Hilfestellungen für kleine und mittlere Unternehmen

Konkrete Hilfestellung für kleine und mittlere Unternehmen hat jetzt das bayLDA veröffentlich. Die Informationen enthalten u.a. konkrete Beispiele für das Verzeichnis der Verarbeitungstätigkeiten.

Folgende Branchen sind enthalten:

  • Vereine
  • KFZ-Werkstatt
  • Handwerksbetrieb
  • Arztpraxis
  • WEG-Verwaltung
  • Produktionsbetrieb
  • Genossenschaftsbank
  • Onlineshop
  • Bäckerei
  • Beherbunbsbetrieb

 

Werbung nach DSGVO!?

Da kommt tatsächlich so etwas wie Panik auf: Darf ich jetzt etwa keine Werbung mehr betreiben mit der DSGVO!?

Doch, natürlich darf das!

Wie verrückt wäre es auch, wenn Unternehmen keine Werbung mehr betreiben dürfen. Das würde dem wirtschaftlichen Gedanken und der Notwendigkeit mehr als widersprechen.

Trotzdem gibt es ein paar Regeln zu beachten, die wir hier einmal zusammenfassen:

  • Es fehlt eine klare Regelung für Werbung in der DSGVO. Daher gilt für die Zulässigkeit der Werbung entweder das Vorliegen einer Einwilligung oder eine Interessenabwägung. In die Bewertung der Interessenabwägung nehmen wir den Erwägungsgrund 47 (Satz 7) hinzu: „Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“ Dazu muss eigentlich nichts mehr gesagt werden, oder?
  • Grundsätzlich gilt für die Verarbeitung personenbezogener Daten auch der Grundsatz der Angemessenheit und der Datensparsamkeit (Art. 5 DSGVO)
  • Wichtig ist, dass eine Widerspruchsmöglichkeit (Art. 21 Abs. 2 bis 4 DSGVO), hierauf muss bei der ersten Kommunikation hingewiesen werden!
  • Das Gesetz gegen den unlauteren Wettbewerb (UWG) ist zu beachten. Hier regelt § 7 die „unzumutbaren Belästigen“. Werbung an Verbraucher per Mail, Telefon, Fax und SMS stets nur mit vorheriger ausdrücklicher Einwilligung! E-Mail-Wertung an Bestandskunden kann jedoch zulässig sein (§ 7 Abs. 3 UWG)
  • Informationspflichten gem. Art. 13 und 14 DSGVO sind zu beachten. Ergänzend zu den möglichen AGB muss es zukünftig eine Datenschutzinformation geben. Fraglich ist derzeit noch, wie die Datenschutzinformationen auf maximal einfache Art und Weise bekannt gemacht werden können.
  • Einwilligungen, die bereits nach Bundesdatenschutzgesetz (BDSG) in der Vergangenheit gültig waren, bleiben gültig!
  • Bei Einwilligungen ist das Koppelungsverbot (z.B. fehlende Freiwilligkeit, d.h. Zwang zur Einwilligung) zu beachten.
  • Bei „kostenlosen“ Services, die mit der werblichen Nutzung von Daten „bezahlt“ werden, muss bei Vertragsabschluss klar dargestellt werden, dass dies die Gegenleistung des Nutzers ist.

Detailliertere Informationen befinden sich in der folgenden Information des baylda: https://www.lda.bayern.de/media/baylda_ds-gvo_12_advertising.pdf

Teil 7/7: DSGVO – Hilfsmittel zur Umsetzung

Welche Hilfsmittel gibt es, um in der noch verbleibenden Zeit die Anforderungen umzusetzen?

 

Wir haben hier einige interessante Links zur Verfügung gestellt:

 

Wenn Sie eine unabhängige Beratung zum Datenschutz nutzen möchten oder einen externen Datenschutzbeauftragten bestellen möchten, nehmen Sie gerne Kontakt mit uns auf: https://www.comdatis.de/kontakt

 

Interessiert Sie der Datenschutz so sehr, dass Sie beruflich auf diesem Gebiet tätig werden möchten? Dann werfen Sie doch mal einen Blick auf die folgende Seite:

Berater – Compliance, Datenschutz und Informationssicherheit

Über den Autor:
Faraz Afscharian ist IT-Berater bei der comdatis it-consulting in Ahaus-Alstätte. Er beschäftigt sich u.a. mit der Erstellung von Verfahrensdokumentationen gem. GoBD für IT-gestützte Geschäftsprozesse zur digitalen Belegarchivierung und zum Dokumentenmanagement. Darüber hinaus ist er als Datenschutzberater und IT-Prüfer für Wirtschaftsprüfungsgesellschaften tätig. Er verfügt über eine Ausbildung zum Lead Auditor ISO/IEC 27001.

