Cookie-Einstellungen

Auf dieser Webseite werden Cookies verwendet. Einige davon werden zwingend benötigt, während es uns andere ermöglichen, Ihre Nutzererfahrung auf unserer Webseite zu verbessern.

weitere Informationen

Essentielle Cookies werden für grundlegende Funktionen der Webseite benötigt, z.B. Login. Dadurch ist gewährleistet, dass die Webseite einwandfrei funktioniert.

  • omCookieConsent I Laufzeit: 12 Monate
    Zweck: Speichert den Zustimmungsstatus des Benutzers für Cookies auf der aktuellen Domäne
  • fe_typo3_user I Laufzeit: Session
    Zweck: Speichert den Login des Benutzers
weitere Informationen

Statistik Cookies erfassen Informationen anonym. Diese Informationen helfen uns zu verstehen, wie unsere Besucher unsere Website nutzen.

Anbieter: Google LLC
Sitz: 1 Hacker Way, Menlo Park, California, USA
Datenschutzerklärung: https://policies.google.com/privacy

  • _ga I Laufzeit: 2 Jahre
    Zweck: Dieser Cookie speichert eine Visitor-ID.
  • _gid I Laufzeit: Session
    Zweck: Dieser Cookie speichert eine unique/eindeutige Session-ID.
Datenschutz
weitere Informationen
Cookie optin by Olli machts
Bundesverband Wassersportwirtschaft e.V.
Unternehmens- und Produktsuche

EU-Datenschutz-Grundverordnung (DSGVO) - Was haben kleinere Unternehmen beim Datenschutz zu beachten? - Was ändert sich?

 

1. Bedeutung der DSGVO

 Am 25.05.2018 tritt in der gesamten Europäischen Union die DSGVO in Kraft und gilt als EU-Verordnung unmittelbar und einheitlich für alle Unternehmen. Die DSGO stellt für ihre räumliche Geltung nicht mehr auf den Sitz eines Unternehmens ab, sondern darauf ob ein Anbieter von Waren oder Dienstleistungen personenbezogene Daten von in der EU befindlichen Personen verarbeitet. Die DSGVO erhöht zwar die Anforderungen an den Datenschutz, vieles ist aber schon länger geltendes Recht in Deutschland nach dem Bundesdatenschutzgesetz (BDSG). Insbesondere werden in der DSGVO die bekannten Grundsätze der Rechtmäßigkeit der Datenverarbeitung, der Verarbeitung nach Treu und Glauben (Fairness), der Zweckbindung, der Datensparsamkeit, der Richtigkeit sowie der Begrenzung der Speicherdauer genannt und durch die „Integrität und Vertraulichkeit“ der Datenverarbeitung ergänzt. Darüber hinaus wurden in der DSGVO die Anforderungen an die Informationspflichten erhöht und ein „Recht auf Vergessen“ geschaffen. Der Bußgeldrahmen wurde insbesondere mit Hinblick auf Verstöße von größeren Unternehmen oder Konzernen erheblich erhöht.

Nachfolgend soll an einem kleineren Musterbetrieb aus der Wassersportbranche dargestellt werden, welche Anforderungen sich (neu) aus der DSGVO ergeben.
Herr Mustermann hat einen kleineren Bootshandelsfachbetrieb mit vier weiteren Mitarbeitern (ab 10 Beschäftigten wäre die Bestellung eines betrieblichen Datenschutzbeauftragten erforderlich) und handelt mit Booten und Zubehör. Darüber hinaus führt er Reparaturen in seiner Werkstatt aus.


 2. Rechtsgrundlage für die Datenverarbeitung

 a) Vertrag

Herr Mustermann möchte seinen Kunden etwas verkaufen oder eine Werkstattleistung erbringen. Hierbei handelt es sich um die Anbahnung bzw. die Erfüllung eines Vertragsverhältnisses. Hierzu benötigt er entsprechende Angaben seiner Kunden (z. B. Name, Anschrift, Telefonnummer). Darüber hinausgehende Angaben sind hingegen in der Regel nicht erforderlich.

Für die Grunddaten zur Abwicklung des Vertrages benötigt Herr Mustermann keine gesonderte Einwilligung seines Kunden, für darüber hinausgehende Daten aber schon. Wenn der Vertrag erfüllt ist und es keine gesetzlichen Gründe für seine Aufbewahrung mehr gibt (z. B. steuerliche oder handelsrechtliche Gründe), müssen die Daten gelöscht werden.

b) Einwilligung

Neu ist, dass Herr Mustermann in der Einwilligungserklärung auf die jederzeitige Widerrufbarkeit dieser Einwilligung hinweisen muss. Er sollte hierbei nach obligatorischen und freiwilligen Daten trennen. Herr Mustermann kann hierbei auch eine elektronische Einwilligung einholen. Das „Stehenlassen“ eines bereits vorangehakten Kästchens im Internet (sog. opt-out) genügt hierbei nicht. Zulässig und ausreichend ist allein das Ankreuzen einer Bestätigung (sog. double-opt-in).

