Teil 4/7: Betroffenenrechte & weitere Pflichten der Verantwortlichen

Mit der DSGVO sollen die Rechte der Betroffenen gestärkt werden. Hier wird beispielhaft das Recht auf Vergessen werden genannt. Dieses Recht wurde durch die DSGVO eingeführt und umfasst den Anspruch auf Löschung der personenbezogenen Daten des Betroffenen sowie auch von eventuellen Querverweisen. Das setzt allerding voraus, dass die Daten für die Zwecke, für die eingesetzt worden sind nicht mehr notwendig; der Betroffene widerruft seine Einwilligung; der Betroffene legt Widerspruch gegen die Verarbeitung ein; die Daten wurden zu Unrecht verarbeitet; die Löschung der Daten unterliegt einer rechtlichen Verpflichtung oder es handelt sich um Daten von einer Person, die noch nicht volljährig ist.

Ebenfalls neu ist die Datenportabilität. So soll es bspw. möglich sein, seine Daten von einer Plattform in eine andere einzuspielen. Dies kommt vor, wenn Betroffene z.B. den Anbieter für Telekommunikation wechseln möchten.

Beim Auskunftsrecht kann der Betroffene von dem Verantwortlichen erfahren, ob von ihm personenbezogene Daten verarbeitet werden. Wenn das der Fall ist hat der Betroffene das Recht Auskunft über seine Daten, die Verarbeitungszwecke, die erfassten Datenkategorien, die möglichen Empfänger und die geplante Dauer der Speicherung der Daten. Des Weiteren hat er das Recht auf Berichtigung oder Löschung der Daten oder das Recht auf Einschränkung der Verarbeitung sowie das Widerspruchsrecht gegen die Verarbeitung. Es besteht außerdem das Recht einer Beschwerde bei einer Aufsichtsbehörde und alle Informationen über die Herkunft der Daten, wenn diese nicht beim Betroffenen selbst erhoben worden sind.

Die Betroffenen haben also eine Vielzahl an Rechten gegenüber datenverarbeitenden Unternehmen, die sie im Zweifel auch mit Hilfe der Aufsichtsbehörden oder Gerichten durchsetzen können. Die Rechte sind aber nicht grenzenlos. So können Rechte auf Auskunft, Widerspruch, Löschung, Vergessen werden, Datenübertragbarkeit, usw. unter bestimmten Voraussetzungen auch eingeschränkt werden. bei den Einschränkungen geht es um folgende Maßnahmen:

  • Die nationale Sicherheit
  • Die Landesverteidigung
  • Die öffentliche Sicherheit
  • Öffentliches Interesse
  • Wirtschaftliches und finanzielles Interesse
  • Unabhängigkeit der Justiz
  • Ausübung öffentlicher Gewalt
  • Zivilrechtliche Ansprüche
  • Schutz des Betroffenen
  • Rechte und Freiheiten andere Personen

Neben den Rechten der Betroffenen sind verschiedene Pflichten der für die Daten verantwortlichen Stellen ebenfalls in der DSGVO geregelt. Das sind Durchführungen von externen Audits, Bereitstellungen von Regelungen im Hinblick auf Datenschutz und IT-Sicherheit, Implementierung von Prozessen zur Sicherstellung der Compliance nach DSGVO, Dokumentation von Datenverarbeitungsprozessen, Risikoanalyse im Bezug auf die Folgen der Datenverarbeitung, Bereitstellung von geeigneten technischen und organisatorischen Maßnahmen, Durchführung von Datenschutzfolgenabschätzungen, Bereitstellung von Informationen (bspw. auf der Unternehmenswebseite), die Bestellung eines Datenschutzbeauftragten, Privacy by design sowie privacy by default.

Bei den letztgenannten Pflichten geht es um die datenschutzfreundliche Technikgestaltung sowie die datenschutzfreundliche Voreinstellung. So muss die verantwortliche Stelle sowohl zum Planungszeitpunkt, als auch bei der eigentlichen Verarbeitung geeignete ToM treffen, um die Datenschutzgrundsätze wirksam umzusetzen und die Rechte der betroffenen Personen zu schützen. Dabei spielen neben dem Stand der Technik, auch die Implementierungskosten, Art, Umfang, Umstände und Zwecke der Verarbeitung eine Rolle. Mit Privacy by design ist die Pflicht zur Berücksichtigung von möglichst datenschutzfreundlichen Techniken schon bei der Entwicklung von neuen Produkten gemeint. Außerdem muss der Verantwortliche geeignete ToM treffen, die durch Voreinstellung sicherstellen, dass grundsätzlich nur die für den konkreten Verarbeitungszweck erforderlichen personenbezogenen Daten verarbeitet werden. Privacy by default bedeutet für die Praxis, dass immer die datenschutzfreundlichsten Voreinstellungen vorzunehmen sind. Wenn Nutzer also nicht aktiv etwas ändern, dürfen Ihnen keine Nachteile dadurch entstehen.

