Offcanvas Section

HAPKIDO Magazin Terminplan
für 2019 mit Redaktionsschluss

2019-01 #5 - Mitte Jan.
(Redaktionsschluss 20. Dez.)

2019-02 #6 - Ende April
(Redaktionsschluss 20. März)

2019-03 #7 - Mitte Juli  
(Redaktionsschluss 20. Juni)

2019-04 #8 - Mitte Okt. 
(Redaktionsschluss 20. Sept.)

2020-01 #9 Mitte Jan. 2020
(Redaktionsschluss 20. Dez. 2019)

 

-stilunabhängig

-verbandsoffen

2012 02 S16 VS

von Sabine Wischhöfer
HAPKIDO-magazin.de
Redaktion &  Marketing
Immobilienkauffrau (IHK)
& Produktmanagerin (SGD)

DSGVO - Ein Überblick

Datenschutz-Grundverordnung - Was Webseitenbetreiber, Kampfkunstschulen und Kampfsport-Vereine beachten sollten.

In diesem Artikel berichten wir über die EU-Datenschutz-Grundverordnung und welche Auswirkungen sie hat. Es handelt sich um ein sehr komplexes und umfangreiches Thema was in keinem Fall umfassend oder abschließend behandelt werden kann, daher beschränken wir uns darauf Ihnen einen groben Überblick zu geben und verlinken am Ende des Artikels weitere Seiten zu dem Thema. Diejenigen die vorbereitet sind können sich zurücklehnen, den anderen sei geraten DRINGEND zu HANDELN um Bußgelder oder Abmahnungen zu vermeiden.

Was ist die DSGVO?

DSGVO ist die Abkürzung für Datenschutz-Grundverordnung. Bereits im Mai 2016 veröffentlichte die Europäische Union (EU) die Endfassung der DSGVO, d. h. sie ist bereits in Kraft getreten und wir sind mit dem 25. Mai 2018 am Ende der Übergangsphase angekommen. Dennoch wissen viele noch nicht einmal dass es diese Verordnung überhaupt gibt. Die DSGVO regelt ab dem 25. Mai 2018 die Verarbeitung personenbezogener Daten für die gesamte EU einheitlich.

Was sind personenbezogene Daten?

Gemäß der DSGVO sind das Informationen mit denen man eine natürliche Person identifizieren kann. Die Person über die Daten erhoben werden, wird in der DSGVO als betroffene Person bezeichnet.

Personenbezogene Daten sind z. B.:

  • Name
  • Anschrift
  • E-Mailadresse
  • Standortdaten
  • IP Adresse
  • Geburtstag
  • Telefonnummer
  • KFZ-Kennzeichen

Grundsätze für die Verarbeitung personenbezogener Daten nach DSGVO.

Verbot mit Erlaubnisvorbehalt

Dieses Prinzip bedeutet, dass niemand personenbezogene Daten anderer verarbeiten, erheben, speichern oder weitergeben darf wenn die betroffene Person nicht ausdrücklich in die Verarbeitung eingewilligt hat oder man sich auf eine Rechtsgrundlage berufen kann die es einem erlaubt oder sogar anordnet.

Rechtmäßigkeit

Nach Art. 6 Abs. 1 DSGVO ist die Verarbeitung personenbezogener Daten nur rechtmäßig, wenn die betroffene Person eine Einwilligung erteilt hat. Wichtig ist hier insbesondere, dass jeder der mit diesen Daten arbeiten möchte, vorher überprüft ob eine Rechtsgrundlage besteht auf die er sich berufen kann. Eine Verarbeitung ohne Rechtsgrundlage ist nicht zulässig und kann hohe Bußgelder zur Folge haben.

Zweckbindung

Eine Verarbeitung von personenbezogenen Daten darf nur für den konkret festgelegten Zweck erfolgen und dieser muss vorab feststehen.

Richtigkeit der Daten

Die DSGVO regelt ausdrücklich, dass die Daten die erhoben und gespeichert werden sachlich richtig und aktuell sein müssen.

