Die Datenschutz-Grundverordnung (DSGVO) – Was ist zu beachten

Die DSGVO gilt für alle Services die in der EU betrieben werden, aber auch wenn personenbezogene Daten von Europäern verarbeitet werden. Damit ist der Europäische Datenschutz beispielsweise auch in der Schweiz für viele Firmen, Vereine und Organisationen relevant, was uns als Deutsch-Schweizerische Firma auch ganz direkt betrifft.

Seit dem 25. Mai 2018 gilt es also ernst: Wir stellen fest, dass viele Anbieter erstaunlich schlecht vorbereitet sind. Denn die Verordnung ist schon vor zwei Jahren in Kraft getreten und wurde nur wegen der gewährten Übergangsfrist nicht durchgesetzt.

Was ist die Datenschutzgrundverordnung? Was regelt sie? Was sind die praktischen Konsequenzen?

Die Datenschutzgrundverordnung regelt den Umgang mit personenbezogenen Daten. Das sind im wesentlichen alle Daten in denen Namen vorkommen oder die für eine Identifikation tauglich sind, wie zum Besipiel persönliche E-Mail Adressen oder auch IP Adressen.

In Bezug auf Cookies ohne Verknüpfung mit Personen lässt die Verordnung noch Interpretationsspielraum offen. Vermutlich fallen diese nicht unter die DSGVO, sondern werden durch die ePrivacy Verordnung geregelt, welche Stand Frühling 2018 noch nicht in Kraft getreten ist. Andererseits wurde durch den Bundesdatenschutzrat in Deutschland bereits eine Empfehlung ausgesprochen, dass Cookie-Banners nötig sind.

Was muss ein Anbieter also machen, dass sein Webauftritt DSGVO-rechtskonform ist?

Checkliste der wichtigsten Datenschutz-Massnahmen:

1. Der Impressumspflicht nachkommen

2. Eine Datenschutzerklärung bereitstellen welche definiert welche personenbezogenen Daten zu welchem Zweck und wie lange verarbeitet werden

3. Je nach Firmengrösse muss ein Datenschutzbeauftragter beauftragt werden. Dieser darf nicht Mitglied der Geschäftsleitung sein.

4. Wenn personenbezogene Daten verarbeitet werden, ist immer eine explizite Einwilligung einzuholen.

5. Technische Prozesse müssen implementiert werden welche gewährleisten, dass die Einwilligung vorliegt. Zieht man die bisherige Rechtssprechung im Zusammenhang mit AGB's in Betracht, genügt ein Hinweis, dass mit dem Klick auf den 'senden' Button eines Formulars eingewilligt wird vermutlich nicht.

6. Auftragsverarbeitungsverträge mit IT-Dienstleistern, oder auch zwischen rechtlich unabhängigen Firmen in einer Konzernstruktur die Daten austauschen, sind notwendig

7. Schutzmassnahmen für sensible Daten sind vorzusehen. Beispielsweise soll der Datentransport von sensiblen Daten über ein Formular verschlüsselt werden.

8. Je nachdem wie viele Daten betroffen sind und wie sensibel sie sind, ist gem DSGVO eine Analyse des Schutzbedarfs nötig. Technisch/organisatorische Massnahmen zum Datenschutz sind vorzusehen und die Geschäftsprozesse müssen entsprechend ausgerichtet sein. Beispielsweise sieht die DSGVO differenzierte Zugriffsrechte auf personenbezogene Daten vor inkl. Protokollierung wer wann auf welche Daten zugreift und diese löscht oder verändert. Somit sind beispielsweise Excel Dateien für die Speicherung von pesonenbezogenen Daten ungeeignet.  

9. Reaktionszeit (Meldung) nach Datenleck: 72 Std.

10. Verwendete CMS Systeme müssen auf einem aktuellen Stand sein.

Daten die nicht gelöscht werden dürfen

Für personenbezogene Daten, welche beispielsweise aufgrund von Aufbewahrungspflichten gespeichert werden müssen, ist keine Einwilligung nötig. Allerdings dürfen die Daten auch nur für genau diesen Zweck verwendet werden. Und die Daten müssen gelöscht werden, wenn die Aufbewahrungspflicht entfällt.

Backups

Technisch macht es keinen Sinn, einzelne Daten aus Backups zu entfernen. Aber wenn Backups wieder eingespielt werden, dann steht der Erheber in der Pflicht, personenbezogene Daten die gelöscht werden müssen erneut löschen zu lassen. Wenn beispielsweise aufgrund einer Abmahnung gelöschte Daten nach dem Einspielen eines Backups plötzlich wieder vorhanden sind kann es teuer werden...

Das scheint auf den ersten Blick etwas Paradox: Wie können wir künftig wissen, welche personenbezogenen Daten wir löschen müssen, wenn wir diese Daten gar nicht mehr speichern dürfen? Oder anders ausgedrückt: Kann jemand seine Daten löschen lassen, und gleichzeitig verlangen, nie mehr über seine E-Mail Adresse kontaktiert zu werden?

In der Praxis lösen wir solche Fälle, indem wir die Daten mit einer Einwegverschlüsselung bzw. mit einer kryptographischen Hashfunktion abspeichern, so dass die E-Mail nicht mehr aus den gespeicherten Daten rekonstruiert werden kann. Durch den gespeicherten Hash-Wert kann aber imm er noch überprüft werden, ob eine E-Mail Adresse mit einer zu löschenden Adresse identisch ist.