Autsch da bin ich in die Falle getappt
Datenverarbeitung ist nun grundsätzlich verboten
Letzte Woche habe ich einen guten Freund von mir getroffen. Er betreibt eine Hausverwaltung. Da er weiß, dass ich mich mit Online-Marketing beschäftige, hat er mich gefragt: „Was darf ich in Zukunft mit den Daten machen, wenn diese Datenschutz-Verordnung in Kraft tritt?“ Ich konnte mich nicht zurückhalten und musste ihn gleich zu Beginn belehren: „Die Verordnung ist bereits in Kraft gesetzt! Und auf Deine Frage, was Du mit Deinen Daten (Personen-Daten) machen darfst, ist die Antwort: Die Datenverarbeitung ist grundsätzlich verboten!“
So wie es meinem Freund ging, so trifft es praktisch jeden, der mit der Datenschutz-Grundvereinbarung konfrontiert wird. Die Emotionen reichen von Apathie, Desinteresse, Wut bis hin zu blanker Empörung.
„Was heißt, grundsätzlich verboten?“ fragte er. „Datenverarbeitung ist grundsätzlich verboten, außer Du hast einen Erlaubnistatbestand!“ Alleine schon ein Wort wie „Erlaubnistatbestand“ ist für die meisten Menschen ein Begriff, bei dem sie ein Gefühl von „Weglaufen“ und „nervöse Hysterie“ bekommen.
Die Verordnung ist bereits in Kraft
Du musst wissen, dass die EU-Datenschutz-Grundverordnung bereits in Kraft ist. Wir befinden uns gerade in der Umsetzungsphase die im Mai 2018 zu Ende geht. Das bedeutet, Du hast noch bis Mai 2018 Zeit, alle Maßnahmen zu ergreifen, damit Du am 25. Mai 2018 keine bösen Überraschungen erleben wirst.
Wichtig nochmals:
Die EU-Datenschutz-Grundverordnung ist bereits in Kraft getreten!
Nach dieser Übergangsfrist gilt sie europaweit, für alle Länder und Unternehmen. Genauer gesagt müsste es so heißen: „Am 25. Mai 2018 endet die Umsetzungsfrist“. Sinngemäß ist das so, wie wenn Du einen Ablieferungstermin hast. Wenn Du zu spät lieferst gibt´s Schwierigkeiten.
Hier kannst Du die gesamte EU-DSGVO einsehen
EU-Datenschutz-Grundverordnung (EU DSGVO) in Deutsch
General Data Protection Regulation (GDPR) (Englischer Text)
Dieses Handbuch brauchst Du
Das ist das praktische Handbuch, wenn Du auf das Bild klickst kommst Du zu Amazon wo es zu kaufen ist. Wenn Du es dort kaufst bekomme ich eine klleine Provision. Hier unten kannst Du es im Google-Dokument durchsehen.
Hast Du davon schon gehört?
Mit EU-DSGVO oder auch DSGVO ist die offizielle Abkürzung für die EU-Datenschutz-Grundverordnung gemeint, bei der am 25. Mai 2018 die Umsetzungsfrist zu Ende geht.
Worum handelt es sich hier? Es ist eine Verordnung, die alle Unternehmen, die auf Europäischem Boden personenbezogene Daten, digital verarbeiten, vor erhebliche Herausforderungen stellt. Die Größe des Unternehmens ist nicht ausschlaggebend. Schwierig ist es nicht nur wegen der Verordnung selber, sonder auch deswegen, weil nicht 100 % klar ist, wie diese Regelungen in der Praxis umzusetzen sind.
Es ist eine neue Verordnung der EU, wo personenbezogene Daten durch öffentliche und private Unternehmen streng geregelt werden.
1995 wurde die erste Regelung herausgegeben. Die am 28. Mai 2018 in Kraft tretende Regelung (hier nochmals: die Regelung ist bereits in Kraft, am 25. Mai 2018 endet die Umsetzungsphase), erlaubt es den Mitgliedstaaten der EU nicht mehr, diese regional, abzuschwächen.
Die Verordnung regelt die Rechtsgrundlagen der Datenverarbeitung, in Bezug auf Pflichten der Dateninhaber, und die Rechte natürlicher Personen, in Bezug auf ihre personenbezognen Daten.
