Erklärungen zur Datenschutzgrundverordnung der EU (DSGVO)

Erklärungen zur Datenschutzgrundverordnung der EU (DSGVO)

Sie ist in aller Munde, die neue Datenschutzgrundverordnung der Europäischen Union, welche ab dem 25.05.2018 aus einer Übergangsphase heraus gültig wird. Trotz der komplizierten Thematik, müssen Einschätzungen, Hilfestellungen und Maßnahmen vorgenommen werden, welche wir Ihnen hiermit in einem ersten Schritt auf den Weg geben möchten. Die folgenden Informationen stellen aber in keiner Weise eine Rechtsberatung dar. Die KONTENT GmbH kann und darf nach geltendem deutschen Gesetz keine rechtliche Beratung anbieten.

 

A. Verständnis

 

Als erstes sollten Sie versuchen ein eigenes Verständnis zur DSGVO zu entwickeln, um daraus den persönlichen Handlungsbedarf abzuleiten. Generell ist es so, dass (nach Meinung des Verfassers) private Datenhaltung zu persönlichen Zwecken von den Bestimmungen ausgenommen ist. (18) Wenn Sie also die KONTENT-Dienste (Mail, Webspace, etc.) rein privat nutzen, lehnen Sie sich zurück. Die DSGVO gilt aber für alle Aktivitäten des Gewerbes und der Institutionen, die in irgendeiner Art und Weise Daten verarbeiten, wobei es dort zu Unterscheidungen kommt: Ein Wirt, der außer den Kreditkartendaten seiner Gäste keinerlei Informationen sammelt, sollte kaum betroffen sein. Ein kostenloser Internetdienst, der mit der Speicherung und Verarbeitung persönlicher Daten der Nutzer sein Geld verdient, ist wohl aber am oberen Ende der Fahnenstange angesiedelt. Und genau hieraus ergibt sich die erste entscheidende Frage:

 

Bin ich wesentlich oder unwesentlich betroffen?

 

Ich habe versucht die Antworten auf diese Frage in Kategorien einzuteilen, und zwar nach Art und Umfang der bei KONTENT genutzten Produkte. Folgende Fallunterscheidungen sind dabei herausgekommen:

 

1. Ausschließlich private Nutzung (unwesentlich)

Betrifft sämtliche Produkte von KONTENT

Nach meiner Einschätzung fällt eine Verarbeitung von Daten, die zu rein privaten Zwecken erhoben werden, nicht unter die DSGVO. Ich meine also, dass hier keine Maßnahmen greifen und dass man hier sogar auf eine Datenschutzerklärung verzichten kann. Sollten Sie aber Drittanbieter (welche personenbezogene Daten erheben) in Ihre Website eingebunden haben (wie z.B. Google Analytics), so ist darauf ggf. beim Betreten Ihrer Seite mit einem Hinweisfenster hinzuweisen und eine Einwilligung vom Besucher einzuholen. (siehe B1)

2. Gewerbliche und Institutionelle Nutzung mit Datenspeicherung bei KONTENT (wesentlich)

Betrifft die Produkte Webspace, Onlyoffice und Mailspace

Hier ergeben sich eine Fülle an Maßnahmen, welche je nach Kategorisierung Ihres Unternehmens und der Unternehmensgröße erfüllt werden müssen. Ich habe versucht diese Einteilungen herauszustellen und dadurch Entscheidungshilfen bei den jeweiligen Maßnahmen zu geben.

 

B. Maßnahmen

1. Opt-In (62)

Hierbei handelt es sich um eine direkt einzublendende Einverständniserklärung der betroffenen Person, von welcher personenbezogene Daten erhoben werden sollen. Sie sind auch bekannt als "Cookie-Fenster" oder "Newsletter-Subscriber", und erscheinen zumeist als Overlays oder Pop-ups.

Bitte beachten Sie, dass ein Opt-In nur nötig ist, wenn "personenbezogene Daten" gespeichert werden. (4) Eine IP-Adresse eines Websitebesuchers gehört aus meiner Sicht nur dazu, wenn hierüber der Bezug zur realen Person hergestellt werden kann. Es betrifft also nur die Internet-Zugangsprovider, da diese die Daten der realen Person festhalten.

Wann und in welchem Maße Sie Opt-In's einbauen müssen, hängt von den bei Ihnen eingesetzten Technologien ab.

2. Datenschutzerklärung (13) (14)

Generell ergibt sich beim Erfassen von personenbezogenen Daten eine Informationspflicht des Datenerfassers gegenüber der betroffenen Person aus Art. 13 und 14 der DSGVO. Sollten Sie also personenbezogene Daten zu gewerblichen oder institutionellen Zwecken erheben, so empfehle ich das Anlegen einer Datenschutzerklärung. Hier gibt es eine Vielzahl an freien Hilfsprogrammen, wovon ich 2 getestet und für gut empfunden habe:

Datenschutzhinweisgenerator der Active Mind AG

Datenschutzerklärunggenerator

3. Datenschutzbeauftragter (37) (38)

Die Pflicht zur Bestellung eines Datenschutzbeauftragten ergibt sich aus § 37 der DSGVO und aus § 38 des deutschen BDSG. Erstere greift nur bei einer personenbezogenen Datenverarbeitung als Kerntätigkeit des Unternehmens. Letztere spricht von einer Mindestzahl von 10 Angestellten, die sich ständig mit der Verarbeitung personenbezogener Daten im Unternehmen beschäftigen. Über diese Voraussetzungen sollten Sie schnell zu einem Urteil darüber kommen, ob in Ihrem Fall ein Datenschutzbeauftragter zu benennen ist oder nicht.