 

Über den Autor:
Faraz Afscharian ist IT-Berater bei der comdatis it-consulting in Ahaus-Alstätte. Er beschäftigt sich u.a. mit der Erstellung von Verfahrensdokumentationen gem. GoBD für IT-gestützte Geschäftsprozesse zur digitalen Belegarchivierung und zum Dokumentenmanagement. Darüber hinaus ist er als Datenschutzberater und IT-Prüfer für Wirtschaftsprüfungsgesellschaften tätig. Er verfügt über eine Ausbildung zum Lead Auditor ISO/IEC 27001.

Teil 3/7: Datensicherheit

Grundsatz der Datensicherheit

Unter Berücksichtigung des Stands der Technik, der Kosten und Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Die hierzu von seitens der DSGVO geforderten Maßnahmen sind unter anderem Pseudonymisierung, Verschlüsslung, dauerhafte Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Datenverarbeitungssysteme und Dienste. Die zeitnahe Wiederherstellbarkeit, der Verfügbarkeit der personenbezogenen Daten und den Zugang zu den Daten nach einem physischen oder technischem Zwischenfall. Verfahren zur regelmäßigen Überprüfung, die Bewertung und Evaluierung der ToM’s. Für die Umsetzung der ToM’s kann man sich z.B. an den §9 BDSG (aktuelle Fassung Bundesdatenschutzgesetz), am IT-Grundschutzkatalog des BSI oder weiteren Sicherheitsstandards (z.B. ISO27001, ISIS12, VdS 3473) orientieren.

Es besteht eine Rechenschaftspflicht, d.h. dass die verantwortliche Stelle ist für die Einhaltung der genannten Grundsätze verantwortlich und muss diese nachweisen können.

 

Über den Autor:
Faraz Afscharian ist IT-Berater bei der comdatis it-consulting in Ahaus-Alstätte. Er beschäftigt sich u.a. mit der Erstellung von Verfahrensdokumentationen gem. GoBD für IT-gestützte Geschäftsprozesse zur digitalen Belegarchivierung und zum Dokumentenmanagement. Darüber hinaus ist er als Datenschutzberater und IT-Prüfer für Wirtschaftsprüfungsgesellschaften tätig. Er verfügt über eine Ausbildung zum Lead Auditor ISO/IEC 27001.

Teil 2/7: DSGVO – Grundsätze der Verarbeitung

Die Grundsätze der Datenschutzgrundverordnung sind in Kapitel 2 (Artikel 5 bis 11) beschrieben. Die folgenden Grundsätze sind dort beschrieben:

  • Grundsätze für die Verarbeitung personenbezogener Daten
  • Rechtmäßigkeit der Verarbeitung
  • Bedingungen für die Einwilligung
  • Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft
  • Verarbeitung besonderer Kategorien personenbezogener Daten
  • Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten
  • Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist

Einer der wichtigsten Grundsätze ist das Verbot mit Erlaubnisvorbehalt. Jede Verarbeitung personenbezogener Daten ist unzulässig, wenn keine Ausnahmeregelung vorliegt. Die Verarbeitung personenbezogener Daten darf nur dann erfolgen, wenn eine Einwilligung des Betroffenen vorliegt oder eine gesetzliche Ausnahmeregelung besteht. Die gesetzlichen Ausnahmeregelungen sind

  • Erfüllung vertraglicher Pflichten
  • Erfüllung rechtlicher Verpflichtungen
  • Schutz lebenswichtiger Interessen

Von besonderer Bedeutung ist auch Art. 5 DSGVO. Die Grundsätze für die Verarbeitung personenbezogener Daten.

Transparenzgrundsatz (Art. 5 Abs. 1 a DSGVO)

Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.

Grundsatz der Zweckbindung (Art. 5 Abs. 1 b DSGVO)

Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden. Einschränkungen bestehen hier für die bei der Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke.

Grundsatz der Datenminimierung (Art. 5 Abs. 1 c DSGVO)

Personenbezogene Daten müssen dem Zweck angemessen sein.