Mit dieser Regelung wird das Recht des „Vergessenwerdens“ festgeschrieben. Dieses Recht stellt sicher, dass der „digitale Radiergummi“, elektronische Daten dauerhaft löscht. Weitere Rechte sind „Recht auf Datenübertragbarkeit, Auskunfts- und Widerspruchsrecht, Einschränkung und eben Löschung. Ein Beispiel dazu ist, dass der Betroffene, ohne Verzögerung, verlangen kann, dass seine Daten richtig vervollständigt werden.
Die Verordnung wurde über 4 Jahre diskutiert und verhandelt, und im Dezember 2015 beschlossen.
Hinter dieser kurzen Beschreibung, verbirgt sich ein unsichtbarer Eisberg, an dem jedes Unternehmen, zum gleichen Schicksal wie die Titanic verdammt wird. Außer – es werden rechtzeitig alle notwendigen Maßnahmen, Kontrollen und Vorkehrungen getroffen.
Weißt Du nun ob die Datenschutz-Grundverordnung Dein „Geschäfts-Schiff“ zum sinken bringen wird?
Auch wenn die Frage reisserisch und unqualifiziert klingt, so hat sie einen klar verständlichen Hintergrund, und zwar: Über 80 % von befragten Unternehmern haben angegeben, dass sie wenige bis keine Details zur EU-DSGVO (so kürzt man die Verordnung ab) kennen. Wenn Du sie fragts: „Weißt Du wie Deine Datenschutzerklärung in Zukunft auszusehen hat?“, kommt als Antwort „Nein, aber ist das wirklich so wichtig?“.
Es gilt für Dich folgende Regel:
In der DSGVO – Sache kannst Du es Dir nicht leisten die genaue Antwort auf spezifische Umstände nicht zu kennen.
Private Haftungen sorgen für Aufregung
Wenn Du Geschäftsführer einer Firma bist, kannst Du auch persönlich belangt werden, wenn die Firma oder Dein Unternehmen den Bestimmungen der EU-Datenschutz-Grundverordnung nicht nachkommt. Es trifft die handelnden Personen direkt. Also Du siehst, es gibt wirklich Handlungsbedarf.
Drastischer Wechsel in der Risikolage
Die EU-DSGVO ist ein Game-Changer
Du musst Deine Prozesse und Strukturen an diese Verordnung angleichen.
Die DSGVO wird zum Zeitfresser, denn abgesehen von den technischen Dingen und vielleicht auch finanziellen Belastungen, kommt eine Zeitinvestition auf Dich zu. Nur wenn Du die Umsetzungsphase jetzt nutzt, hast Du eine Chance im Mai 2018 bereit zu sein.
Die EU-Datenschutz-Grundverordnung gilt für alle Unternehmen die Dienstleistungen und Produkte in der Europäischen Union anbieten. Es müssen sich alle, auch die Amerikaner, an diese Spielregeln halten.
Themenübersicht
Arbeitnehmerdatenschutz
Personenbezogene Daten (Kundendaten) die man über CRM und Ähnliches erfasst hat
gesetzliche Anforderungen
Aufbau einer eigenen Datenschutzorganisation
Weißt Du was personenbezogene Daten sind?
Personenbezogene Daten sind jene Daten die es möglich machen eine natürliche Person zu identifizieren oder identifizierbar zu machen. Es geht hier immer um den Bezug zur natürlichen Person.
Die Menge der Daten spielt dabei eine große Rolle, denn je mehr Daten Du hast, desto sicherer hast Du personenbezogene Daten.
Persönliche Daten in Papierform sind nicht betroffen - oder?
Dieser Teil ist auf den ersten Blick nicht so klar. Physische Akten sind eigentlich davon nicht betroffen, außer sie sind in einer geordneten Form vorhanden. Daher unterliegen Karteikarten, Akten und geordnete Datensammlungen sehr wohl der DSGVO. Das Schlüsselwort dazu ist „geordnet“.
Was fällt alles unter Datenverarbeitung?
Datenverarbeitung in digitaler Form, umfaßt: Sammlung, Erhebung, Veränderung, Löschung, Lagerung, Speicherung und Übertragung von Daten. In der EU-Datenschutz-Grundverordnung wird das „Verarbeitung“ genannt.
