Die neue Datenschutz-Grundverordnung – DSGVO

DSGVO

Halleluja, es ist vollbracht, 2 volle Tage Frontalunterricht zur neuen Datenschutz-Grundverordnung – DSGVO, welche am 25.05.2018 in Kraft tritt.

Die Grundintention der EU war es hierbei eine einheitliche Datenschutzregelung für alle personenbezogenen Daten von natürlichen Personen auf EU-Ebene zu schaffen. An und für sich keine schlechte Idee in der Theorie, die Praxis  ist allerdings, wie so vieles von der EU, zur Vollkatastrophe mutiert und wir haben offen gesagt keine Ahnung, wie ein kleines oder mittelständiges Unternehmen dies alles stemmen soll, ohne bußgeldbewährte (bis zu 4% vom Gesamtkonzernumsatz!) Verstöße zu begehen. Wir sehen demnach keine andere Möglichkeit als Firmen, welche EU-weit agieren möchten, zu empfehlen eine multilinguale Anwaltskanzlei mit Fachexpertise im Datenschutz in Anspruch zu nehmen…

Hierzu ein Beispiel:

Eine Möglichkeit gem. Bundesdatenschutzgesetzes (BDSG) zur Erhebung und Verarbeitung personenbezogener Daten war es, eine Einwilligungserklärung des Betroffenen in der Schriftform (mit Originalunterschrift) einzuholen. Dies ist ab dem 25.05.2018 auch in der elektronischen Form möglich, also bitte sehr gut durchlesen, was man ab dem 25.05.2018 online genau bestätigt. Normalerweise würden wir dies als Erleichterung deklarieren, ist es jedoch nicht, da es in der DSGVO sog. Öffnungsklauseln gibt, welche den Nationalstaaten die Möglichkeit einräumen,  einige Bereiche wieder nach eigenen Vorstellungen zu gestalten. So darf die Einwilligungserklärung in Österreich bereits von einem 13-Jährigen abgegeben werden, in Deutschland ist dies jedoch erst ab 16 möglich.

Für den IT-Bereich bedeutet dies mind. 2 Datenbänke zu führen oder eine Datenbank mit länderspezifischen Variablen. Wie dies z.B. ein Kleinunternehmer mit Onlineshop regeln soll, bleibt uns ein Rätsel. Man könnte natürlich nun einfach im Zweifel das entsprechende Land  blockieren (Geoblocking), um der Gefahr aus dem Wege zu gehen, dies soll aber auch verboten werden, weil diskriminierend. – http://www.tagesschau.de/wirtschaft/geoblocking-eu-101.html

Sie denken nun, dass schaffe ich trotzdem? OK, erhöhen wir den Schwierigkeitsgrad!

Nebst den sog. Öffnungsklausen ist nämlich die eigentliche DSGVO als verbindliches Grundgerüst auch unterschiedlich, weil Übersetzungsfehler gemacht wurden. So wurde aus einem englischen MUSS z.B. ein KANN/SOLLTE im Deutschen. Da das Gesetz jedoch bereits veröffentlicht wurde, tritt es in genau dieser Form inkl. Übersetzungsfehler am 25.05.2018 in Kraft. Welche Version wird nun als verbindlich beachtet? – Die Antwort lautet: Man weiß es noch nicht und wartet auf entsprechende Rechtsurteile… – https://www.datenschutzbeauftragter-info.de/uebersetzungsfehler-in-der-dsgvo/

Warum eine Schulung in Anspruch genommen wurde?

Als Auftragsdatenverarbeiter, welcher auch teilweise von seinen Auftraggebern personenbezogene Daten erhält, bzw. einsehen kann (z.B. in einem Online-Shop), sind wir natürlich auch betroffen und wollen uns so gut es geht vorbereiten. Verträge über personenbezogene Auftragsdatenverarbeitungen sind ja bereits unseren Kunden gem. §11 BDSG bekannt.  Ab dem 25.05.2018 müssen diese Verträge entsprechend umformuliert werden, um dem Art. 28 Abs. 3 DSGVO zu entsprechen. Betrachtet man nun die entspechenden Muster der Datenschutzbehören wird klar, dass dies ein lustiges Abenteuer für alle werden wird… – https://www.lda.bayern.de/media/muster_adv.pdf

Ebenso können wir unseren Auftraggebern Impulse geben, wo wir mögliche Verstöße sehen, um diese durch einen Datenschutzbeaftragten prüfen zu lassen sowie Unterstützung leisten die technisch-organisatorischen Möglichkeiten umzusetzen, z.B. die Sicherheit im EDV-Bereich zu erhöhen (Etablierung einer SSL-Verschlüsselung etc.). Nehmen Sie hierzu bei Interesse jetzt Kontakt mit uns auf.

Anmerkung: Da wir als IT-Dienstleistungsunternehmen einen Interessenskonflikt bei der Analyse und Durchführung von Datenschutzmaßnahmen hätten, können wir NICHT als externer Datenschutzbeauftragter bestellt werden, sondern lediglich als Tipp- & Hinweisgeber ohne juristische Verbindlichkeit betrachtet werden. Zudem haben wir keine Vollmeise und würden uns dem Haftungsrisiko eines externen Datenschutzbeauftragtem niemals aussetzen wollen. 😉

Unser persönliches Fazit

Die Grundidee (Theorie) war sehr gut, die Ausführung (Praxis) aufgrund der Öffnungsklauseln & Übersetzungsfehlern ungenügend. Die DSGVO wird daher wahrscheinlich künftig mit gewaltigem Konflikt- & Spannungspotential einhergehend sein. Zudem ist die neue DSGVO auch weniger verbraucherfreundlich als das BDSG, denn ab dem 25.05.2018 können personenbezogene Daten für Direktwerbungszwecke als berechtigtes Interesse OHNE die Einwilligung der Betroffenen erhoben werden, so dass wir uns künftig auf individuelle, postalische Direktwerbung dank Big-Data-Datensätzen freuen dürfen.

Denn wie heißt es so schön: „Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“ – https://datenschutzbeauftragter-hamburg.de/2017/01/datenverarbeitung-zu-zwecken-der-werbung-nach-der-ds-gvo/

Vielen Dank für Ihre Aufmerksamkeit.

DSGVO