Basisschulung DSGVO

Die DSGVO ist eine Verordnung der EU und gilt in allen Mitgliedstaaten unmittelbar seit dem 25.05.2018. Zum Einen sollen die personenbezogenen Daten von Bürgern geschützt werden und zum Anderen soll der Verkehr der Daten innerhalb der EU vereinheitlicht und vereinfacht werden.

Aus der EU-DSGVO:

„Um ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und die Hemmnisse für den Verkehr personenbezogener Daten in der Union zu beseitigen, sollte das Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten gleichwertig sein.“

Es gilt das Marktortprinzip, d.h. es ist entscheidend, wer die Datensubjekte sind. An die DSGVO müssen sich alle Unternehmen halten, welche von Bürgern Daten erheben, die sich in der EU befinden. Der Sitz des Unternehmens ist also nicht relevant für den Geltungsbereich der DSGVO.

Ausschließlich persönliche Nutzung zu privaten Zwecken ist kein Gegenstand der Verordnung.

Beim Datenschutz geht es um den sorgfältigen und sicheren Umgang mit personenbezogenen Daten. Es geht also hauptsächlich um Daten, die zu Personen gehören. Datenschutz kann aber auch sensible unternehmensinterne Daten umfassen, dies ist aber nicht Fokus dieser Schulung.

Die Verarbeitung von personenbezogenen Daten mit Hilfe von automatisierten elektronischen Systemen stellt ein besonderes Gefährdungspotential für die betroffene Person dar. Dort ist also Datenschutz besonders wichtig und angebracht, die gesetzlichen Regelungen der DSGVO und BDSG (neu) greifen hier ein.

Im weiteren Verlauf ist mit Datenschutz immer der Schutz von personenbezogenen Daten gemeint. Daten von juristischen Personen (z.B. Firmenname) sind explizit nicht durch die DSGVO geschützt.

Definition

Aus der EU-DSGVO:

“„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;”

Das bedeutet, es geht immer um die Person selbst. Personenbezogene Daten sind nach dieser Definition also auch Daten, die einen Menschen identifizierbar machen. Also z.B. auch Profile, (statische) IP-Adressen, Kundennummer.

Beispiele für personenbezogene Daten:

• Name einer Person
• Name eines Unternehmens (wenn Personen-Firma)
• Geburtsort und Geburtsdatum
• Wohnanschrift
• Sozialversicherungsnummer
• Gewerkschaftszugehörigkeit
• Religionsbekenntnis
• Fingerabdruck
• Geburtsdatum
• E-Mailadresse
• Telefonnummer
• Bankdaten
• Fotografien
• Werturteile

Besondere Kategorien personenbezogener Daten

Es gibt lt. Gesetz Kategorien von Daten, welche besonderer Vorsichtsmaßnahmen bedürfen. Sie können nicht ohne weiteres verarbeitet werden und müssen mit besonderen technischen und organisatorischen Maßnahmen geschützt werden.

Diese sind:

• Rassische und ethnische Herkunft
• Politische Meinungen
• Religiöse oder weltanschauliche Überzeugungen
• Gewerkschaftszugehörigkeit
• Genetische Daten
• Biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person
• Gesundheitsdaten
• Daten zum Sexualleben oder der sexuellen Orientierung

Die betroffene Person

Dies umfasst alle natürlichen Personen, deren personenbezogene Daten erhoben bzw. im weiteren Sinne verarbeitet werden. Es handelt sich also immer um Menschen.

Verantwortlicher

Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Auftragsverarbeiter

Alle Stellen, die im Auftrag des Verantwortlichen personenbezogene Daten verarbeiten. Z.B. Hosting Dienstleister, Buchhalter.

Empfänger

Natürliche oder juristische Personen, die Daten übermittelt bekommen. Diese können intern oder extern sein. Z.B. Marketingabteilung, Inkassobüro.

Datenschutzaufsicht bzw. -behörden

Unabhängige Stelle, die die Einhaltung der Regelungen nach DSGVO unabhängig überwacht. In Deutschland sind dies die Bundesbehörde und die einzelnen Landesdatenschutzbeauftragten.

Der Verantwortliche ist zur Einhaltung dieser Grundsätze verpflichtet und muss sie im Zweifel nachweisen können.

Rechtmäßigkeit

Es gibt ein Verarbeitungsverbot mit Erlaubnisvorbehalt. D.h. die Verarbeitung muss immer rechtlich legitimiert werden. Dies kann z.B. durch ein Gesetz geschehen oder auf Grund von sog. berechtigten Interessen des Verantwortlichen.

Nach Treu und Glauben

Redlicher und anständiger Umgang mit den Daten des Betroffenen.

