Selbstständigen ist die neue Datenschutz-Grundverordnung (DSGVO/GDPR), die europaweite Verordnung zur Verarbeitung personenbezogener Daten, sicherlich ein Begriff. Aber wieso gibt es sie überhaupt und was müssen Selbstständige beachten, um die neue Datenschutzverordnung einzuhalten?
Diese Verordnung wurde eingeführt, um verschiedene Umsetzungen vorangegangener Datenschutzrichtlinien in den EU-Mitgliedsstaaten zu vereinheitlichen und dem Einzelnen mehr Kontrolle über seine personenbezogenen Daten zu geben, vor allem in Zeiten, zu denen immer und überall Daten gesammelt werden.
Viele Datenschutzerklärungen und andere rechtliche Informationen sind nicht immer leicht verständlich. Um dir zu zeigen, welche Schritte erforderlich sind, haben wir diesen Artikel geschrieben.
Um die neue Datenschutzverordnung einzuhalten, muss ein Unternehmer, der Datenverantwortliche für seine Kundendaten, vom Abbilden der Daten bis hin zur Erstellung eines Plans im Falle einer Datenschutzverletzung und dem Aufzeichnen der Datenverarbeitung verschiedene Schritte unternehmen.
1. Daten abbilden und Überblick verschaffen
Als Unternehmer hast du vermutlich personenbezogene Daten in verschiedenen Applikationen und Speichern hinterlegt, z. B. E-Mails und Adressbücher. All diese personenbezogenen Daten, die du verarbeitest, müssen zugeordnet werden.
2. LEGE DIE RECHTSGRUNDLAGE FÜR DEINE DATENVERARBEITUNG FEST
Die Verarbeitung und Speicherung personenbezogener Daten kann auf folgende Grundlagen basieren: Einwilligung, Vertragserfüllung, rechtliche Verpflichtung, lebenswichtige Interessen, Erfüllung einer Tätigkeit im öffentlichen Interesse oder die Ausübung öffentlicher Gewalt oder rechtliches Interesse.
Sensible Daten, z. B. Daten, die den (ethnischen) Hintergrund oder politische Ansichten einer Person offenbaren oder Daten zum Sexualleben oder der sexuellen Orientierung einer Person, haben eine andere Verarbeitungsgrundlage.
Eine Grundlage muss festgelegt werden für alle Daten, die ein Holvi-Entrepreneur sammelt, verarbeitet und speichert.
Wenn die Daten durch Einwilligung gesammelt werden, muss diese Einwilligung aus einer freien Entscheidung heraus, konkret und informiert getroffen werden. Der Unternehmer muss diese Einwilligung festhalten und der Person muss die Möglichkeit gegeben werden, seine Einwilligung genauso leicht wieder zurückziehen zu können.
Heutzutage werden die meisten Daten digital gespeichert. Wir sind sogar richtige Datensammler geworden und speichern alle Daten Jahr ein, Jahr aus. Um dem entgegenzuwirken, gibt es die Speicherbegrenzung als eine der Grundregeln der Datenschutzverordnung.
Dadurch müssen alle Firmen ihre Aufbewahrungsfristen für Daten festlegen. Einige Aufbewahrungszeiträume werden direkt gesetzlich vorgeschrieben, kommen von Branchenpraktiken oder basieren auf Firmenpolitik.
Du brauchst einen zulässigen Zweck, um Daten zu speichern. In Übereinstimmung mit diesem Zweck musst du festlegen, wie lange du die Daten brauchst, ohne die Speicherbegrenzung aus den Augen zu verlieren.
Wenn du die Daten nicht mehr für den Zweck, für den du sie gesammelt hast, benötigst, solltest du sie löschen, wenn kein rechtmäßiges Interesse besteht, sie zu behalten.
Einer der Gründe für die neue DSGVO ist mehr Kontrolle für den Einzelnen darüber, wie seine personenbezogenen Daten verwendet werden. Um dies zu erreichen haben Personen, sogenannte Datensubjekte, verschiedene Rechte bezüglich ihrer Daten. Da gibt es zum einen das Recht auf Information, was normalerweise durch eine Datenschutzerklärung gemacht wird. Das Auskunftsrecht besagt, dass der Datenverantwortliche der betroffenen Person Zugriff auf die Daten gewähren oder die Daten an die Person geben muss.
Das Recht auf Berichtigung bedeutet, dass die betroffene Person das Recht hat, eine Korrektur oder Aktualisierung ihrer Daten zu verlangen.
Das Recht auf Vergessenwerden beinhaltet, dass die betroffene Person die Löschung bzw. Entfernung ihrer personenbezogenen Daten verlangen kann, wenn kein zwingender Grund besteht, diese Daten weiterhin zu verarbeiten.