Teil 6/7: DSGVO: Einwilligung

Wir haben schon viel über die Einwilligungserklärung geschrieben, doch was sind die Voraussetzungen einer Einwilligungserklärung? Denn nur auf Basis einer Einwilligungserklärung kann eine rechtmäßige Datenverarbeitung stattfinden. Der Text der Einwilligungserklärung muss einfach und verständlich sein. Aus der Einwilligung muss der Zweck der Verarbeitung hervorgehen. Der betroffene muss freiwillig die Einwilligung abgeben. Des Weiteren muss sichergestellt sein, dass der Betroffene jederzeit seine Einwilligung widerrufen kann. Eine konkrete Formvorschrift wird nicht genannt, jedoch muss die verantwortliche Stelle im Zweifel den Nachweis erbringen können, dass die betroffene Person in die Verarbeitung der personenbezogenen Daten eingewilligt hat.

Bereits nach derzeitigem Recht erteilte Einwilligungen bleiben i.d.R. weiterhin gültig.

 

Über den Autor:
Faraz Afscharian ist IT-Berater bei der comdatis it-consulting in Ahaus-Alstätte. Er beschäftigt sich u.a. mit der Erstellung von Verfahrensdokumentationen gem. GoBD für IT-gestützte Geschäftsprozesse zur digitalen Belegarchivierung und zum Dokumentenmanagement. Darüber hinaus ist er als Datenschutzberater und IT-Prüfer für Wirtschaftsprüfungsgesellschaften tätig. Er verfügt über eine Ausbildung zum Lead Auditor ISO/IEC 27001.

 

Teil 5/7: DSGVO: Was muss ein Unternehmen noch umsetzen

Datenverarbeitende Unternehmen müssen auf der Homepage, also öffentlich zugänglich, eine Datenschutzerklärung vorhalten. Das war im BDSG bereits geregelt und das hat sich auch mit der DSGVO nicht geändert. Folgende verpflichtende Informationen müssen in der Datenschutzerklärung einfließen:

  • Namen und Kontaktdaten der verantwortlichen Stelle sowie ggf. die der eines Vertreters
  • Die Kontaktdaten des bestellten Datenschutzbeauftragten
  • Die Zwecke für die die personenbezogenen Daten verarbeitet werden sollen
  • Die Rechtsgrundlage für die Datenverarbeitung
  • die berechtigen Interessen, auf die die Datenverarbeitung gestützt wird.
  • Falls vorhanden die Empfänger der personenbezogenen Daten
  • die Weitergabe an ein Drittland oder an eine internationale Organisation
  • Die Dauer der Speicherung
  • Der Nutzer muss darüber informiert werden, dass er ein Recht auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung sowie das Bestehen eines Widerspruchsrechts
  • Das Recht der Benutzer auf eine Datenübertragbarkeit
  • Die Möglichkeit die Einwilligung widerrufen zu können
  • Das Bestehen des Beschwerderechts bei einer Aufsichtsbehörde
  • Auf welche Grundlage die personenbezogenen Daten verarbeitet werden (gesetzlich, vertraglich, oder für einen Vertragsabschluss erforderlich ist)

Die Pflichtangaben müssen in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache erfolgen. Hier gilt der Grundsatz der Prägnanz, sodass ausschweifende Erläuterungen zu vermeiden sind. Bei Informationen an Kinder müssen diese auch in kindgerechter Sprache formuliert werden, unter Umständen muss eine bildliche Aufbereitung der Informationen erfolgen.

