Hinweise zur Datenschutz-Grundverordnung (DSGVO)

Ab dem 25. Mai 2018 ist die Europäische Datenschutz-Grundverordnung (DSGVO) verpflichtend für Betriebe, Vereine, Handwerker, Ärzte und andere Institutionen. Aber was bedeutet das für einen selbst? Ist man betroffen? Was muss man konkret tun? In diesem Blog-Beitrag versuche ich, einige Hinweise zur Umsetzung der neuen Verordnung zu geben.


Anzeige

Was ist die Datenschutz-Grundverordnung (DSGVO)?

Die EU-Datenschutz-Grundverordnung (DSGVO) vereinheitlicht das Datenschutzrecht innerhalb Europas im Hinblick auf die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen (siehe auch Wikipedia). Die DSGVO hat das Ziel, dem Einzelnen mehr Kontrolle über seine Daten zu geben. Dazu besteht die DSGVO aus 99 Artikeln in elf Kapiteln, die beispielsweise hier abrufbar sind. Weitere Informationen finden sich auch hier.

Wichtig ist, dass die DSGVO praktisch jeden trifft, der persönliche Daten Dritter verarbeitet und speichert. Das gilt vom Vermieter über Freiberufler, Händler, Betriebe bis hin zu Behörden und Vereinen. Bei Betrieben mit weniger als 250 Mitarbeitern gilt lediglich, dass diese – in einigen Fällen, siehe den nachfolgenden Kommentar – von der Pflicht zur Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten befreit sind. Die GSGVO gilt zudem weltweit, das Geschäft ins Ausland zu verlagern, aber mit europäischen Bürgern Geschäfte machen, funktioniert nicht. Eine grobe Übersicht im Hinblick auf die Einhaltung und Umsetzung der DSGVO findet sich z.B. hier.

Wie erfüllte ich die DSGVO?

Seit einiger Zeit sprießen die Angebote zu Informationen rund um die DSGVO wie Pilze aus dem Boden. Im Mittelstands-Wiki finden sich beispielsweise allgemeine Angaben zum Thema bzw. den Kernpunkten der neuen Verordnung. Auch Bitkom hat als Verband eine FAQ zur DSGVO als PDF-Flyer herausgegeben. Checklisten zur DSGVO finden sich z.B. hier, bei den IHKs (z.B. hier, hier (gelöscht), hier).

Was ich persönlich aber vermisse, sind praxisnahe und relevante Informationen für kleine Firmen, Online-Shops, Freiberufler etc., was man konkret tun muss, um die DSGVO zu erfüllen.

Stichpunkte: Was bedeutet das für meinen Webauftritt? Was heißt es für meine Datenverarbeitung und meine eingesetzten Computer? Kann ich mein (Android) Smartphone überhaupt noch einsetzen?

DSGVO in Kanzleien

Im Hinblick auf die Umsetzung der DSGVO in Kanzleien (Anwälte, Steuerberatungen etc.) verweise ich auf die Webseite des Anwaltsvereins, die hier entsprechende Merkblätter, Muster und mehr bereithält (danke an Blog-Leser Dekre für den Link)

DSGVO in Vereinen und kleinen Unternehmen

Das Bayrisches Landesamt für Datenschutzaufsicht hat auf dieser Webseite eine sehr hilfreiche Übersicht der wesentlichen Anforderungen der DSGVO für kleine Unternehmen und Vereine exemplarisch zusammengestellt. Diese Übersicht enthält auch Checklisten für Arztpraxen, Bäckereien, Handwerksbetriebe, KFZ-Werkstätten, Einzelhändler, Online-Shops, Steuerberater, Wohnungseigentümergemeinschaften und Beherbergungsbetriebe.

DSGVO für Blogs und Webseitenbetreiber

Auch wer eine Webseite betreibt, muss sich auf die DSGVO einstellen. Der Webhoster 1&1 hat hier einen Beitrag zum Thema veröffentlicht. Für Blogger ergeben sich eine Reihe von Baustellen, mit denen ich mich ebenfalls herum schlage.

Allen verlinkten Beiträgen ist gemeinsam, dass diese in den letzten Monaten mehrfach überarbeitet und korrigiert wurden – was die Unsicherheit bezüglich des Themas aufzeigt.


Anzeige

Abschließende Bemerkungen

So sinnvoll Datenschutz ist, haben Brüssel und die Juristen ein Monster geschaffen, was kleine Betriebe und internationale Konzerne über einen Kamm schert. Insbesondere mit der Betrachtung der IP als persönliches Datum haben die Juristen uns ein Ei ins Netz gelegt, welches einen irren Aufwand verursacht. Ich wüsste beispielsweise nicht, wie ich eine dynamisch vom Provider vergebene IP-Adresse auf deren Nutzer zurück führen könnte.

