Die DSGVO kommt. Wußten Sie es?

Das Gesetz, bzw. die Verordnung soll endlich den Umtrieben datensammelnder und -verkaufender Großkonzerne ein Ende bereiten und setzt EU-Recht in nationales Recht um. Das ist natürlich lobenswert, aber auch sehr kompliziert.

Da die EU es auf Großkonzerne abgesehen hat, sind die Strafen drastisch: Bis zu 4% des Jahresumsatzes, maximal aber 20 Millionen können bei Verstößen gefordert werden, dies setzt allerdings eine Menge an Unwillen und Dummheit auf allen Seiten voraus. Denn: wer sich anstrengt, bekommt deutlich mildere Strafen - so ist jedenfalls die Absicht.

25. Mai 2018

ist der Stichtag, an dem die DSGVO in Kraft tritt. Da das Gesetz brandneu ist, enthält es sicherlich viel Interpretationsspielraum. Fachleute (und auch ich) erwarten, daß skrupellose Abmahnanwälte und bösartige Konkurrenz dieses zu ihrem Vorteil ausnutzen und mit einer sagenhaften Abmahnwelle Kasse machen werden.

In den verbleibenden zwei Wochen sollten Sie sich also unbedingt mit dem zähen Thema beschäftigen. Man kann die Ausführung einem Rechtsanwalt überlassen, oder sich selber schlau machen.

Ihnen wird nichts geschenkt

Die Verordnung gilt komplett und ohne Einschränkung, sobald Sie "regelmäßig personenbezogene Daten verarbeiten". Jeder Besucher hier dürfte eine Faktura benutzen und dort Kundendaten speichern. Es gibt keine "Preisnachlässe" für Kleinunternehmer oder kleine Vereine.

Die wichtigsten Änderungen in der Kurzübersicht

Kunden erhalten umfangreiche Rechte, über die sie nachweislich aufgeklärt werden müssen - vor Vertragsabschluss. (Artikel 13 DSGVO) Diese Vorschrift enthält eine große Menge an Informationen, z.B. zu den Verarbeitungszwecken, den Empfängern, Kontaktdaten eines eventuellen Datenschutzbeauftragten (ab 10 datenverarbeitende Personen - der einzige "Rabatt" den Sie bekommen). Hinzu kommen Speicherfristen und die einzelnen Rechte der Betroffenen.

Diese wären neben dem Recht auf Information vor Vertragsabschluss: Recht auf Auskunft über die gespeicherten Daten (Art. 15), Recht auf Berichtigung falscher Danten (Art. 16), Recht auf Löschung von Daten (Artikel 17), Recht auf Einschränkung der Verarbeitung (Art. 19), das Widerspruchsrecht (Art. 21) und ein paar mehr.

Haben Sie mehrere Dinge mit den Daten vor (z.B. Versand eines Newsletters, Versand von Schriftstücken nichtwerbenden Charakters, Telefonwerbung) führen Sie am Besten alle hinter einer kleinen Checkbox auf und gestatten dem Kunden, jedem einzeln zu widersprechen.

Sie müssen Ihren Kunden die Ausübung ihrer Rechte erleichtern, z.B. durch ein Online-Formular. Anstatt die Daten der Kunden auf dieser Website online zu stellen habe ich mich dazu entschlossen, lediglich ein Formular bereitzustellen, welches dann per E-Mail an mich übertragen wird und meine Aktion auslöst.

Datensparsamkeit

Auf das Prinzip der Datensparsamkeit legt die DSGVO erheblichen Wert, vor allem im Umgang mit Auftragsverarbeitern (früher hießen wir Auftragsdatenverarbeiter) Soll ich eine Massen-Email für Sie versenden, brauche ich keine Postleitzahl, etc.

Notwendig ist aber ein Vertrag, in dem ich mich zur Einhaltung der DSGVO verpflichte, dies umfasst auch Leistungen meiner Subunternehmer. Mein Vertrag verfügt über 7 DIN A4-Seiten - auch dafür muss man sich Zeit nehmen. Im Netz finden Sie kostenlose Vorlagen, die allerdings gründlich angepasst werden müssen.

Verzeichnisse von Verarbeitungstätigkeiten

Artikel 30 DSGVO schreibt vor, daß ein Verzeichnis mit allen Tätigkeiten zu führen ist, in denen persönliche Daten verarbeitet werden. Absatz 5 dieses Artikels wird zunächst von der Befreiung kleiner Firmen mit weniger als 250 Mitarbeitern reden, diese Ausnahme aber sogleich einschränken: "...es sei denn ... die Verarbeitung erfolgt nicht nur gelegentlich", womit die meisten meiner Leser wieder im Boot sind.

Sicherheit der Verarbeitung

Endlich werden die Firmen zur Datensicherheit gezwungen: In Artikel 32, Absatz 1 steht langatmig: "Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten ..."

Im Prinzip bedeutet das nichts anderes, als daß Sie unter Strafandrohung zur Sauberhaltung Ihres Systems angehalten werden, und Daten nicht nur verschlüsseln und anonymisieren, nicht nur Backups erstellen, sondern dies alles auch regelmäßig überprüfen.

Fazit

Die DSGVO ist ein sperriger, aber längst fälliger Klotz geworden. Es gibt den Gesetzgebern endlich die Macht, datenverwertende Internetkonzerne endlich zur Räson zu bringen. In einer ersten Reaktion hat Facebook zum Beispiel alle persönlichen Daten seiner Mitglieder, die nicht in der EU wohnen, in die USA verfrachtet, wo Datenschutz bekanntermaßen nicht existiert.

Ich bin sehr gespannt auf die Welle von Abmahnungen, die auf die bedauernswerten Leute zukommt, die sich nicht darum scheren.