 

Über den Autor:
Faraz Afscharian ist IT-Berater bei der comdatis it-consulting in Ahaus-Alstätte. Er beschäftigt sich u.a. mit der Erstellung von Verfahrensdokumentationen gem. GoBD für IT-gestützte Geschäftsprozesse zur digitalen Belegarchivierung und zum Dokumentenmanagement. Darüber hinaus ist er als Datenschutzberater und IT-Prüfer für Wirtschaftsprüfungsgesellschaften tätig. Er verfügt über eine Ausbildung zum Lead Auditor ISO/IEC 27001.

Teil 4/7: Betroffenenrechte & weitere Pflichten der Verantwortlichen

Mit der DSGVO sollen die Rechte der Betroffenen gestärkt werden. Hier wird beispielhaft das Recht auf Vergessen werden genannt. Dieses Recht wurde durch die DSGVO eingeführt und umfasst den Anspruch auf Löschung der personenbezogenen Daten des Betroffenen sowie auch von eventuellen Querverweisen. Das setzt allerding voraus, dass die Daten für die Zwecke, für die eingesetzt worden sind nicht mehr notwendig; der Betroffene widerruft seine Einwilligung; der Betroffene legt Widerspruch gegen die Verarbeitung ein; die Daten wurden zu Unrecht verarbeitet; die Löschung der Daten unterliegt einer rechtlichen Verpflichtung oder es handelt sich um Daten von einer Person, die noch nicht volljährig ist.

Ebenfalls neu ist die Datenportabilität. So soll es bspw. möglich sein, seine Daten von einer Plattform in eine andere einzuspielen. Dies kommt vor, wenn Betroffene z.B. den Anbieter für Telekommunikation wechseln möchten.

Beim Auskunftsrecht kann der Betroffene von dem Verantwortlichen erfahren, ob von ihm personenbezogene Daten verarbeitet werden. Wenn das der Fall ist hat der Betroffene das Recht Auskunft über seine Daten, die Verarbeitungszwecke, die erfassten Datenkategorien, die möglichen Empfänger und die geplante Dauer der Speicherung der Daten. Des Weiteren hat er das Recht auf Berichtigung oder Löschung der Daten oder das Recht auf Einschränkung der Verarbeitung sowie das Widerspruchsrecht gegen die Verarbeitung. Es besteht außerdem das Recht einer Beschwerde bei einer Aufsichtsbehörde und alle Informationen über die Herkunft der Daten, wenn diese nicht beim Betroffenen selbst erhoben worden sind.

Die Betroffenen haben also eine Vielzahl an Rechten gegenüber datenverarbeitenden Unternehmen, die sie im Zweifel auch mit Hilfe der Aufsichtsbehörden oder Gerichten durchsetzen können. Die Rechte sind aber nicht grenzenlos. So können Rechte auf Auskunft, Widerspruch, Löschung, Vergessen werden, Datenübertragbarkeit, usw. unter bestimmten Voraussetzungen auch eingeschränkt werden. bei den Einschränkungen geht es um folgende Maßnahmen:

  • Die nationale Sicherheit
  • Die Landesverteidigung
  • Die öffentliche Sicherheit
  • Öffentliches Interesse
  • Wirtschaftliches und finanzielles Interesse
  • Unabhängigkeit der Justiz
  • Ausübung öffentlicher Gewalt
  • Zivilrechtliche Ansprüche
  • Schutz des Betroffenen
  • Rechte und Freiheiten andere Personen

Neben den Rechten der Betroffenen sind verschiedene Pflichten der für die Daten verantwortlichen Stellen ebenfalls in der DSGVO geregelt. Das sind Durchführungen von externen Audits, Bereitstellungen von Regelungen im Hinblick auf Datenschutz und IT-Sicherheit, Implementierung von Prozessen zur Sicherstellung der Compliance nach DSGVO, Dokumentation von Datenverarbeitungsprozessen, Risikoanalyse im Bezug auf die Folgen der Datenverarbeitung, Bereitstellung von geeigneten technischen und organisatorischen Maßnahmen, Durchführung von Datenschutzfolgenabschätzungen, Bereitstellung von Informationen (bspw. auf der Unternehmenswebseite), die Bestellung eines Datenschutzbeauftragten, Privacy by design sowie privacy by default.