Das Recht auf Einschränkung der Verarbeitung ist eine Option des Rechts auf Vergessenwerden. Wenn die betroffene Person ihre Daten nicht löschen kann, kann die Verarbeitung personenbezogener Daten blockiert oder unterdrückt werden. Wenn die Verarbeitung eingeschränkt ist, ist es dem Datenverantworlichen gestattet, die personenbezogenen Daten zu speichern, aber nicht weiter zu verarbeiten. Das Recht auf Datenübertragbarkeit erlaubt es der betroffenen Person, personenbezogenen Daten einfach von einer IT-Umgebung auf einen andere zu schieben, kopieren oder übertragen.
Das Widerspruchsrecht betrifft Daten, die der Datenverantwortliche aufgrund von berechtigtem Interesse verarbeitet. Wenn du Daten für Direktmarketing verarbeitest, musst du immer sofort mit der Verarbeitung aufhören, sobald du den Widerspruch erhältst.
Außerdem hat die betroffene Person Rechte bezüglich automatisierter Entscheidung im Einzelfall, darunter auch beim Profiling. Wenn du eins davon durchführst, musst du sicherstellen, dass du den Personen die Informationen über die Verarbeitung gibst.
Wenn der Datenverantwortliche Datenverarbeiter verwendet, um personenbezogene Daten im Namen des Verantwortlichen zu verarbeiten, sollte ein Vertrag über die Datenverarbeitung abgeschlossen werden oder es werden relevante Bestimmungen zu dem Vertrag zwischen dem Datenverantworlichen und dem Datenverarbeiter hinzugefügt, um festzulegen, dass diese Beziehung in Übereinstimmung mit der DSGVO ist.
Wenn der Holvi-Entrepreneur Informationen an Drittländer außerhalb der EU übermittelt, muss der Unternehmer sicherstellen, dass die Übertragung über geeignete Garantien verfügt. Die Entscheidungen bezüglich der Eignung trifft die Europäische Kommission. Übertragungen zwischen der EU und den USA unterliegen dem Privacy Shield, dem EU-US-Datenschutzschild. Darüberhinaus hat die Europäische Kommission Musterverträge für Datenübertragungen zwischen EU-Firmen und Firmen in Drittländern herausgegeben. Diese Musterverträge sind ein flexibles Mittel für kleine Unternehmen, um angemessenen Schutz zu gewähren.
Das bereits angesprochene Recht auf Information erfolgt normalerweise über eine Datenschutzerklärung. Eine solche Datenschutzerklärung muss einige Pflichtangaben beinhalten: der Name und die Kontaktinformationen deiner Firma, die Zwecke und die Rechtsgrundlage für die Verarbeitung. Ein Unternehmer sollte alle Pflichtangaben in seiner Datenschutzerklärung haben.
Gute Informationssicherheit ist eine der Voraussetzungen für eine Datenschutzrichtlinie, die die DSGVO einhält. Daten mit technischen und operativen Maßnahmen sicher aufzubewahren ist der erste Schritt zum Datenschutz. Solche Maßnahmen verhindern eine nicht-autorisierte Nutzung, z. B. durch sichere Passwörter, das Verbergen deines Bildschirms vor Dritten und auch die Verwaltung der Zugriffsrechte in deiner Firma.
Um Daten sicher zu halten, solltest du immer genau überlegen, ob du wirklich eine öffentliche Internetverbindung verwenden willst, da du nicht kontrollieren kannst, wer deine Daten überwacht. Phishing und Social Engineering können die Integrität personenbezogener Daten gefährden.
Unter der DSGVO ist es erforderlich, dass der Datenverantwortliche im Falle einer Datenpanne die Datenschutzbehörde informiert. Eine Datenpanne ist eine Sicherheitsverletzung, die z. B. zu einer unbeabsichtigten oder unerlaubten Zerstörung oder dem unbeabsichtigten oder unerlaubten Verlust von Daten führt.
Diese Mitteilung an die Datenbehörde ist erforderlich, wenn der Zwischenfall zu Gefahren für die Rechte und Freiheiten der Datensubjekte führt. Weiterhin ist eine Mitteilung notwendig, wenn der Zwischenfall zu einem hohen Risiko für die Rechte und Freiheiten der Datensubjekte führen kann. Die Datenschutzbehörde muss innerhalb von 72 Stunden über den Zwischenfall informiert werden.
Schließlich muss der Datenverantwortliche die Einhaltung der DSGVO nachweisen können. Das bedeutet, dass der Verantwortliche seine Datenverarbeitungsaktivitäten festhalten und dokumentieren sollte. Ferner sollte er die Daten abbilden, die Grundlage der Verarbeitung, Aufbewahrungsfristen und Datenübertragungen festlegen und festhalten. Dazu gehören auch Datenverarbeitungsverträge mit dritten Datenverarbeitern und Datenübertragungen an Drittländer.