{"id":1155,"date":"2018-05-24T09:43:47","date_gmt":"2018-05-24T07:43:47","guid":{"rendered":"https:\/\/blog.kolatzek.org\/wblog\/?p=1155"},"modified":"2018-05-24T09:43:47","modified_gmt":"2018-05-24T07:43:47","slug":"eu-datenschutzverordnung-am-horizont-eine-praxisanleitung","status":"publish","type":"post","link":"https:\/\/blog.kolatzek.org\/wblog\/1155\/eu-datenschutzverordnung-am-horizont-eine-praxisanleitung","title":{"rendered":"EU-Datenschutzverordnung am Horizont – Eine Praxisanleitung"},"content":{"rendered":"

Die Europ\u00e4ische Union mit ihrer Regulierungswut bescherte uns schon so einige \u00c4rgernisse. Die neueste Erfindung ist des Einen Freud und des Anderen Leid: die 99 Artikel \u00fcber den Schutz der Daten, die eine Person identifizieren. Sie entwickeln ihre Rechtskraft direkt in allen L\u00e4ndern der Union und k\u00f6nnen – wie so viele Gesetze – von findigen Anw\u00e4lten und unzufriedenen Kunden zu Zwecken der juristischen Kriegsf\u00fchrung (sprich: Abmahnung) verwendet werden. Der gute Gedanke des Schutzes der personenbezogenen Daten sollte urspr\u00fcnglich Facebook und andere gro\u00dfe Datenverarbeiter in die Schranken weisen. Leider traf man auch die Kleinen. Ja, sogar Vereine, Kirchen, Schulen und Privatpersonen unterliegen dem generellen Verbot mit Erlaubnisvorbehalt, sobald sie Namen, Adressen, Telefonnummern, IPs oder Fahrgestellnummern der Autos nicht aus privaten oder famili\u00e4ren Gr\u00fcnden auf einem Blatt Papier aufschreiben. Wie man Angesichts der vielen Vorschriften gesetzeskonform das t\u00e4gliche Gesch\u00e4ft erledigt bekommt, will dieser Beitrag zeigen.<\/p>\n

Wenn Sie noch nie mit Datenschutz zu tun hatten, brauchen Sie einige Grundlagen zu Prinzipien und ebenso den Wortschatz. Dies kann ich hier nicht zusammen fassen. Meine Empfehlung: schauen Sie bei der Aufsichtsbeh\u00f6rde Ihres Landes nach. Sie tragen verschiedene Namen, wie z.B.: das Unabh\u00e4ngige Datenschutzzentrum Saarland oder der Hamburgische Beauftragte f\u00fcr Datenschutz und Informationsfreiheit. Besonders im Saarland finden Sie viele hilfreiche Papiere<\/a>, Vortr\u00e4ge<\/a> und Vorlagen.<\/p>\n

Mit etwas Wissen \u00fcber den Datenschutz aus dem jetzigen – alten Bundesdatenschutzgesetz –\u00a0 besitzen Sie eine gute Grundlage.<\/p>\n

Das Verarbeitungsverzeichnis<\/h2>\n

Als Erstes ist das Fundament aller Verarbeitungst\u00e4tigkeiten in Augenschein zu nehmen. Man nennt es das Verarbeitungsverzeichnis<\/a>. Darin werden Prozesse erfasst, die die personenbezogenen Daten nutzen. Es gibt im Internet mehr oder weniger gelungene Formulare daf\u00fcr. Zur Sicherheit w\u00fcrde ich dennoch eine genaue Beschreibung der verlangten Informationen anschauen – z.B. hier ab Seite 9<\/a>. Dieses Formular f\u00fcllt jede Person im Unternehmen oder Verein f\u00fcr sich: pro Prozess einmal. Bearbeiten mehrere Personen an der gleichen Stelle im Prozess die gleichen Daten, k\u00f6nnen sie als Rolle den Vorgang zusammen erfassen oder gar vom Vorgesetzten „zentral“ eingetragen werden. Diese Aufgabe ist eine Pflicht der Gesch\u00e4ftsf\u00fchrung, nicht des Datenschutzbeauftragten, der nur als Unterst\u00fctzer fungiert. (Es macht Sinn, die Angestellten es selbst machen zu lassen, weil die Praxis oft anders aussieht als die Wunschvorstellung des Chefs es vermuten lie\u00dfe.) Wichtig ist, festzuhalten, wer, unter welchen Umst\u00e4nden, welche Datenkategorien (Adresse, Kontonummer, etc.), auf welcher Grundlage (Gesetz, Vertrag, Einwilligung… vgl. Artikel 6) nutzt und welchen Ursprung sie haben, denn Letztes die Auskunft \u00fcber den L\u00f6schzeitpunkt gibt.<\/p>\n