Bei den letztgenannten Pflichten geht es um die datenschutzfreundliche Technikgestaltung sowie die datenschutzfreundliche Voreinstellung. So muss die verantwortliche Stelle sowohl zum Planungszeitpunkt, als auch bei der eigentlichen Verarbeitung geeignete ToM treffen, um die Datenschutzgrundsätze wirksam umzusetzen und die Rechte der betroffenen Personen zu schützen. Dabei spielen neben dem Stand der Technik, auch die Implementierungskosten, Art, Umfang, Umstände und Zwecke der Verarbeitung eine Rolle. Mit Privacy by design ist die Pflicht zur Berücksichtigung von möglichst datenschutzfreundlichen Techniken schon bei der Entwicklung von neuen Produkten gemeint. Außerdem muss der Verantwortliche geeignete ToM treffen, die durch Voreinstellung sicherstellen, dass grundsätzlich nur die für den konkreten Verarbeitungszweck erforderlichen personenbezogenen Daten verarbeitet werden. Privacy by default bedeutet für die Praxis, dass immer die datenschutzfreundlichsten Voreinstellungen vorzunehmen sind. Wenn Nutzer also nicht aktiv etwas ändern, dürfen Ihnen keine Nachteile dadurch entstehen.

 

Über den Autor:
Faraz Afscharian ist IT-Berater bei der comdatis it-consulting in Ahaus-Alstätte. Er beschäftigt sich u.a. mit der Erstellung von Verfahrensdokumentationen gem. GoBD für IT-gestützte Geschäftsprozesse zur digitalen Belegarchivierung und zum Dokumentenmanagement. Darüber hinaus ist er als Datenschutzberater und IT-Prüfer für Wirtschaftsprüfungsgesellschaften tätig. Er verfügt über eine Ausbildung zum Lead Auditor ISO/IEC 27001.

Teil 3/7: Datensicherheit

Grundsatz der Datensicherheit

Unter Berücksichtigung des Stands der Technik, der Kosten und Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Die hierzu von seitens der DSGVO geforderten Maßnahmen sind unter anderem Pseudonymisierung, Verschlüsslung, dauerhafte Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Datenverarbeitungssysteme und Dienste. Die zeitnahe Wiederherstellbarkeit, der Verfügbarkeit der personenbezogenen Daten und den Zugang zu den Daten nach einem physischen oder technischem Zwischenfall. Verfahren zur regelmäßigen Überprüfung, die Bewertung und Evaluierung der ToM’s. Für die Umsetzung der ToM’s kann man sich z.B. an den §9 BDSG (aktuelle Fassung Bundesdatenschutzgesetz), am IT-Grundschutzkatalog des BSI oder weiteren Sicherheitsstandards (z.B. ISO27001, ISIS12, VdS 3473) orientieren.

Es besteht eine Rechenschaftspflicht, d.h. dass die verantwortliche Stelle ist für die Einhaltung der genannten Grundsätze verantwortlich und muss diese nachweisen können.

 

Über den Autor:
Faraz Afscharian ist IT-Berater bei der comdatis it-consulting in Ahaus-Alstätte. Er beschäftigt sich u.a. mit der Erstellung von Verfahrensdokumentationen gem. GoBD für IT-gestützte Geschäftsprozesse zur digitalen Belegarchivierung und zum Dokumentenmanagement. Darüber hinaus ist er als Datenschutzberater und IT-Prüfer für Wirtschaftsprüfungsgesellschaften tätig. Er verfügt über eine Ausbildung zum Lead Auditor ISO/IEC 27001.

Teil 2/7: DSGVO – Grundsätze der Verarbeitung

Die Grundsätze der Datenschutzgrundverordnung sind in Kapitel 2 (Artikel 5 bis 11) beschrieben. Die folgenden Grundsätze sind dort beschrieben:

  • Grundsätze für die Verarbeitung personenbezogener Daten
  • Rechtmäßigkeit der Verarbeitung
  • Bedingungen für die Einwilligung
  • Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft
  • Verarbeitung besonderer Kategorien personenbezogener Daten
  • Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten
  • Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist

Einer der wichtigsten Grundsätze ist das Verbot mit Erlaubnisvorbehalt. Jede Verarbeitung personenbezogener Daten ist unzulässig, wenn keine Ausnahmeregelung vorliegt. Die Verarbeitung personenbezogener Daten darf nur dann erfolgen, wenn eine Einwilligung des Betroffenen vorliegt oder eine gesetzliche Ausnahmeregelung besteht. Die gesetzlichen Ausnahmeregelungen sind

  • Erfüllung vertraglicher Pflichten
  • Erfüllung rechtlicher Verpflichtungen
  • Schutz lebenswichtiger Interessen

Von besonderer Bedeutung ist auch Art. 5 DSGVO. Die Grundsätze für die Verarbeitung personenbezogener Daten.