Gibt es nun Klarheit und Vereinheitlichung?
Wenn Du jetzt denkst, dass mit der Verordnung alles vereinheitlicht ist, dann muss ich Dich leider enttäuschen. Die Datenschutz Grundverordnung ist zwar eine Verordnung die für alle Unternehmen gilt aber es gibt für jedes Land unterschiedliche Bestimmungen. Diese Bestimmungen nennt man „Öffnungsklauseln“.
Bis dato gibt es 69 individuelle Öffnungsklauseln die von den EU-Mitgliedstaaten national geregelt werden. Aufgrund dieser nationalen Öffnungsklauseln werden in den einzelnen Ländern verschiedene Bestimmungen unterschiedlich streng durchgesetzt.
Gibt es ein Schlupfloch?
Ja das gibt es. Aufgrund der verschiedenen Öffnungsklauseln wird die Datenschutz-Grundverordnung, wie schon gesagt, in verschiedenen Ländern weniger streng durchgesetzt als z.B. in Deutschland.
Für eine Firma macht es daher durchaus Sinn sich in einem Land anzusiedeln wo die EU-DSGVO „laxer“ gehandhabt wird. Denn grundsätzlich ist immer die nationale Behörde zuständig wo die Firma ihren Sitz hat.
Vielleicht macht es dann wirklich Sinn eine eigene Firma zu gründen die die Daten verwaltet und diese in einem dieser Länder anzusiedeln. (Das ist nur ein Gedanke von mir – vielleicht wäre das ein Ausweg? Achtung das ist keine verbindliche Rechtsberatung)
Wie wird das in Deutschland umgesetzt?
Wie nicht anders zu erwarten war, hat man in Deutschland das Bedürfnis sich besonders hervortun zu müssen.
Welchen Vorteil es für Deutschland haben soll in der Strenge der Durchsetzung ein Vorbild zu sein, ist wirklich fraglich. Vielleicht will jemand die deutsche Wirtschaft absichtlich schwächen?
Was ist nun alles rechtmäßig?
„Daten dürfen nur zu legitimen Zwecken verarbeitet werden.“
Rechmäßigkeit und Zweckbindung sind hier die Hauptbegriffe. Vereinfacht ausgedrückt bedeutet das, dass Du schon am Beginn der Erhebung der Daten die Zwecke definieren und dokumentieren musst.
Du musst klar und deutlich kundtun wofür Du die Daten einholst und wie Du sie verarbeitest. Und in weiterer Folge musst Du Dich daran halten. Du kannst dann nicht einfach etwas anderes mit den Daten machen.
Wusstest Du dass Datenschutz ein Grundrecht ist?
Auch wenn es so aussieht aber Datenschutz hat es immer schon gegeben. Datenschutz ist ein Grundrecht auf Selbstbestimmung über seine persönlichen Daten. Aber wenn man diese Selbstbestimmung ausüben will, muss man wissen. Aus diesem Grunde hat die Datenschutz Grundverordnung eine Fülle von Informationspflichten zugunsten des „Betroffenen“ angeordnet.
Datenminimierung ist ein Wort, dass Du Dir einprägen solltest
Aufgrund der Zweckbindung darfst Du nur so viele und solche Daten verarbeiten als für den Zweck unbedingt notwendig sind. Du kannst nicht einfach alle Daten einsammeln und dann auswählen sondern nur minimalistisch erheben.
Auch darfst Du die Daten nicht endlos behalten, sondern musst diese nach einer gewissen Zeit löschen. Eben nur so lange wie es für den Zweck notwendig ist.
Themenbereich: Integrität, vertraulich und Datensicherheit
IT-Sicherheit: Hier ist die technische Komponente für die Datensicherheit im IT-Bereich gefordert. Viele Unternehmen sind technisch gar nicht in der Lage die DSGVO umzusetzen. Veralterte Systeme, unterschiedliche Formate machen es unmöglich eine durchgehende Integrität sicher zu stellen. Ich war vor kurzem in einer Produktionsfirma und habe eine Erhebung gemacht. Fast jede Abteilung hat unterschiedliche Datenbedürfnisse. So gibt es ein spezielles CRM (Customer Relations Management) im Vertrieb, in der Buchhaltung ein Kontensystem und eine Schnittstelle in die Lieferungsabteilung. Hier eine Vereinheitlichung umzusetzen ist eine große Herausforderung.