Erforderlichkeit der Speicherung

Es dürfen nur die personenbezogenen Daten erhoben und gespeichert werden die für den festgelegten Zweck unbedingt erforderlich sind.

Rechenschaftspflicht

Diese Rechenschaftspflicht ist eine richtig große Herausforderung für alle Verantwortlichen. Sie bedeutet, dass die Aufsichtsbehörde die Vorlage einer schriftlichen Dokumentation verlangen kann in der man den Umgang mit den personenbezogenen Daten von Kunden, Mitarbeitern, Lieferanten, Vereinsmitgliedern etc. nachweisen muss.

Wen betrifft die DSGVO?

Jeden der personenbezogene Daten in irgendeiner Form verarbeitet. Unternehmen egal wie groß, Vereine, Webseitenbetreiber.  Wenn Sie solche Daten verarbeiten sind Sie im Sinne der DSGVO Verarbeiter. Sie verarbeiten solche Daten im Auftrag von Dritten, dann sind sie Auftragsverarbeiter (z. B. Online-Terminkalender, Google Analytics, Steuerberater, Provider etc.).

Betroffenenrechte nach der DSGVO

Diese Rechte sollen die Betroffenen in die Lage versetzen zu wissen wer (Verarbeiter, Auftragsverarbeiter) wann welche Informationen über Sie speichert und wie diese genutzt werden. Diese Betroffenenrechte verpflichten alle Unternehmen, Webseitenbetreiber und Vereine aktiv über die von ihnen genutzten Daten zu informieren.

  • Transparente Information
  • Auskunft
  • Berichtigung, Löschung und Einschränkung der Verarbeitung
  • Datenübertragbarkeit
  • Widerspruch gegen die Verarbeitung
  • Recht, keiner automatisierten Entscheidung unterworfen zu werden

Was hat das nun für Auswirkungen?

Datenschutzbeauftragter

Als erstes gilt es festzustellen ob es erforderlich ist einen Datenschutzbeauftragten zu benennen oder ob diese Pflicht bei z. B. Einzelunternehmen der Inhaber übernehmen kann. Größere Unternehmen werden nicht umhin kommen einen zu bestellen oder es besteht bereits ein Datenschutzkonzept.

Erheblicher Dokumentationsaufwand

Es entsteht ein erheblicher Dokumentationsaufwand, da es leider nicht ausreicht diese Anforderungen für den Datenschutz nur umzusetzen. Nein, es muss auch ausführlich dokumentiert werden im "Verzeichnis der Verarbeitungstätigkeiten" und zu allererst ist es erforderlich sich mit den ganzen Prozessen, Programmen insbesondere diejenigen die auf einer Cloud basieren, Plugins, Formularen, Newslettern, Abläufen und nicht zuletzt selbst mit Druckern und Datensicherheit durch Verschlüsselung auseinander zusetzen. Hinzu kommt das Verzeichnis über die "Technisch-Organisatorischen-Maßnahmen " (TOM) sowie ein Datenschutzkonzept und eine Risikoanalyse. Ausnahmen gibt es für kleine Unternehmen unter 250 Mitarbeitern wenn sie nur gelegentlich personenbezogene Daten verarbeiten und keine Risiken bestehen. Die Frage ist jetzt, wann verarbeitet man nur gelegentlich personenbezogene Daten. Um sicher zu sein sollte man einen Rechtsanwalt befragen um sicher zu sein ob diese Ausnahme zutrifft.

Nicht zu vergessen ist auch dass die DSGVO nicht nur für USB-Sticks, Festplatten, Notebooks, Smartphones, Server etc. gilt sondern auch für ganz normale Daten auf Papier wie z. B. Karteikarten oder Papierdokumenten in Ordnern.