Grundsatz der Richtigkeit (Art. 5 Abs. 1 d DSGVO)

Personenbezogene Daten müssen sachlich und auf dem neusten Stand sein. Es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf den Zweck ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.

Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 e DSGVO)

Personenbezogene Daten müssen in einer Form gespeichert werden, welche die Identifizierung der betroffenen Personen nur so lange zulässt, wie es für den Zweck der Verarbeitung erforderlich ist. Eine längere Speicherung ist nur dann zulässig, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen (kurz: ToM), die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke verarbeitet werden.

Grundsatz der Integrität (Art. 5 Abs. 1 f DSGVO)

Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet. Das schließt den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder Schädigung durch geeignete technische und organisatorische Maßnahmen ein.

Über den Autor:
Faraz Afscharian ist IT-Berater bei der comdatis it-consulting in Ahaus-Alstätte. Er beschäftigt sich u.a. mit der Erstellung von Verfahrensdokumentationen gem. GoBD für IT-gestützte Geschäftsprozesse zur digitalen Belegarchivierung und zum Dokumentenmanagement. Darüber hinaus ist er als Datenschutzberater und IT-Prüfer für Wirtschaftsprüfungsgesellschaften tätig. Er verfügt über eine Ausbildung zum Lead Auditor ISO/IEC 27001.

 

Bock auf Digitalisierung, Datenschutz und Informationssicherheit?

Wenn ja, dann suchen wir dich als Berater/Beraterin in Vollzeit oder Teilzeit. Auch als freiberufliche Mitarbeit, Wiedereinsteiger, studentische Hilfskraft oder für Abschluss-/Projektarbeiten.

Was wir bieten? Selbständige Arbeitsorganisation, gute IT-Ausstattung und smarte Services, freie Arbeitszeitgestaltung, Home-Office

Was wir erwarten? DSGVO, BDSG, GoBD, Verfahrensdokumentation, ISO 27001, VdS 3473 – nicht alles sind Fremdworte für dich. Außerdem fällt es dir nicht schwer, diesen Text ins Englische zu übersetzen.

 Bewerbungen gerne per Mail an jobs@comdatis.it oder auch schriftlich.

#bockaufdatenschutz #bockaufdigitalisierung #bockaufinformationssicherheit #comdatis #ahaus #berater #job #digitalisierung #gobd #dsgvo #muensterland #verfahrensdokumentation #iso27001

Bildnachweis: Leigh Prather / fotolia.de

Datenschutz für KMU

Auch kleine Unternehmen fangen an, sich mit der Datenschutzgrundverordnung zu beschäftigen. Wir werden immer mal wieder gefragt, welche Informationen es hierzu gibt und vor allem, was zu tun ist.

Wir haben dies zum Anlass genommen, die aus unserer Sicht interessantesten Informationen zusammenzutragen und nachfolgend bereitzustellen:

Wer ist zur Ernennung eines Datenschutzbeauftragten verpflichtet? Link zur Datenschutzaufsicht NRW

Wer muss ein Verzeichnis von Verarbeitungstätigkeiten führen und was sind die Inhalte? Welche Erleichterungen gibt es hierbei für KMU? Link zum Kurzpapier beim LDI NRW

Sammlung aller Kurzpapiere der Datenschutzkonferenz (DSK) Link zum BayLDA

Wie könnte eine Prüfung der Umsetzung des Datenschutzes aussehen? Fragebogen BayLDA

Fragebogen der Datenschutzaufsicht Niedersachsen zur Umsetzung der DSGVO: Link zum Lfdi Niedersachsen

Wie kann ein KMU selber den Stand der Informationssicherheit bewerten? Link zum VdS-Quick-Check (Online-Fragebogen)

Checkliste mit einfachen Sicherheitsmaßnahmen für KMU: comdatis-Checkliste: Informationssicherheit für KMU

Wie kann ich ermitteln, ob meine Mailadresse einem Identitätsdiebstahl zum Opfer gefallen ist? Link zum „Identity Leal Checker“

 

Abschließend noch ein Hinweis in eigener Sache: Am 13. März 2018 wird es beim AIW in Stadtlohn eine Schulung zum Thema geben. Anmeldeinformationen hierzu finden Sie in Kürze auf der Homepage des AIW.