Herr Mustermann muss ferner prüfen, ob die bisherigen Einwilligungen, die er eingeholt hat, den neuen Anforderungen entsprechen. Sollte dies nicht der Fall sein, wenn also der Hinweis auf den jederzeitigen Widerruf oder die Angabe des Zwecks fehlt, müssen die Einwilligungen neu eingeholt werden.

Schließlich muss Herr Mustermann die Einwilligungen dokumentieren.

c) Berechtigtes Interesse des Verantwortlichen

Personenbezogene Daten dürfen auch zur Wahrung berechtigter Interessen des Verantwortlichen verarbeitet werden, sofern nicht die Interessen der betroffenen Person überwiegen. Bei der notwendigen und zu dokumentierenden Interessenabwägung ist auf die vernünftigen Erwartungen einer betroffenen Person abzustellen.


3. Erweiterung der Informationspflichten

Um die Verwendung von Daten nachvollziehbar zu machen wurden die Informationspflichten der Unternehmen gegenüber den Betroffenen nicht unerheblich erweitert. Der Betroffene, z. B. ein Kunde, ist von Herrn Mustermann vor Erhebung von personenbezogenen Daten in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache über die Verwendungsgesichtspunkte zu informieren. Im Einzelnen sind dies:

  • Name und Kontaktdaten des für die Datenerhebung Verantwortlichen (Herr Mustermann)
  • die Kontaktdaten des Datenschutzbeauftragten (hier nicht erforderlich)
  • die Zwecke und die Rechtsgrundlage der Verarbeitung
  • das berechtigte Interesse des Verantwortlichen oder eines Dritten an der Verarbeitung
  • Empfänger der personenbezogenen Daten
  • die Absicht der Übermittlung an ein Drittland oder eine internationale Organisation

 Daneben ist der Betroffene auch über

  • die voraussichtliche Dauer der Datennutzung
  • die betroffenen Rechte auf Auskunft, Berichtigung, Löschung und eventuelle Einschränkung dieser Rechte
  • das Recht auf jederzeitigen Widerruf der Einwilligung
  • das Beschwerderecht bei einer Aufsichtsbehörde
  • die Bereitstellung der personenbezogenen Daten
  • eine automatisierte Entscheidungsfindung

zu informieren. Falls die Daten nicht vom Betroffenen stammen, ist dieser in gleicher Weise zu informieren und darüber hinaus über die Quelle seiner Daten in Kenntnis zu setzen.

Für die Nutzer seiner Internetseite muss Herr Mustermann bekannt geben, ob und welche Cookies er verwendet und ob er die Nutzer der Seite trackt. Nutzt er dafür einen Dienstleister, muss er dafür eine Vereinbarung über die die sog. Auftragsverarbeitung schließen. Hat der Dienstleister seinen Sitz in einem Drittland, z. B. den USA, muss er prüfen, ob die Weitergabe der Daten über EU-Standartvertragsklauseln oder über Privacy Shield abgesichert ist. Hierbei handelt es sich um eine Vereinbarung zwischen der EU und den USA zur Angemessenheit des Datenschutzniveaus bei denjenigen Unternehmen, die die Anforderungen von Privacy Shield erfüllen.


4.   Verzeichnis von Verarbeitungstätigkeiten und sonstige datenschutzrechtliche Anforderungen

Herr Mustermann hat nach der DSGVO ein Verzeichnis über die Verarbeitungstätigkeiten mit folgenden Angaben zu dokumentieren:

  • Name und Kontaktdaten des Verantwortlichen, des Vertreters, ggf. des gemeinsam Verantwortlichen sowie des etwaigen Datenschutzbeauftragen
  • Zweck der Verarbeitung
  • Rechtsgrundlage
  • Kategorie der betroffenen Personen und personenbezogenen Daten
  • Kategorie von Empfängern der Daten
  • Übermittlung in Drittstaaten
  • Löschfristen
  • Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Datensicherung.

Ferner muss Mustermann seine Mitarbeiter auf die Vertraulichkeit von Daten verpflichten und sie auf den Datenschutz hinweisen bzw. angemessen schulen und dies dokumentieren. Er sollte überlegen, wie er mit einem Auskunftsersuchen umgeht, wenn jemand von seinem Recht auf Auskunft Gebrauch macht und erfahren möchte, welche Daten über ihn gespeichert sind. Er sollte zusätzlich prüfen, ob er einen Prozess aufsetzt, falls es zu Datenverstößen kommt. Diese sind nunmehr binnen 72 Stunden der Aufsichtsbehörde zu melden. Darüber hinaus muss die betroffene Person unverzüglich über den Datenverstoß informiert werden.