Trotzdem müssen irre Klimmzüge gemacht werden, um die gespeicherte der IP-Adressen in Log-Dateien, bei Auftragsverarbeitern etc. abzusichern, zu löschen oder zu anonymisieren. Wie es ausschaut, dürfte die DSGVO ein gefundenes Fressen für Juristen werden, was aber den Datenschutz des Einzelnen keinen Deut weiter bringt. Well done.

Haftungsausschluss: Die Informationen in diesem Artikel sind allein als unverbindliche Hinweise zu verstehen. Für die inhaltliche Richtigkeit und Verbindlichkeit der hier gemachten Angaben übernehme ich keine Gewähr.

Ergänzungen: Der deutsche Gesetzgeber hat geschlampt

Es sind zwei Fundsplitter, die einem die Zornesadern anschwellen lassen. In diesem Artikel beleuchtet jemand die DGSVO aus Sicht eines Fotografen, der Personen – auch in Menschenmengen – fotografiert. Ohne Einwilligung der Personen liegt ein Verstoß gegen die DGSVO vor, was Abmahnungen Tür und Tor öffnet. Dabei hätte der deutsche Gesetzgeber das leicht entschärfen können, indem im Gesetz zur Umsetzung der DGSVO einen entsprechenden Passus verankert hätte. Schweden hat dies mit folgendem Passus geregelt:

„Die DSGVO sowie weitere Datenschutzgesetze finden in dem Umfang, wie sie gegen Presse- oder Meinungsfreiheit streiten, keine Anwendung."

Und in Österreich hat man der rechtlichen Seite (z.B. in Bezug auf Abmahnungen) ebenfalls die Brisanz genommen – wenn man auch den Nutzen der DSGVO konterkariert hat. Die Redaktion von heise.de hat den Artikel Keine Strafen: Österreich zieht neuem Datenschutz die Zähne zum Thema veröffentlicht.

Ergänzung: Im Jura-Forum finden sich Hinweise zur Panoramafreiheit.

Ähnliche Artikel:
Unternehmensdatenschutz 2018
Microsoft Trust Center: Infos zur Datenschutz Grundverordnung
EU-Datenschutz-Grundverordnung: 4 häufige Missverständnisse unter Cloudnutzern
Microsoft und die DSGVO: Kinderkonten und Cortana

 


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Allgemein abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

14 Antworten zu Hinweise zur Datenschutz-Grundverordnung (DSGVO)

  1. Eina sagt:

    Hallo Herr Born,

    Sie schrieben:
    "Trotzdem müssen irre Klimmzüge gemacht werden, um die gespeicherte der IP-Adressen in Log-Dateien, bei Auftragsverarbeitern etc. abzusichern, […]."

    Hier versagt meine Phantasie. :)
    Vielleicht meinten Sie "um die in Log-Dateien gespeicherten IP-Adressen"?
    Der Sinn erschlösse sich mir dennoch nicht ganz; was bedeutet "abzusichern", wenn die Speicherung nicht erlaubt ist?
    Danke, daß sie meinen Kommentar zu Ihrer vortrefflichen Stilblüte veröffentlicht haben; ob Sie diesen veröffentlichen überlasse ich gern Ihnen.
    Weiterhin Alles Gute!

    • Günter Born sagt:

      Das ist so gemeint, dass ich die Kommentar-IP beim Speichern oder nachträglich anonymisiere.

      Die Folgen der DSGVO sind hier im Blog übrigens schon zu erkennen. Neuerdings sind AVATARE und Smileys deaktiviert und man muss beim Absenden der Kommentare ein Kontrollkästchen mit der Zustimmung explizit markieren.

  2. Guten Morgen,

    die Aussage, dass Betriebe mit weniger als 250 Mitarbeiter keiner Pflicht zur Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten unterliegen, ist schlichtweg Falsch, bzw. würde ich mich auf Grund der rechtlichen Grauzone nicht darauf verlassen, keines erstellen zu müssen!

    Siehe folgenden Absatz unter:
    https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Dokumentationspflicht.html

    "Wen trifft die Pflicht zur Führung dieser Verzeichnisse?

    Die Pflicht zur Führung des Verarbeitungsverzeichnisses gilt für Unternehmen mit weniger als 250 Mitarbeitern – nur – dann nicht, wenn

    – die Datenverarbeitung kein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt,
    – die Verarbeitung nur gelegentlich erfolgt und
    – die Verarbeitung keine sensiblen Daten bzw. keine Daten über strafrechtliche Verurteilungen beinhaltet."

    mlg
    Bernhard Kanduth

  3. Frank B. sagt:

    Frage an die Experten hier:

    Hat die DSGVO irgend einen Einfluss auf Spam (unsolicited emails)?