Transparenz

Die betroffene Person wurde umfassend und transparent aufgeklärt und kann Einblick in den Prozess nehmen.

Richtigkeit

Die Daten müssen sachlich richtig und aktuell sein. Falsche Daten müssen berichtigt oder gelöscht werden.

Zweckbindung

Personenbezogene Daten müssen für einen bestimmten Zweck und nicht willkürlich erhoben werden. Die Zwecke müssen vor der Erhebung klar sein und dürfen nachträglich nur mit Zustimmung des Betroffenen geändert werden.

Datenminimierung

Es sollen nur so viele Daten erhoben werden, wie für den Zweck erforderlich und angemessen. Wenn die personenbezogenen Daten nicht mehr benötigt werden, sollten diese auch gelöscht werden.

Speicherbegrenzung

Personenbezogene Daten sind nur so lange aufzubewahren wie durch den Zweck oder eine rechtliche Verpflichtung erforderlich. Ist der Zweck erfüllt oder die Mindestaufbewahrungspflicht überschritten, so sind die Daten zu löschen oder zu anonymisieren.

Integrität, Vertraulichkeit und Sicherheit

Die Sicherheit, Vertraulichkeit und Integrität der personenbezogenen Daten ist vom Verantwortlichen durch geeignete technische und organisatorische Maßnahmen sicher zu stellen. Die Daten sollen also z.B. vor Verlust, Fälschung, Offenlegung oder unrechtmäßiger Änderung geschützt werden.

Datenschutz durch Technikgestaltung (Data Protection by Design)

Durch geeignete technische und organisatorische Maßnahmen wird sichergestellt, dass der Verantwortliche den Anforderungen der DSGVO gerecht wird und er die Rechte der betroffenen Person schützt.

Datenschutz durch datenschutzfreundliche Voreinstellungen (Data Protection by Default)

Voreinstellungen bei Hard- und Software sollten so gesetzt werden, dass sie möglichst datenschutzfreundlich, also z.B. sparsam sind.

Recht auf Information / Auskunft

Werden personenbezogene Daten erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:

• den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
• gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
• die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
• gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
• gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln

Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

• die Verarbeitungszwecke;
• die Kategorien personenbezogener Daten, die verarbeitet werden;
• die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden
• falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
• das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
• das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
• wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
• das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling

Recht auf Berichtigung

Die betroffene Person kann jederzeit verlangen, dass falsche, veraltete oder unvollständige Informationen über sie berichtigt werden.

Recht auf Löschung („Recht auf Vergessenwerden“)

Wenn eine betroffene Person seine Zustimmung zur Verarbeitung seiner Daten widerruft oder die Zweckbestimmung seiner Daten nicht mehr vorliegt, sind diese zu löschen, insofern keine gesetzlichen oder vertraglichen Verpflichtungen entgegenstehen.

Recht auf Einschränkung der Verarbeitung

Die betroffene Person kann die Verarbeitung seiner Daten jederzeit einschränken, insofern keine gesetzlichen oder vertraglichen Verpflichtungen entgegenstehen.

Recht auf Widerspruch

Die betroffene Person kann eine einmal gewährte Einwilligung jederzeit ohne Angabe von Gründen widerrufen.

Recht auf Datenübertragbarkeit

Der Betroffene hat das Recht einen maschinenlesbaren, übertragbaren Datensatz vom Verantwortlichen zu erhalten.

Recht auf Schadenersatz

Sollte ein Verstoß gegen die DSGVO vorliegen, so kann der Betroffene Schadenersatz geltend machen.

Eine Übermittlung in EU-Staaten ist grundsätzlich unkritisch. Sollten allerdings Daten ins nicht-EU Ausland übertragen werden, muss geprüft werden, ob das Schutzniveau dem in der EU entspricht. Sollte dies nicht gegeben sein, ist eine Übertragung zu unterlassen.

Drittstaaten sind z.B. die USA, China oder Japan.

Eine Übertragung kann trotzdem in folgenden Fällen erfolgen:

• Feststellung der Angemessenheit des Datenschutzniveaus im Drittstaat durch die Kommission z.B. Kanada, Schweiz, Neuseeland
• Vorliegen geeigneter Garantien, z.B. durch Verträge
• Der Betroffene hat ausdrücklich zugestimmt, dass eine Übertragung stattfindet und wurde informiert.

Der Datenschutzbeauftragte

Der DSB überwacht die Einhaltung des Datenschutzes im Unternehmen. Er steht dem Verantwortlichen beratend zur Seite und kann auch Sonderaufgaben, wie die Dokumentation von Datenschutzmaßnahmen oder die Kommunikation mit den Datenschutzbehörden übernehmen.

