Pünktlich vor Ablauf der Übergangsfrist und dem Inkrafttreten der EU-Datenschutzgrundverordnung (DSGVO) und des neuen Bundesdatenschutzgesetzes (BDSG) ist meine neue Datenschutzerklärung [1] online gegangen.
Phuu, das war doch wesentlich mehr Arbeit als ich ursprünglich angenommen habe. Monate, statt der angenommenen Tage. Die Datenschutzerklärung ist aber schließlich nur das vorläufige Ende eines Entwicklungsprozesses. Zum Glück habe ich rechtzeitig damit begonnen. Aber im Zuge meiner Auseinandersetzung mit dem neuen Recht sind immer mehr Details als Licht gekommen. Darauf hat mich auch meine Zertifizierung als Datenschutzbeauftragter nicht wirklich vorbereitet. Und auch die Beratung etlicher Kunden nicht. Der eigene Betrieb ist aber dann doch eine ganz neue Herausforderung. Man lernt die eigene Technik ganz neu kennen und bekommt ein viel tieferes Verständnis und Einblick in die eigene Verarbeitung personenbezogener Daten.
Es ist vollbracht
Aber nun ist es soweit. Die Verarbeitungsprozesse und interne Workflows wurden umgestellt, die Technik angepasst und verfeinert, zusätzliche Verträge abgeschlossen. Auch meine Allgemeinen Geschäftsbedingungen [2] musste ich leicht anpassen. Eigentlich nur die alten Verweise auf die Auftragsdatenverarbeitung samt zugehöriger Paragraphen gegen die neuen austauschen. Ich denke das gilt noch nicht einmal als Änderung. Das neue Datenschutzrecht kommt und ich bin bereit!
Wie geht das?
Aber wie geht das nun eigentlich? Ist nicht wirklich schwer. Zunächst sollte man sich der Zusammenhänge bewusst werden. Basis ist die neue EU-Verordnung 2016/679 [3], auch Datenschutz-Grundverordnung (DSGVO), englisch General Data Protection Regulation (GDPR). Diese gilt unmittelbar in der gesamten EU. Das Bundedatenschutzgesetz (BDSG-2018) [4] präzisiert die Regelungen allerdings stellenweise. Lesen muss man beide.
Für die Umsetzung sehr hilfreich ist das Datenschutz-Wiki [5] des Berufsverbandes der Datenschutzbeauftragten Deutschlands (BvD) e.V. Dort findet man sämtliche Gesetzestexte und Hinweise zur Umsetzung.
Das Standard-Datenschutzmodell (SDM) [6] des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein hilft sowohl bei der Umsetzung als auch bei der späteren Überprüfung. Das ist auch die Vorlage für eine Überprüfung durch Behörden. Wird aber erst ab etwa Seite 20 spannend, davor ist es recht allgemein gehalten. Eine neuere Version mit Erweiterung wurde zwar vor Inkrafttreten des neuen Rechts versprochen, bisher konnte ich aber nichts finden. Sollte man trotzdem durcharbeiten.
Auch der Baustein B1.5 des Bundesamts für Sicherheit in der Informationstechnik (BSI) [7] ist nützlich, aber recht umfangreich. Und man sollte aufpassen, dass man nicht vom Thema abkommt. Das BSI hat so viele nützliche Dokumente.
Für die Bewertung von US-amerikanischen Anbietern gibt es eine Liste der gemäß Privacy Shield zertifizierten Unternehmen [8]. Ist der eigene Anbieter dort nicht gelistet, verbietet sich jegliche Datenübertragung.
Umsetzung
Als erstes sollte man überprüfen ob man einen Datenschutzbeauftragten braucht. Es kann übrigens durchaus Sinn machen einen zu bestellen, obwohl man nicht muss. Anschließend benötigt man einige Dokumente für die Mitarbeiter. Und dann geht es an die Technik. Daten finden, Prozesse beschreiben, Passwörter setzen, Verträge anpassen, sowie einiges mehr. Und immer schön die Maßnahmen dokumentieren. Dafür empfehle ich ein eigenes Wiki, als Wissens- und Dokumentationsmanagementsystem. Ich verwende dafür DokuWiki [9], für umfangreiche Dokumentationen mit vielen Benutzern empfehle ich MediaWiki [10]. Es müssen einige Dokumente erweitert und ergänzt werden. Und zum Schluss dürfen sie so eine schicke Datenschutzerklärung schreiben wie ich. Na gut, so einfach ist es dann doch wieder nicht. Und würde auch den Rahmen eines Blog-Beitrags sprengen. Aber dafür gibt es spezialisierte Anbieter wie mich. Ich helfe Ihnen gerne bei der Umsetzung der notwendigen Maßnahmen.
Häufige Irrtümer
Die beiden am häufigsten zu findenden Irrtümer im Bereich Datenschutz lauten übrigens: “diese Homepage erhebt keine Personenbezogenen Daten” und “wir geben niemals personenbezogene Daten weiter”. Das Erste stimmt für KEINE Homepage und das zweite für fast KEIN einziges Unternehmen. Ist prinzipbedingt gar nicht möglich! Die Antwort eines Webservers wird ja schließlich irgendwie zum Web-Surfer geschickt. Und die Rechnungen, die man schreibt kann mindestens das Finanzamt einsehen wollen. Es ist also ziemlich schwer sich ein Beispiel auszudenken, in dem ein Unternehmen keine personenbezogenen Daten verarbeitet oder weiter gibt.
Ungeklärte Fragen
Einige, auf den ersten Blick unscheinbare, Fragen bleiben aber noch ungeklärt. Zum Beispiel wie sich Datenschutz im Zusammenhang mit dem Postversand realisieren lässt. Denn wenn ich der Post einen Brief übergebe, übergebe ich damit auch personenbezogene Daten. Das wäre eine Auftragsverarbeitung, für die ich eigentlich einen entsprechenden Vertrag mit der Post brauche. Aber von einem solchen habe ich noch nie gehört. Wäre auch wenig praktikabel für jede Sendung einen solchen abzuschließen. Als öffentliche Verarbeitungsstelle dürfte die Post ja auch nicht durchgehen. Es bleibt also noch einiges zu tun.
Mein Fazit
Man sollte das neue Datenschutzrecht nicht als lästige Pflicht begreifen, sondern als eine große Chance. Eine Chance den eigenen Betrieb besser zu verstehen, ihn schlanker, effizienter und produktiver zu gestalten, sowie unnötigen und kostenverursachenden Datenballast los zu werden. Und nicht zuletzt als Chance die Gesellschaft als ganze lebenswerter und freier zu gestalten.
[1] Datenschutzerklärung von Kasdorf-IT
[2] Allgemeine Geschäftsbedingungen von Kasdorf-IT
[3] EU-Verordnung 2016/679, oder auch EU-Datenschutzgrundverordnung (DSGVO).
[4] Bundesdatenschutzgesetz 2018 im Bundesanzeiger. Ist im Original richtig schwer zu finden.
[5] Datenschutz-Wiki des Berufsverbandes der Datenschutzbeauftragten Deutschlands (BvD) e.V.
[6] Das Standard-Datenschutzmodell (SDM) des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein.
[7] Baustein B1.5 Datenschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
[8] Liste der Privacy-Shield zertifizierten US-Unternehmen, aktuell insgesamt 2961.
[9] DokuWiki Anbieterseite
[10] MediaWiki Anbieterseite