Transparenzgrundsatz (Art. 5 Abs. 1 a DSGVO)

Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.

Grundsatz der Zweckbindung (Art. 5 Abs. 1 b DSGVO)

Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden. Einschränkungen bestehen hier für die bei der Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke.

Grundsatz der Datenminimierung (Art. 5 Abs. 1 c DSGVO)

Personenbezogene Daten müssen dem Zweck angemessen sein.

Grundsatz der Richtigkeit (Art. 5 Abs. 1 d DSGVO)

Personenbezogene Daten müssen sachlich und auf dem neusten Stand sein. Es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf den Zweck ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.

Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 e DSGVO)

Personenbezogene Daten müssen in einer Form gespeichert werden, welche die Identifizierung der betroffenen Personen nur so lange zulässt, wie es für den Zweck der Verarbeitung erforderlich ist. Eine längere Speicherung ist nur dann zulässig, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen (kurz: ToM), die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke verarbeitet werden.

Grundsatz der Integrität (Art. 5 Abs. 1 f DSGVO)

Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet. Das schließt den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder Schädigung durch geeignete technische und organisatorische Maßnahmen ein.

Über den Autor:
Faraz Afscharian ist IT-Berater bei der comdatis it-consulting in Ahaus-Alstätte. Er beschäftigt sich u.a. mit der Erstellung von Verfahrensdokumentationen gem. GoBD für IT-gestützte Geschäftsprozesse zur digitalen Belegarchivierung und zum Dokumentenmanagement. Darüber hinaus ist er als Datenschutzberater und IT-Prüfer für Wirtschaftsprüfungsgesellschaften tätig. Er verfügt über eine Ausbildung zum Lead Auditor ISO/IEC 27001.

 

Datenschutz für KMU

Auch kleine Unternehmen fangen an, sich mit der Datenschutzgrundverordnung zu beschäftigen. Wir werden immer mal wieder gefragt, welche Informationen es hierzu gibt und vor allem, was zu tun ist.

Wir haben dies zum Anlass genommen, die aus unserer Sicht interessantesten Informationen zusammenzutragen und nachfolgend bereitzustellen:

Wer ist zur Ernennung eines Datenschutzbeauftragten verpflichtet? Link zur Datenschutzaufsicht NRW

Wer muss ein Verzeichnis von Verarbeitungstätigkeiten führen und was sind die Inhalte? Welche Erleichterungen gibt es hierbei für KMU? Link zum Kurzpapier beim LDI NRW

Sammlung aller Kurzpapiere der Datenschutzkonferenz (DSK) Link zum BayLDA

Wie könnte eine Prüfung der Umsetzung des Datenschutzes aussehen? Fragebogen BayLDA

Fragebogen der Datenschutzaufsicht Niedersachsen zur Umsetzung der DSGVO: Link zum Lfdi Niedersachsen

Wie kann ein KMU selber den Stand der Informationssicherheit bewerten? Link zum VdS-Quick-Check (Online-Fragebogen)

Checkliste mit einfachen Sicherheitsmaßnahmen für KMU: comdatis-Checkliste: Informationssicherheit für KMU

Wie kann ich ermitteln, ob meine Mailadresse einem Identitätsdiebstahl zum Opfer gefallen ist? Link zum „Identity Leal Checker“

 

Abschließend noch ein Hinweis in eigener Sache: Am 13. März 2018 wird es beim AIW in Stadtlohn eine Schulung zum Thema geben. Anmeldeinformationen hierzu finden Sie in Kürze auf der Homepage des AIW.