Er ist allerdings nicht für die Einhaltung des Datenschutzes verantwortlich, dies ist nach wie vor der Verantwortliche.

Dokumentation und DSGVO

Nach DSGVO gibt es umfangreiche Dokumentationspflichten, welche eingehalten werden müssen. Unter anderem muss ein Verzeichnis aller Verarbeitungen angelegt werden und die technischen und organisatorischen Maßnahmen erfasst werden.

Wenn etwas schief geht (Datenpannen)

Bei Datenpannen ist unverzüglich der Vorgesetzte zu informieren. Diese informiert dann die verantwortliche Stelle und ggf. den DSB.

Bestimmte Pannen müssen innerhalb von 72 Stunden gemeldet werden, weswegen eine unverzügliche Meldung an den Vorgesetzten notwendig ist.

Pannen können Hackerangriffe sein, ein versehentliches Löschen oder aber auch ein Veröffentlichen von Informationen sein.

Datenschutzgerechter Einsatz von Mobilgeräten

Private Mobilgeräte sind grundsätzlich nicht für betriebliche Zwecke einzusetzen. Moderne Mobilgeräte (vor allem Smartphones) greifen auf viele Daten auf dem Mobilgerät zu und stellen somit ein Datenschutzrisiko dar. Vor allem Dienste, die Daten in die USA übertragen, wie z.B. WhatsApp oder Googlemail sind im betrieblichen Kontext kritisch zu sehen.

Betriebseigene Mobilgeräte sollten auf Apps geprüft werden, welche Daten in unsichere Drittstaaten exportieren könnten.

Bußgelder und Strafen

Datenschutzverstöße sind keine Kavaliersdelikte. Für Unternehmen kann ein Datenschutzverstoß zu hohen Bußgeldern führen. Der gesetzliche Maximalrahmen sieht 20 Millionen Euro vor oder 2% des Jahresumsatzes. Der Imageschaden ist dabei noch gar nicht eingerechnet.

Für Angestellte können Datenschutzverstöße arbeitsrechtliche Folgen wie Abmahnungen oder fristlose Kündigungen bedeuten, je nach Schwere des Verstoßes.

Für Lieferanten oder Auftragsverarbeiter können Verstöße zu Schadenersatzforderungen oder zur Kündigung von Verträgen führen.

Passwortsicherheit

Sichere Passwörter und die Aufbewahrung dieser ist ein wichtiger Grundpfeiler der IT-Sicherheit. Viele Angreifer machen sich zu kurze oder zu einfache Passwörter zu nutze, um in IT-Systeme einzudringen.

Ein sicheres Passwort hat folgende Eigenschaften:

• Mindestlänge (z.B. 10 Zeichen)
• Komplexitätsanforderungen (z.B. Groß-/Kleinbuchstaben, Sonderzeichen und Zahlen)
• Regelmäßige Änderung von Passwörtern (z.B. alle 90 Tage)
• Geheimhaltung von Passwörtern (keine Aufbewahrung auf Post-Its)

Ein Passwortmanager ist außerdem zu empfehlen. Der Einsatz sollte allerdings mit der IT-Abteilung abgesprochen werden.

Systemsicherheit

Cyber Attacken sind ein großes Problem und können ernste Konsequenzen haben. Im Folgenden sollen einige kleine Maßnahmen aufgezeigt werden, die Ihnen helfen, sich und andere vor Attacken zu schützen.

Geben Sie nie Passwörter weiter, auch nicht, wenn sie ein Vorgesetzter auffordert. versuchen Sie eine solche Anfrage möglichst über einen weiteren Weg, z.B. Telefon zu verifizieren.

Zögern Sie Updates nicht heraus. Sollten Updates für Ihre Software verfügbar sein, installieren Sie diese auch, wenn Ihnen die IT-Abteilung die Freigabe gibt. Alte Software bietet ein großes Einfallstor für Angreifer!

Anhänge in E-Mails. Öffnen Sie niemals Anhänge von Absendern, die Sie nicht kennen oder von denen Sie keine Datei angefordert haben. Auch Dateiformate, die nicht PDFs sind grundsätzlich verdächtig.

Virenscanner. Installieren Sie Antivirus Software und halten Sie diese aktuell. Eine aktuelle Software erkennt Bedrohungen in der Regel schnell und sicher und hält Ihnen so Schädlinge vom Hals.

Sperren Sie Ihren Computer, wenn Sie den Platz verlassen. Ihr Computer kann von jedem bedient werden, wenn Sie ihn nicht sperren. Dies ist nicht nur aus Sicherheitsgründen relevant sondern auch aus datenschutzrechtlichen Erwägungen.