Herr Mustermann muss ein Löschkonzept vorsehen (geregelt für: 6 Jahre Geschäftsbriefe, 10 Jahre steuerrelevante Unterlagen, 6 Monate Bewerbungsunterlagen). Alle anderen Daten bzw. Dokumente mit personenbezogenen Daten müssen gelöscht bzw. vernichtet werden, wenn sie nicht mehr benötigt werden. Daran schließt sich die Frage an, wie Unterlagen datenschutzkonform vernichtet werden können und müssen.


5. Dienstleister

a) Wo verarbeitet Herr Mustermann die erhobenen Daten? Auf seinem eigenen Server oder bei einem Dritten? Bei letzterem muss er eine schriftliche oder elektronische Vereinbarung über die Auftragsverarbeitung schließen, denn der IT-Dienstleister darf die Daten nur nach seiner Weisung verarbeiten. Liegen die Daten auf Herrn Mustermanns eigenem Server, nutzt er aber eine Cloud-Anwendung, muss er klären, ob die Daten in Deutschland, in Europa oder z.B. in den USA gespeichert sind. Im letzteren Fall handelt es sich um einen Datentransfer in Drittländer, so dass er dafür eine besondere Grundlage benötigt, wenn die Daten in die USA übermittelt werden.

b)  Herr Mustermann hat einen Internetauftritt, der von einer Webdesignagentur gestaltet wird. Hat die Webdesignagentur Zugriff auf die personenbezogenen Daten, die seine Interessenten oder Kunden dort angeben? Falls ja, muss er auch hier eine Vereinbarung über die Auftragsverarbeitung schließen.

c)   Herr Mustermann lässt seine Buchführung, insbesondere auch die Gehaltsabrechnungen seiner Mitarbeiter, über einen Steuerberater abwickeln. Hierfür muss er einen entsprechenden Dienstvertrag abschließen.

d)  Herr Mustermann schaltet ein Inkassounternehmen ein, um säumige Kunden zur Zahlung auffordern zu lassen. Hierfür benötigt er ebenfalls einen Dienstvertrag.

e)  Herr Mustermann nutzt einen elektronischen Bezahldienst. Auch mit diesem muss er einen Dienstvertrag schließen.


6. Lieferanten

Die Boote, das Zubehör und Material bezieht Herr Mustermann von verschiedenen Lieferanten, von denen er ebenfalls Daten, wie Name, Anschrift, Telefonnummer, Produktangebot, Ansprechpartner, URL der Homepage und E-Mail-Adressen gespeichert hat. Diese Angaben fallen entweder unter das Vertragsverhältnis oder er benötigt für bestimmte Angaben ebenfalls die Einwilligung der Person zur Speicherung ihrer Daten unter Angabe des Zweckes der Speicherung.


7. Technisch-organisatorische Maßnahmen

Diese betreffen die Frage, ob die Informationssicherheit im Betrieb des Herrn Mustermann gewährleistet ist. Hierzu sind die notwendigen Maßnahmen zu veranlassen und zu dokumentieren.

Herr Mustermann hat insbesondere folgendes sicherzustellen:


1. Vertraulichkeit der erhobenen Daten

  • Zutrittskontrolle

Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.

  •  Zugangskontrolle

Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

  • Zugriffskontrolle

Maßnahmen, die gewährleisten, das die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

  • Trennungskontrolle

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

 
2. Integrität der erhobenen Daten

  •  Weitergabekontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transportes oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welchen Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

  •  Eingabekontrolle/Verarbeitungskontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

  • Dokumentationskontrolle

Maßnahmen, die gewährleisten, dass die Verfahrensweisen bei der Verarbeitung personenbezogener Daten in einer Weise dokumentiert werden, dass sie in zumutbarer Weise nachvollzogen werden können.

  • Auftragskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag erhoben werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

  •  Verfügbarkeitskontrolle

Maßnahmen, die gewährleisten, das personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

  •  Belastbarkeit (Widerstandsfähigkeit/Resilenz von Systemen/Diensten)

Maßnahmen, die gewährleisten, dass technische Systeme bei Störungen bzw. Teilausfällen nicht vollständig versagen, sondern wesentliche Systemdienstleitungen aufrechterhalten werden. Die Daten sind so zu sichern, dass sie bei einem eventuellen Verlust wiederhergestellt werden können.

Der Bundesverband Wassersportwirtschaft steht seinen Mitgliedern für Rückfragen gern zur Verfügung.