Dieses Verzeichnis ist f\u00fcr alle Unternehmen Pflicht, die mehr als 250 Mitarbeiter haben. Es sei denn (und hier liegt der Hund begraben) man verarbeitet sensible Daten (Gesundheit, Weltanschauung, Ethnie, strafrechtliche Verurteilung, etc.) oder die Verarbeitung nicht nur gelegentlich geschieht. In Firmen mit 3 Mitarbeitern, die nur an Weihnachten und Ostern E-Mails abrufen oder 4 mal im Jahr die Kunden Anschreiben (Rechnungen und Angebote inbegriffen) kann man sich das Verzeichnis ersparen. Alle anderen brauchen es.<\/p>\n

Werden sensible Daten angefasst, ist eine Folgeabsch\u00e4tzung <\/a>vorzunehmen. Ob eine solche anf\u00e4llt oder nicht, wird gem\u00e4\u00df Artikel 35,4+5 bald in einer Liste der Datenschutzbeauftragten nachzulesen sein (sowohl die Pflicht zur Durchf\u00fchrung als auch die Dispens von der Durchf\u00fchrung).<\/p>\n

Man k\u00f6nnte die Vorg\u00e4nge – \u00e4hnlich der Projektmanagement-Risikobewertung – einem Portfolio zuordnen, das so aussehen k\u00f6nnte.<\/p>\n

\"Darstellung<\/a>
Ein Portfolio mit zwei Achsen: das Risiko f\u00fcr die Person aufgrund der Nutzung dieser Daten und die „Verbreitung“ der Daten (die Zahl der Personen, die die Daten sehen d\u00fcrfen)<\/figcaption><\/figure>\n

Ist ein Vorgang im roten Bereich (z.B.: Gesundheitsdaten von Personen in einem \u00f6ffentlichen Aushang – also ganz rechts oben) m\u00fcssen Ma\u00dfnahmen ergriffen werden, um die Auswirkungen zu minimieren, indem man wenigstens an einer der Achsen in die N\u00e4he des gr\u00fcnen Bereiches r\u00fcckt. Bleibt man dennoch im roten Bereich, muss die Aufsichtsbeh\u00f6rde noch vor dem Beginn der Verarbeitung bzw. sofort konsultiert und die Datenverarbeitung unverz\u00fcglich gestoppt werden.<\/p>\n

Der Datenschutzbeauftragte<\/h2>\n

Eine Folgenabsch\u00e4tzung zu erstellen ist sicher kein „Kinderspiel“. Da braucht es das Wissen und die Erfahrung von der IT, dem Management (Vorstand des e.V., Gesch\u00e4ftsf\u00fchrers einer GmbH o.\u00c4.) und die eines Juristen. Da diese Drei selten zusammen kommen und im Diskurs eine Absch\u00e4tzung der Risiken vornehmen k\u00f6nnen (die Diskursethik von J\u00fcrgen Habermas versagt auch hier) kann man diese T\u00e4tigkeit auf ein Person abw\u00e4lzen, die diese drei Bereiche kennt und im Namen der Leitung (aber von der Weisung dieser unabh\u00e4ngig) \u00fcberall agieren kann. Diese Funktion nennt man den „Datenschutzbeauftragten“. Er berichtet direkt der Leitung und wird von dieser schriftlich bestellt. Er ist in einem Unternehmen unk\u00fcndbar – zugleich garantiert er gegen\u00fcber der Aufsichtsbeh\u00f6rde, dass er nach bestem Wissen und Gewissen das geltende Recht im Unternehmen\/Verein\/Stiftung zur Umsetzung bringt bzw. Verst\u00f6\u00dfe unverz\u00fcglich der Leitung anzeigt. (Tut er dies nicht, gelten die Bu\u00dfgeldvorschriften der DS-GVO f\u00fcr Ihn.) Diese Aufgabe kann nur derjenige \u00fcbernehmen, der \u00fcber entsprechendes Wissen verf\u00fcgt. Es ist verboten, der Leitung genehme aber sonst ungeeignete Personen zu berufen. Fehlt es an Wissen, muss die Leitung eine entsprechende Weiterbildung bezahlen oder wenigstens als Zeit f\u00fcr Selbststudium und ben\u00f6tigte Literatur zugestehen.<\/p>\n