  4. Dekre sagt:

    @Günter – Du hast vorbildlich gehandelt. Ich möchte nicht in Deiner Haut stecken. Wie viele Blogger werden wohl aufgeben?
    Anmerkung: Das Sternchen mit "?", da kommt bestimmt noch ein Text.

    Grüße

  5. Gaga sagt:

    Angenommen ich betreibe eine kleine Webseite auf Basis eines komplett unabhängigen CMS (keine Google Tools, kein Tracking, nix dergleichen – das CMS ist "sauber"!). Das CMS arbeitet File basierend und speichert nicht in eine Datenbank. Auf der Webseite befindet sich ein Blog und dort die Möglichkeit Beiträge zu kommentieren. Kommentare werden in eine File gespeichert, allerdings ohne IP aber mit E-Mail Adresse.
    Was genau ist nun erforderlich damit die Seite mit der DSGVO konform geht? Habe mir diverse Links, die Sie dankenswerter Weise zusammengetragen haben, durchgelesen. Aber ich verstehe teilweise nur Bahnhof!
    Wie soll ich eine E-Mail Adresse anonymisieren? Dann kann ich mir die Erhebung im Kommentarbereich doch gleich schenken. Und was muss ich genau sichern bzw. aufheben, wenn alles weg anonymisiert ist und ohnehin nur noch Text ohne Bezug zu irgendwem übrig bleibt???
    Und welche Daten (z.B. IP Adressen) erhebt mein Server? Woher soll ich das wissen? Ich verwende z.B. als Webserver eine große NAS mit eingebautem Apache + PHP. Da komme ich als Otto Normalverbraucher ja überhaupt nicht dran! Halleluja!

    • Dekre sagt:

      tja, das ist das Problem.
      Vielleicht hilft Dir der Link zum DAV (Deutscher Anwaltsverein). Da gibt es eine Pdf-Datei mit Erläuterungen für die Web-Seitengestaltung und was man einhalten sollte. bei den Anwälten arbeiten ja auch einige in Kleinstkanzleien etc. Ich finde das Angebot des DAV vorbildlich um Hilfe zu geben. Da können sich die ganzen anderen staatlichen und halbstaatlichen Einrichtungen und die anderen Berufsverbände eine Scheibe anschneiden. Die haben alle versagt und bieten bla-bla-bla an. Ob nun welche nachgezogen haben, weiß ich nicht.

      • Gaga sagt:

        Danke für den Hinweis! Den Link zum DAV habe ich tatsächlich übersehen.
        Sehr hilfreich die Dokumente, die man sich auf der rechten Seite laden kann. Zusammen mit den Dokumenten des "Bayerisches Landesamt für Datenschutzaufsicht" sollte sich was brauchbares zusammenschustern lassen.

        Ist nicht ganz trivial und jede Menge Lesespaß für die nächsten Tage (oder Wochen?)…

        Besten Dank!

    • Günter Born sagt:

      Es ist eigentlich alles in den verlinkten Dokumenten beschrieben. Bei den Kommentaren muss eine Zustimmung des Kommentierenden eingeholt werden (mache ich hier im Blog mit einem Plugin).

      Es muss sichergestellt sein, dass Anfragende ggf. Auskunft erteilt werden kann, ob und welche Daten gespeichert sind. Es muss sichergestellt sein, dass die gespeicherten Daten auf Anfragende gelöscht werden können.

      Beim Apache-Webserver gehe ich davon aus, dass dieser Log-Dateien speichert. Hier muss man sich selbst schlau machen, wie auch in allen anderen Fällen auch.

      Das Beste wäre imho sich die Beschreibungen, die ich verlinkt habe, vorzunehmen und abzuhaken, was für einen zutrifft und was man wie handhabt.

      • Gaga sagt:

        Danke! Bin dabei… Man muss aber schon querdenken, um die weiträumig verfassten "Empfehlungen" auf das eigene Problem zu konkretisieren. Sag ja, Lesestoff für die nächsten Tage oder Wochen. Problem jetzt: Es ist schönes Wetter angesagt und das muss ausgenutzt werden!
        Das Plugin hier habe ich schon bemerkt. Ich muss mir das bei meinem CMS wohl selbst ins Formular basteln. Eine einfache Abfrage "Checkbox abgehakt sonst kein Absenden" sollte ja ausreichen.
        Und wie ich zwecks Logfiles an den NAS Apache Server komme erlese ich mir gerade. Scheint (auf den ersten Blick) nicht so kompliziert zu sein.

        Danke jedenfalls, dass Sie die DSGVO zum Thema gemacht haben. Das wäre glatt an mir vorbei gegangen…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.