4. Technisch organisatorische Maßnahmen (TOM) (32) (78)

Sollten Sie generell personenbezogene Daten erfassen, so ist ein Verantwortlicher zu bestellen. Dieser hat die Pflicht (nach § 32 DSGVO) sich geeigneter, technisch-organisatorischer Maßnahmen zu bedienen, um die Datenverarbeitung zu bewerkstelligen.

Ein Muster finden Sie im

Datenschutz-Wiki

Lagern Sie die Datenverarbeitung an einen externen Dienstleister (wie die KONTENT) aus, so sollte mit diesem eine Vereinbarung zur Auftragsdatenverarbeitung (ADV) getroffen werden.

5. Auftragsdatenverarbeitungsvereinbarung (ADV) (28) (62)

Eine Verpflichtung zum Abschluss von schriftlichen Aufträgen zur Datenverarbeitung ergibt sich bereits aus § 62 des deutschen BDSG. Durch die DSGVO wurde die Definition zur Erteilung eines Auftrags im § 28 weiter konkretisiert:

Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind.

Meiner Einschätzung nach kann man also einen Vertrag genauso wie AGB (zu einem bestehenden Vertrag) zur rechtlichen Regelung der ADV nutzen.

Die KONTENT beabsichtigt den Auftrag zur Datenverarbeitung über eine Neugestaltung der AGB abzuwickeln. Wir arbeiten derzeit daran und werden dieses Vertragswerk bis spätestens 18.05.2018 durch einen gesonderten Newsletter allen Kunden zur Bestätigung vorlegen.

Ob Sie selbst als Dienstleister oder Beauftragter mit Ihren eigenen Kunden eine ADV abschliessen sollten oder nicht, hängt von den von Ihnen angebotenen Leistungen ab und muss basierend darauf von Ihnen selbst entschieden werden.

Ein Muster dazu finden Sie im

Datenschutz-Wiki

6. Verarbeitungsverzeichnis (30)

Tiefgreifender Natur sind die Bestimmungen zur Führung eines Verarbeitungsverzeichnisses. Sollten Sie sich hierzu verpflichtet sehen, empfehlen wir Ihnen in jedem Fall einen Fachanwalt zu Rate zu ziehen. Ob Sie zur Führung eines Verarbeitungsverzeichnisses verpflichtet sind, ergibt sich aus dem § 30 DSGVO:

Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10

Da dieser Artikel relativ schwer im Detail zu interpretieren ist, empfehle ich Ihnen (solange Sie nicht mehr als 250 Mitarbeiter beschäftigen) tiefgreifende Rechtssprechungen abzuwarten. Generell teilt die DSGVO kleine Unternehmen wie folgt ein (Empfehlung 2003/361/EG):

Artikel 2 Mitarbeiterzahlen und finanzielle Schwellenwerte zur Definition der Unternehmensklassen

(1) Die Größenklasse der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (KMU) setzt sich aus Unternehmen zusammen, die weniger als 250 Personen beschäftigen und die entweder einen Jahresumsatz von hächstens 50 Mio. EUR erzielen oder deren Jahresbilanzsumme sich auf höchstens 43 Mio. EUR beläuft.

(2) Innerhalb der Kategorie der KMU wird ein kleines Unternehmen als ein Unternehmen definiert, das weniger als 50 Personen beschäftigt und dessen Jahresumsatz bzw. Jahresbilanz 10 Mio. EUR nicht Übersteigt.

(3) Innerhalb der Kategorie der KMU wird ein Kleinstunternehmen als ein Unternehmen definiert, das weniger als 10 Personen beschäftigt und dessen Jahresumsatz bzw. Jahresbilanz 2 Mio. EUR nicht Überschreitet.

 

C. Fazit

Ob und inwieweit die Maßnahmen der DSGVO auf die unterschiedlichen Unternehmenskategorien nach Größe anzuwenden sind, ist derzeit noch in vielen Fällen unklar. Sie sollten hier nur tätig werden, wenn Sie sich zu 100% sicher sind, dass es Ihr Unternehmen trifft.

Wir werden aber für alle wesentlich betroffenen Kunden am 18.05.2018 eine neue Datenschutzerklärung als "besondere Vertragsbedingungen zum Datenschutz" vorlegen. Jeder KONTENT-Kunde wird ab diesem Zeitpunkt durch Bestätigung dieser Vertragsbedingungen in eine rechtliche Beziehung zur Auftragsdatenverarbeitung mit uns treten können (s. B5). Sollte der Kunde Widerspruch gegen die geänderten Vertragsbedingungen binnen 4 Wochen einlegen, so sind wir berechtigt das bestehende Vertragsverhältnis zu kündigen. Erhebt der Kunde binnen 4 Wochen keinen Widerspruch gilt die AGB-Änderung als vollzogen und gültig. (s. § 1.4 unserer AGB ) Gleichzeitig werden wir unsere TOMs (s. B4) in diesem Zuge veröffentlichen.

Ich hoffe, dass ich mit diesen Hinweisen und Einschätzungen etwas Ruhe in die sehr Überhitzte Debatte zur DSGVO bringen konnte. Bei Fragen, wenden Sie sich bitte direkt an mich oder unseren Support unter This email address is being protected from spambots. You need JavaScript enabled to view it..

Uli Klinkhammer

(uk at kontent dot com)

 

Prev Kommentar zur DSGVO nach Inkrafttreten
2018-10-18 12:52
2018-10-10 07:23
2018-10-10 11:53