Teil 1/7: Grundsätzliches zur Datenschutz-Grundverordnung (DS-GVO)

EU-DSGVO (Datenschutzgrundverordnung) ist ein nicht sehr übersichtliches Gesetz:

· 99 Artikel

· 11 Kapitel

· 173 Erwägungsgründe (Erläuternde Hinweise zum eigentlichen Gesetzestext. – Bsp.: Der Schutz personenbezogener Daten ist als Grundrecht anzusehen. Des Weiteren gibt es in den Erwägungsgründen hinweise, wann und in welcher Form Bußgelder zu verhängen sind)

Doch was ist wichtig für die Unternehmer?

Um den beruflichen Alltag datenschutzkonform zu gestalten und die internen Arbeitsprozesse auf die DSGVO umzustellen, sollten Unternehmen sich primär die Bestimmungen der Kapitel 1 bis 5 widmen.

Doch es gilt zu beachten, dass die DSGVO alleine nicht weiterhilft. Es muss auch das nationale Datenschutzrecht hinzugezogen werden. Hier sind die nationalen Datenschutzbehörden aufgefordert Handlungs- und Orientierungshilfen zu erstellen und diese für alle kostenfrei bereitzustellen.

Die DSGVO gilt zwar unmittelbar in den EU-Ländern, jedoch sind sogenannte Öffnungsklauseln vorhanden, die den nationalen Gesetzgebern bestimmte Regelungskompetenzen zugestehen. Also ist das BDSG (Bundesdatenschutzgesetz) weiterhin notwendig, eine grundlegend novellierte Fassung mit Gültigkeit ab 25. Mai 2018 ist bereits verfügbar. Diese gilt als Ergänzung zur DSGVO und zwar dann, wenn es keine spezielleren gesetzlichen Regelungen gibt. Das TMG (Telemediengesetz) für den Onlinebereich (z.B. Unternehmen, die einen Internetauftritt betreiben) ist hier ebenfalls zu nennen.

Kommen wir zu den ersten Artikeln der DSGVO. In Art. 1 sind Gegenstand und Ziele benannt. In Absatz 1 ist geschrieben, dass der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr dienen. Die Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten. Um zu erfahren, für wen genau und wann die DSGVO gilt, sollte man sich Art. 2 der DSGVO Abs. 1 anschauen. Danach gilt die DSGVO für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Es geht also letzten Endes immer um die Verarbeitung personenbezogener Daten. In Absatz 2 sind die Ausnahmen von dem

Anwendungsbereich erläutert. Danach findet die DSGVO keine Anwendung auf die Verarbeitung personenbezogener Daten

· im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt

· durch die Mitgliedsstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich von „Titel V Kapitel 2 EUV“ fallen (Bsp. EU- Außen- und Sicherheitspolitik)

· durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten

· durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.

Kurz und knapp gesagt, gilt die DSGVO beim Umgang mit personenbezogenen Daten für alle unternehmerischen Tätigkeiten. Ausgenommen sind der private Bereich und einige bestimmte staatliche Tätigkeiten (Bsp. Strafverfolgung).

Das trifft dann auf alle zu, die in der EU niedergelassen sind, die betroffene Person in der EU niedergelassen ist oder der Ort der Datenverarbeitung aufgrund internationalen Rechts, dem Recht eines EU-Mitgliedsstaates unterliegt. Auch hier ist kurz und knapp zu sagen, das die DSGVO dann greift, wenn der Verantwortliche und/ oder der Betroffene in der EU ansässig sind. Oder wenn beide außerhalb der EU ansässig sind, aber die Verarbeitung der Daten in der EU stattfindet (z.B. Botschaften). Auch Unternehmen aus nicht EU-Staaten müssen die DSGVO beachten, sofern sie Waren oder Dienstleistungen EU-Bürgern anbieten.

 

Über den Autor:
Faraz Afscharian ist IT-Berater bei der comdatis it-consulting in Ahaus-Alstätte. Er beschäftigt sich u.a. mit der Erstellung von Verfahrensdokumentationen gem. GoBD für IT-gestützte Geschäftsprozesse zur digitalen Belegarchivierung und zum Dokumentenmanagement. Darüber hinaus ist er als Datenschutzberater und IT-Prüfer für Wirtschaftsprüfungsgesellschaften tätig. Er verfügt über eine Ausbildung zum Lead Auditor ISO/IEC 27001.

Webcast: GoBD & Verfahrensdokumentation

Aufzeichnung unseres Webcast vom 15. September 2017 mit der paperless solutions aus Köln zu den Themen GoBD und Verfahrensdokumentation für steuerrelevante Geschäftsprozesse sowie die digitale Belegarchivierung.