Die DS-GVO spricht von „must-have“, wenn das Kerngesch\u00e4ft die Verarbeitung gro\u00dfer Datenmengen eine \u00dcberwachung zul\u00e4sst oder darauf abzielt. Auch die Verarbeitung der sensiblen Daten oder personenbezogener Daten \u00fcber Straftaten und Verurteilungen im gro\u00dfen Umfang stattfindet, ist ein Datenschutzbeauftragter ein Muss. Dieser muss nicht aus der Organisation selbst kommen, sondern kann auch ein externer sein (was aktuell schwierig sein d\u00fcrfte – es gibt kaum noch welche). An dieser Stelle darf das Landesgesetz das EU-Gesetz erweitern. Das neue Bundesdatenschutzgesetz sieht vor, dass ab einer Organisationsgr\u00f6\u00dfe von 10 Personen (die personenbezogene Daten „st\u00e4ndig“ und „automatisiert“ verarbeiten – was es auch hei\u00dfen man) dieser Garant einzusetzen ist. Des Weiteren bei Verarbeitung oder Auftragsverarbeitung von Daten aus einem Prozess, der der Folgenabsch\u00e4tzung unterliegt, oder gesch\u00e4ftsm\u00e4\u00dfig zum Zweck der \u00dcbermittlung, der anonymisierten \u00dcbermittlung oder f\u00fcr Zwecke der Markt- oder Meinungsforschung verarbeiten. Ignoriert man diese, k\u00f6nnten 10.000.000 \u20ac f\u00e4llig werden.<\/p>\n

Die Aufgaben eines Datenschutzbeauftragten sind: Schulung der Mitarbeiter und Beratung der Leitung, \u00dcberwachung der Gesetzkonformit\u00e4t und Zusammenarbeit mit der Aufsichtsbeh\u00f6rde. Seine Kontaktdaten (aber nicht unbedingt namentlich) sind auf der Transparenzerkl\u00e4rung (aka „Datenschutzerkl\u00e4rung“) als Anlaufstelle zu nennen und namentlich der Aufsichtsbeh\u00f6rde mitzuteilen. Er wird auch im Verarbeitungsverzeichnis auf dem Deckblatt genannt.<\/p>\n

Er muss die Folgenabsch\u00e4tzung nicht selber machen (bei vielen Details fehlt ihm sicher das Wissen) aber sie verantworten. Deshalb macht es Sinn, dass er auch die Datenschutz-Folgenabsch\u00e4tzung als Fachmann federf\u00fchrend erstellt.<\/p>\n

Die Datenschutz-Folgenabsch\u00e4tzung<\/h2>\n

 <\/p>\n","protected":false},"excerpt":{"rendered":"