Wer also die Umsetzungsfrist ungenutzt verstreichen lässt begibt sich unnötig in Gefahr.
Strenge Bestimmungen bei sensiblen Daten macht die EU-DSGVO zur „Strafenfalle“
Sensible Daten oder wie in der EU-DSGVO ausgedrückt „besondere Kategorie personenbezogener Daten“ werden viel strenger kontrolliert als in allen vorangegangenen Bestimmungen.
Sensible Daten sind: Medizinische Daten, Fotos die zur Identifizierung der Person dienen, ethnische Zugehörigkeit, religiöses Bekenntnis, politische Überzeugung, alle biometrischen Daten wie genetische Daten und Fingerabdruck;
Für die Verarbeitung sensibler Daten braucht es vom Betroffenen eine „ausdrückliche Zustimmung“. Eine schlüssige Zustimmung ist hier nicht ausreichend.
Wie bekomme ich eine rechtmäßige Einwilligung?
Es gibt wesentlich strengere Bestimmungen die die Einwilligung der Person selbst betreffen. Eine Einwilligung muss immer zweckdienlich sein um den Dienst zu erbringen aber nicht notwendigerweise darüber hinaus gehen.
Achtung! Wenn Du eine Zustimmung vom Betroffenen rechtmäßig erhalten möchtest, reicht es nicht aus, wenn bei der Zustimmungserklärung, in der Checkbox per default das Häkchen schon gesetzt ist. Die Checkbox muss leer sein und vom Betroffenen selbst angeklickt werden damit Du eine rechtsgültige Zustimmung erlangst.
Sind Zustimmungserklärungen in den AGB´s zulässig?
Auch dafür hat die EU-Datenschutz-Grundverordnung eine Regelung getroffen. Die AGB´s müssen in einfacher Sprache abgefasst sein und die datenschutzrechtliche Komponente muss verstehbar abgefasst sein. Auch darfst Du die Zustimmungs-Klausel nicht einfach irgendwo in den AGB´s verstecken sondern Du musst sie klar und deutlich in den AGB´s kennzeichnen. Am besten mit eigener Überschrift „Datenschutz-Erklärung“.
Direktmarketing ab Mai 2018 verboten?
Direktmarketing wird nicht direkt verboten aber es wird viel schwieriger und stärker reguliert. Es wird in Zukunft schwieriger Trackingdaten und Nutzerprofile in Marketingmaßnahmen zu integrieren.
Ist Deine Optin-Prozedur angepasst?
Nütze die Zeit und passe Dein Optin-Verfahren gleich jetzt der EU-DSGVO an. Wenn Du die Einwilligungen schlecht oder gar nicht dokumentieren kannst, gehst Du ein erhebliches Risiko ein. Alles was Du nicht nachweisen kannst, existiert rein rechtlich nicht. Achtung! Die Nachweispflicht liegt bei Dir!
Anwälte aufgepasst
Ich bin zwar kein Anwalt, aber ich denke, dass die DSGVO in jetzt stattfindenden Firmenübernahmen berücksichtigt werden muss.
Ich glaube nicht, dass sich irgendwer gerade darüber Gedanken macht, dass wenn er jetzt eine Firma kauft, im Mai 2018 nachweisen muss, dass die personenbezogenen Daten der Firma die er übernommen hat, rechtmäßig sind.
Wie gesagt, ich bin kein Jurist aber ich glaube, dass es auch für den Anwalt eine Haftung geben wird, wenn er auf diesen Umstand in seinem Übernahmevertrag, vergisst. Ist doch ein wesentlicher Wert einer Firma ihre Kundendatei.
Kundendaten bei Share Deal oder Asset Deal
Das Thema Firmenkauf oder Teilkauf ist datenschutz-rechtlich sehr wichtig. Es gibt den Begriff von Share Deal oder Asset Deal. Beim Share Deal tritt der Erwerber in die Rechtsposition des gekauften Unternehmens ein. Hier ändert sich nichts am Rechtsträger. Daher verändert sich auch nicht der Verantwortliche für die Verarbeitung der personenbezogenen Daten.
