.
Erweiterte Auskunftsrechte
Zukünftig haben Betroffene das Recht auf Auskünfte über die erfassten Daten zur Person. Hierfür ist es wichtig, erstmal die Identität des Nutzers zu prüfen. Aber Achtung! Eine DSGVO-konforme Lösung zur Identitätsprüfung ist nicht gerade leicht. Eine Lösung wäre eine automatische Auskunft des Systems wenn ein Nutzer eingeloggt ist. Eine andere wäre die Forderung des Personalausweises. Bei der zweiten Methode müsst ihr den Nutzer aber darauf hinweisen, dass er alles bis auf das Bild, den Namen und die Anschrift schwärzen darf. Vergesst ihr ihm das zu sagen, habt ihr schon die DSGVO-Bestimmungen verletzt.
Nach der Identitätsprüfung müsst ihr dem Betroffenen alle Daten offenlegen
- Verarbeitungszwecke
- personenbezogene Daten
- alle Empfänger dieser Daten
- Dauer der Speicherung
- auf die Rechte hinweisen (Recht auf Berichtigung, Löschung und Beschwerde bei einer Aufsichtsbehörde)
- Herkunft der Daten (nur wenn sie nicht direkt von der Person stammen)
Diese Daten müsst ihr kostenlos zur Verfügung stellen. Eine Kostenerstattung kann nur dann geltend gemacht werden, wenn ein offensichtlicher Missbrauch des Auskunftsrechts vorliegt.
Löschungspflicht
Ab dem 25. Mai ist Schluss mit Vorratsdatenspeicherung! Es ist nun die Pflicht eines jeden Verantwortlichen nicht benötigte Daten sofort zu löschen.
Nicht benötigt ist dann der Fall, wenn keine Rechtsgrundlage für die weitere Speicherung der Daten existiert (fehlende Einwilligung, keine geltende Gesetze zur Aufbewahrung, keine Rechte des DSGVO).
Verzeichnis von Verarbeitungstätigkeiten
Das Verarbeitungsverzeichnis muss, bzw. darf nicht online für jeden verfügbar sein. Es ist viel mehr die Dokumentation aller Datensätze mit Verwendungszweck und der Angabe, wer alle auf diese Daten Zugriff hat. Dieses Verzeichnis wird höchstwahrscheinlich nur von der Datenschutzbehörde bei bedarf angefragt, muss dann aber innerhalb kürzester Zeit herausgegeben werden. Sollte an Hand der benötigten Zeitspanne für das Herausgeben dieses Verzeichnisses erkennbar sein, dass dieses nicht vorher existiert hat, ist eine Geldstrafe fällig.
Löschungspflicht
Ab dem 25. Mai ist Schluss mit Vorratsdatenspeicherung! Es ist nun die Pflicht eines jeden Verantwortlichen nicht benötigte Daten sofort zu löschen.
Nicht benötigt ist dann der Fall, wenn keine Rechtsgrundlage für die weitere Speicherung der Daten existiert (fehlende Einwilligung, keine geltende Gesetze zur Aufbewahrung, keine Rechte des DSGVO).
Fazit
Es ist ein großer Aufwand die Anpassung an die DSGVO durchzuführen. Helfen kann ein gutes Verständnis dieser Verordnung. Ein großer Nachteil an der jetzigen Zeit, dass es so kurz vor knapp ist. Alle Muster von Anwälten sind in ihren Preisen teilweise um 3000% gestiegen und viele Webdesigner, die in beratender Tätigkeit eine DSGVO Anpassung durchführen könnten, sind bereits stark überlastet. Ich habe für euch zwei Lösungen, falls ihr noch nicht mit der Anpassung begonnen habt.
Selbst ist die Frau / der Mann
Die DSGVO Anpassung selbst vorzunehmen ist noch möglich, dann verschwende aber keine Zeit. Fang noch heute damit an (Ich rede gerade vom 15.05.2018). Du wirst jede Sekunde dafür brauchen. Um dir da zu helfen habe ich hier 3 Links für dich, mit denen du anfangen solltest. Damit bekommst du erstmal einen allgemeinen Überblick und praxisnahe Tipps.
Ich rede hier von den DSGVO-Folgen des Freelancer Podcasts. Das sind zwei theoretische allgemeine Erklärungsfolgen und eine praxisnahe mit Tipps. Außerdem findest du auf der folgenden Seite noch viele weitere wichtige Tipps, Erklärungen und Links.
Ich wünsche dir viel Glück. 🙂
Aktion bis 22 Uhr am 15.05.2018
Aus gegebenen Anlass und der Bitte von einigen Personen habe ich ein größeres Kontingent für die Bearbeitung von Kunden bezüglich der DSGVO Anpassung ermöglicht. Das war eine spontane Entscheidung und ist daher bisher nirgendwo bekannt gewesen.
Ich habe ein System entwickelt, mit dem ich diese Anpassung effizient durchführen kann. Dafür ist es aber wichtig, dass ich spätestens bis heute Abend alle Interessenten für dieses Projekt habe und du fleißig mit arbeitest. Sobald eine Frist versäumt wird, ist keine Garantie mehr für die pünktliche Lieferung aller nötigen Dokumente mehr gegeben.
Dieser Service kostet 500,00 € netto und bereitet dich auf die DSGVO bestmöglich vor. Denk bitte daran, dass ich lediglich eine beratende Rolle dabei spiele und ich immer dazu raten muss einen Anwalt für einen Check zu konsultieren.
Um bei dieser Aktion teilnehmen zu können musst du dich bis zum 15.05.2018 um 22 Uhr an diese E-Mail gewandt haben: dsgvo@lukasfehling.design
Bitte schreibe in diese Mail deinen vollständigen Namen und deine Adresse, so dass ich dir alles weitere zu schicken kann.
Ich weiße darauf hin, dass ich nicht verpflichtet bin jeden aufzunehmen. Auch mein Tag hat leider nur 24 Stunden 😀
Autor

Lukas Fehling
Webdesigner und Blogger
Lukas Fehling ist selbstständig als Webdesigner, Podcaster für den Freelancer Podcast und als Projekt Leiter für diverse Projekte tätig.