Die Europ\u00e4ische Union mit ihrer Regulierungswut bescherte uns schon so einige \u00c4rgernisse. Die neueste Erfindung ist des Einen Freud und des Anderen Leid: die 99 Artikel \u00fcber den Schutz der Daten, die eine Person identifizieren. Sie entwickeln ihre Rechtskraft direkt in allen L\u00e4ndern der Union und k\u00f6nnen – wie so viele Gesetze – von findigen […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_sitemap_exclude":false,"_sitemap_priority":"","_sitemap_frequency":"","ocean_post_layout":"","ocean_both_sidebars_style":"","ocean_both_sidebars_content_width":0,"ocean_both_sidebars_sidebars_width":0,"ocean_sidebar":"","ocean_second_sidebar":"","ocean_disable_margins":"enable","ocean_add_body_class":"","ocean_shortcode_before_top_bar":"","ocean_shortcode_after_top_bar":"","ocean_shortcode_before_header":"","ocean_shortcode_after_header":"","ocean_has_shortcode":"","ocean_shortcode_after_title":"","ocean_shortcode_before_footer_widgets":"","ocean_shortcode_after_footer_widgets":"","ocean_shortcode_before_footer_bottom":"","ocean_shortcode_after_footer_bottom":"","ocean_display_top_bar":"default","ocean_display_header":"default","ocean_header_style":"","ocean_center_header_left_menu":"","ocean_custom_header_template":"","ocean_custom_logo":0,"ocean_custom_retina_logo":0,"ocean_custom_logo_max_width":0,"ocean_custom_logo_tablet_max_width":0,"ocean_custom_logo_mobile_max_width":0,"ocean_custom_logo_max_height":0,"ocean_custom_logo_tablet_max_height":0,"ocean_custom_logo_mobile_max_height":0,"ocean_header_custom_menu":"","ocean_menu_typo_font_family":"","ocean_menu_typo_font_subset":"","ocean_menu_typo_font_size":0,"ocean_menu_typo_font_size_tablet":0,"ocean_menu_typo_font_size_mobile":0,"ocean_menu_typo_font_size_unit":"px","ocean_menu_typo_font_weight":"","ocean_menu_typo_font_weight_tablet":"","ocean_menu_typo_font_weight_mobile":"","ocean_menu_typo_transform":"","ocean_menu_typo_transform_tablet":"","ocean_menu_typo_transform_mobile":"","ocean_menu_typo_line_height":0,"ocean_menu_typo_line_height_tablet":0,"ocean_menu_typo_line_height_mobile":0,"ocean_menu_typo_line_height_unit":"","ocean_menu_typo_spacing":0,"ocean_menu_typo_spacing_tablet":0,"ocean_menu_typo_spacing_mobile":0,"ocean_menu_typo_spacing_unit":"","ocean_menu_link_color":"","ocean_menu_link_color_hover":"","ocean_menu_link_color_active":"","ocean_menu_link_background":"","ocean_menu_link_hover_background":"","ocean_menu_link_active_background":"","ocean_menu_social_links_bg":"","ocean_menu_social_hover_links_bg":"","ocean_menu_social_links_color":"","ocean_menu_social_hover_links_color":"","ocean_disable_title":"default","ocean_disable_heading":"default","ocean_post_title":"","ocean_post_subheading":"","ocean_post_title_style":"","ocean_post_title_background_color":"","ocean_post_title_background":0,"ocean_post_title_bg_image_position":"","ocean_post_title_bg_image_attachment":"","ocean_post_title_bg_image_repeat":"","ocean_post_title_bg_image_size":"","ocean_post_title_height":0,"ocean_post_title_bg_overlay":0.5,"ocean_post_title_bg_overlay_color":"","ocean_disable_breadcrumbs":"default","ocean_breadcrumbs_color":"","ocean_breadcrumbs_separator_color":"","ocean_breadcrumbs_links_color":"","ocean_breadcrumbs_links_hover_color":"","ocean_display_footer_widgets":"default","ocean_display_footer_bottom":"default","ocean_custom_footer_template":"","ocean_post_oembed":"","ocean_post_self_hosted_media":"","ocean_post_video_embed":"","ocean_link_format":"","ocean_link_format_target":"self","ocean_quote_format":"","ocean_quote_format_link":"post","ocean_gallery_link_images":"on","ocean_gallery_id":[],"footnotes":""},"categories":[1],"tags":[],"class_list":["post-1155","post","type-post","status-publish","format-standard","hentry","category-uncategorized","entry"],"_links":{"self":[{"href":"https:\/\/blog.kolatzek.org\/wblog\/wp-json\/wp\/v2\/posts\/1155","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.kolatzek.org\/wblog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.kolatzek.org\/wblog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.kolatzek.org\/wblog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.kolatzek.org\/wblog\/wp-json\/wp\/v2\/comments?post=1155"}],"version-history":[{"count":6,"href":"https:\/\/blog.kolatzek.org\/wblog\/wp-json\/wp\/v2\/posts\/1155\/revisions"}],"predecessor-version":[{"id":1163,"href":"https:\/\/blog.kolatzek.org\/wblog\/wp-json\/wp\/v2\/posts\/1155\/revisions\/1163"}],"wp:attachment":[{"href":"https:\/\/blog.kolatzek.org\/wblog\/wp-json\/wp\/v2\/media?parent=1155"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.kolatzek.org\/wblog\/wp-json\/wp\/v2\/categories?post=1155"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.kolatzek.org\/wblog\/wp-json\/wp\/v2\/tags?post=1155"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}