Teil 1/7: Grundsätzliches zur Datenschutz-Grundverordnung (DS-GVO)

EU-DSGVO (Datenschutzgrundverordnung) ist ein nicht sehr übersichtliches Gesetz:

· 99 Artikel

· 11 Kapitel

· 173 Erwägungsgründe (Erläuternde Hinweise zum eigentlichen Gesetzestext. – Bsp.: Der Schutz personenbezogener Daten ist als Grundrecht anzusehen. Des Weiteren gibt es in den Erwägungsgründen hinweise, wann und in welcher Form Bußgelder zu verhängen sind)

Doch was ist wichtig für die Unternehmer?

Um den beruflichen Alltag datenschutzkonform zu gestalten und die internen Arbeitsprozesse auf die DSGVO umzustellen, sollten Unternehmen sich primär die Bestimmungen der Kapitel 1 bis 5 widmen.

Doch es gilt zu beachten, dass die DSGVO alleine nicht weiterhilft. Es muss auch das nationale Datenschutzrecht hinzugezogen werden. Hier sind die nationalen Datenschutzbehörden aufgefordert Handlungs- und Orientierungshilfen zu erstellen und diese für alle kostenfrei bereitzustellen.

Die DSGVO gilt zwar unmittelbar in den EU-Ländern, jedoch sind sogenannte Öffnungsklauseln vorhanden, die den nationalen Gesetzgebern bestimmte Regelungskompetenzen zugestehen. Also ist das BDSG (Bundesdatenschutzgesetz) weiterhin notwendig, eine grundlegend novellierte Fassung mit Gültigkeit ab 25. Mai 2018 ist bereits verfügbar. Diese gilt als Ergänzung zur DSGVO und zwar dann, wenn es keine spezielleren gesetzlichen Regelungen gibt. Das TMG (Telemediengesetz) für den Onlinebereich (z.B. Unternehmen, die einen Internetauftritt betreiben) ist hier ebenfalls zu nennen.

Kommen wir zu den ersten Artikeln der DSGVO. In Art. 1 sind Gegenstand und Ziele benannt. In Absatz 1 ist geschrieben, dass der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr dienen. Die Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten. Um zu erfahren, für wen genau und wann die DSGVO gilt, sollte man sich Art. 2 der DSGVO Abs. 1 anschauen. Danach gilt die DSGVO für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Es geht also letzten Endes immer um die Verarbeitung personenbezogener Daten. In Absatz 2 sind die Ausnahmen von dem

Anwendungsbereich erläutert. Danach findet die DSGVO keine Anwendung auf die Verarbeitung personenbezogener Daten

· im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt

· durch die Mitgliedsstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich von „Titel V Kapitel 2 EUV“ fallen (Bsp. EU- Außen- und Sicherheitspolitik)

· durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten

· durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.

Kurz und knapp gesagt, gilt die DSGVO beim Umgang mit personenbezogenen Daten für alle unternehmerischen Tätigkeiten. Ausgenommen sind der private Bereich und einige bestimmte staatliche Tätigkeiten (Bsp. Strafverfolgung).

Das trifft dann auf alle zu, die in der EU niedergelassen sind, die betroffene Person in der EU niedergelassen ist oder der Ort der Datenverarbeitung aufgrund internationalen Rechts, dem Recht eines EU-Mitgliedsstaates unterliegt. Auch hier ist kurz und knapp zu sagen, das die DSGVO dann greift, wenn der Verantwortliche und/ oder der Betroffene in der EU ansässig sind. Oder wenn beide außerhalb der EU ansässig sind, aber die Verarbeitung der Daten in der EU stattfindet (z.B. Botschaften). Auch Unternehmen aus nicht EU-Staaten müssen die DSGVO beachten, sofern sie Waren oder Dienstleistungen EU-Bürgern anbieten.

 

Über den Autor:
Faraz Afscharian ist IT-Berater bei der comdatis it-consulting in Ahaus-Alstätte. Er beschäftigt sich u.a. mit der Erstellung von Verfahrensdokumentationen gem. GoBD für IT-gestützte Geschäftsprozesse zur digitalen Belegarchivierung und zum Dokumentenmanagement. Darüber hinaus ist er als Datenschutzberater und IT-Prüfer für Wirtschaftsprüfungsgesellschaften tätig. Er verfügt über eine Ausbildung zum Lead Auditor ISO/IEC 27001.