E-Mail-Marketing mit Freebie wird schwieriger

Aufgrund des Kopplungsverbotes ist es nicht mehr möglich ein Freebie gegen E-Mail-Adresse anzubieten. Der Nutzer muss sich das Freebie auch runterladen können wenn er sich nicht zum Newsletter einträgt. Für Unternehmen bedeutet dies ein Umdenken in Richtung wie schaffe ich Mehrwert für meine Abonnenten damit sie sich anmelden.

WICHTIG: Der Nutzer muss vorher informiert werden wozu sein Daten gespeichert werden und dass er sich jederzeit abmelden kann, es dürfen keine vorausgefüllten Häkchen integriert sein, Datenschutzerklärung muss integriert sein. Double-Opt-In war vorher sowieso schon Pflicht. Es müssen alle Einträge protokolliert werden und sie müssen durch den Benutzer gelöscht werden können. Wer Newsletter versendet sollte dringend überprüfen ob die verwendeten Newsletter-Tools DSGVO konform sind.

SSL-Zertifikat ist Pflicht

Datenübertragung darf nur verschlüsselt stattfinden.

Hohe Bußgelder

Auf Anfrage müssen die Unterlagen der Aufsichtsbehörde vorgelegt werden. Bei Verstößen drohen sehr hohe Bußgelder.

Auftragsdaten

Es müssen Verträge geschlossen werden mit allen Verarbeitern die Ihre Daten im Auftrag verarbeiten wie z. B. Google, Online Kalender, Provider etc.. Bei manchen Providern  muss man nachfragen, wieder andere stellen den Vertrag online zur Verfügung. Aber selbst hier sind noch nicht alle auf die DSGVO vorbereitet. Bitte überprüfen ob der Vertrag DSGVO konform ist.

Datenschutzerklärung

Bereits ebenfalls seit 2016 muss jeder Webseitenbetreiber, egal ob privat oder geschäftlich, der personenbezogen Daten verarbeitet über eine korrekte Datenschutzerklärung verfügen. Leider haben das viele Seitenbetreiber noch nicht umgesetzt, dies ist ein Verstoß gegen den Datenschutz und kann eine teure Abmahnung zur Folge haben.

Datensicherheit

Sinnvoll und auch von der DSGVO gefordert, ist es die wichtigen und sensiblen Daten zu verschlüsseln. Möglichkeiten zum Verschlüsseln der Daten bieten verschiedene kostenpflichtige und auch kostenlose Programme.

Verschärfte Meldepflicht

Kommt es zu einer "Verletzung des Schutzes personenbezogener Daten", also eine Datenpanne muss der Verantwortliche dies der zuständigen Aufsichtsbehörde innerhalb 72 Stunden von sich aus melden, ansonsten drohen hohe Bußgelder.

FAZIT: Jeder, der regelmäßig personenbezogene Daten verarbeitet muss die Regelungen der DSGVO umsetzen. Es sind nur noch wenige Wochen bis zum 25. Mai daher ist Eile geboten für diejenigen die sich mit der neuen Datenschutzgrundverordnung noch nicht auseinander gesetzt haben. Im Internet gibt es weitreichende Möglichkeiten sich zu informieren, es wird aber dadurch leider nicht gerade übersichtlicher. Wer alleine nicht weiterkommt sollte sich fachliche Unterstützung holen. Wir werden noch 2 Bücher verlinken die uns bei der Umsetzung sehr geholfen haben.

Achtung: Dieser Artikel ist KEINE Rechtsberatung. Er gibt lediglich unseren aktuellen Kenntnisstand wieder, da wir uns aufgrund der neuen Bestimmungen ausführlich damit beschäftigt haben

Weiterführende Informationen finden Sie unter folgenden Links:

Bayerisches Landesamt für Datenschutzaufsicht

Bundesbeauftragte für den Datenschutz und die Informationsfreiheit - PDF zum Download

Das Regelwerk der EU Verordnung - Downloadseite der EU

Datenschutz für kleine Unternehmen und Existenzgründer (IHK Stuttgart)

Infos zur DSGVO (Microsoft)

Print Friendly, PDF & Email