Knowledge Base

Knowledge Base

Übersicht » Recht & Gesetz

Datenschutz-Grundverordnung (DSGVO)

Datum: 28. April 2018 (Update: 18. Mai 2018)

Am 25. Mai 2018 ist es soweit, da tritt die neue Datenschutz-Grundverordnung (DSGVO) in Kraft. Doch was genau bedeutet das und wen betrifft das?
Die DSGVO regelt so einiges. Ich möchte hier nicht das Rad neu erfinden, aber ich möchte dir hier ein paar Informationen an die Hand geben.

Im Grunde regelt die DSGVO den Umgang mit deinen Daten. Wenn du oder dein Unternehmen personenbezogene Daten nutzt, bist du davon betroffen. Dabei ist es unerheblich ob du ein Einzelnunternehmen betreibst (z.B. Freelancer) oder ein großes Unternehmen mit mehreren tausend Mitarbeitern. Die DSGVO regelt das sammeln, das verwerten und verwalten der Daten.

Du musst für alle Daten, die du verwendest, nachweisen, wofür die sie verwendest. Du musst Prozesse definieren wie diese Daten erhoben werden, wie sie gespeichert werden oder weiter verarbeitet werden. Auch musst du u.a. deinen Kunden ermöglichen, Einsicht in die von ihm gesammelten Daten zu bekommen oder sie auf Wunsch sogar zu löschen. Und das nachweislich. Auch aus alten Backups.

Das klingt kompliziert? Ist es auch. Und umständlich. Und sicherlich werden kleinere Betriebe mit nur wenigen Mitarbeitern, oder gar Unternehmen die gar nichts mit IT zu tun haben, so ihre Probleme dabei bekommen.

Beispiel 1:

Wenn du eine Webseite betreibst und die IP-Adresse deiner Besucher für einen Counter sammelst, dann musst du dies auf deiner Seite bekannt machen.
Du musst angeben:

1. welche Daten gesammelt werden (in diesem Fall ist es die IP-Adresse)
2. wie die Daten gesammelt werden (wenn du sie z.B. in Cookies speicherst oder in einer Datenbank)
3. wozu diese Daten genutzt werden (in diesem Fall für einen Besucherzähler)

Beispiel 2:

Das ist noch relativ einfach und übersichtlich. Aber wie steht es mit umfangreichen Kundendaten? Wenn du ein Gartenbauunternehmen betreibst, hast du einen Kundendatenbank. Da werden Namen, Anschriften, Telefonnummer gespeichert. Aber auch Rechnungen, Auftragsdaten, Bestellungen etc. Vielleicht sogar Bankdaten sofern du eine Einzugsermächtigung deiner Bestandskunden hast.

Das sind teilweise sensible Daten und diese müssen entsprechend geschützt werden. Sie müssen archiviert werden, gesichert. Und wie gesagt muss jeder Kunde jederzeit einen Einblick bekommen können - zumindest muss er eine Übersicht anfordern können was alles von ihm gespeichert wurde.

Du musst genau beschreiben wozu du z.B. seine KontoNr brauchst und verwendest. Wenn nun deine Kundendatenbank im Laufe der Jahre immer grßer wird und du regelmäig ein Backup deiner Daten machst, hast du nach mehreren Jahre etliche Sicherungen.

Wenn nun einer deiner ersten Kunden kommt und das Vertragsverhältnis zwischen euch beenden will, hat er auch das Recht, das seine Daten vollständig gelöscht werden. Auch aus allen Backups!
Und hier wird es für kleinere Unternehmen sehr umfangreich und schwierig.

Sicherlich wird es hier auch demnächst Firmen geben, die sich speziell auf solche Fälle der Datenhaltung und Pflege spezialisieren.

Formulare und Prozesse

Wie anfangs erwähnt musst du für alle Daten, die du sammelst, beschreiben warum und wofür. Und du musst Prozesse definieren und diese schriftlich festhalten - falls dies mal von den Behörden geprüft wird.
Glücklicherweise gibt es dafür Vorlagen und diese sind gar nicht so kompliziert wie man sich das vorstellt.

 

Da das Thema noch viel komplexer ist als hier beschrieben, würde eine vollständige Aufschlüsselung den Rahmen sprengen.
Deshalb habe ich dir ein paar Links zusammengestellt, wo du viele nützliche Informationen findest.

Fazit

Die DSGVO betrifft jeden, der Daten sammelt und verwendet. Sie beschreibt die Vorgaben wie beschrieben wird, welche Daten gesammelt werden und wie diese verarbeitet werden.

 

Weiterre Links (Update):

 

 

 

etwas Social Network?