Anders ist es beim Asset Deal. Hier werden nur Teile des Unternehmens (Assets) gekauft. Wenn Du jetzt z.B. die Kundendaten eines Unternehmens kaufst, spricht man von einem Asset-deal. Hier ändert sich der Verantwortliche für die Verarbeitung der personenbezogenen Daten. Nach der Datenschutz Grundverordnung, handelt es sich aber ganz eindeutig um die „Weitergabe personenbezogener Daten an Dritte“. Achtung diese Weitergabe ist nicht einfach so möglich. Es braucht dazu eine Erlaubnis. Zur Erinnernung, Datenschutz ist ein Verbotsgesetz.
Eine solche Erlaubnis kann die Weiterführung von laufenden Verträgen sein.
Also bitte beim Firmenkauf unbedingt auf die geltenden und kommenden Datenschutz-Normen achten, sonst kann es sein, dass der Kauf teuer und wertlos ist.
War das schon alles dazu?
Nein das war noch nicht alles. Der Zweck des Artikels ist nicht, Panik zu verbreiten, aber je mehr ich mich mit der Thematik befasst habe, desto mehr entdecke ich welche Gefahren für Unternehmer hier verborgen liegen. Der Unternehmer haftet immer und muss sich „freibeweisen“. Dieses „Freibeweisen“ kann aber teuer und aufwändig werden. Wie will man beweisen, dass ein Mitarbeiter personenbezogene Daten nicht ordnungsgemäß behandelt hat, obwohl es Policies dafür gibt.
Die Schwierigkeiten haben bereits begonnen. Daten die jetzt verarbeitet werden, müssen ab Mai nächsten Jahres „sauber“ sein. Wenn die Daten nicht jetzt schon sauber in ein konformes Datensystem mit Dokumentation einfließen, bleibt Dir vielleicht keine andere Wahl, als Deinen Unternehmens-Verstand komplett zu löschen. Einschließlich der Back-Ups. Da werden Firmen über Nacht wertlos.
Mitarbeiter müssen jetzt schon auf neue Software und Compliance geschult werden. Die meisten Betriebe, haben damit noch nicht begonnen bzw. haben sie noch kein Konzept davon. Vergiss nicht, dieser Aufwand kommt zum laufenden Tagesgeschäft hinzu. Ich kenne in meinem Umfeld nur einen Unternehmer der damit begonnen hat, und er arbeitet seit Juni diesen Jahres daran und weiß jetzt ungefähr wie er seine Abläufe in Zukunft sein müssen. – Arbeitsaufwand bis jetzt? 250 Stunden.
Ich kann nur sagen „WAKE UP“! Gerade lese ich einen Artikel der WKO von Frau Dr. Christine Knecht-Kleber. Am Schluss des Artikels schreibt sie: „Nicht in Schockstarre verfallen! Das ist wie bei einer Bergtour: Schritt für Schritt ….“Welche Bergtour meint sie? Die zum Mount Everest?“
Wird Cookies setzen in Zukunft strafbar?
Selbst „Cookies-Setzen“ wird in Zukunft der Zustimmung des Verbrauchers bedürfen. Ein Hinweis, „wir setzen Cookies“ wird nicht ausreichen um der zusätzlich herausgegebenen E-Privacy-Verordnung zu genügen.
Begriffe wie Kopplungsverbot werden zur Stolperfalle. Davon sind die Retargeting-Strategien alle betroffen.
10 Tipps zur Umsetzung
Mit diesen praktischen Tipps hast Du schon einmal eine Übersicht worauf Du achten sollst.
Lieber Herr Friedrich
Herzlichen Dank für diesen tollen Eintrag zu einem wichtigen Thema.
Wir haben die DSGVO auch beim #MCLago zum Thema gemacht. Unser Competence Circle Digital Marketplaces #CCdigitalM vom Deutschen Marketing Verband beschäftigt sich mit der Problematik. Dabei ist der Fokus speziell auf Daten aus Marktforschung, Kunden, Verkauf, usw.
In DE wie auch in der CH gibt es einige Institutionen welche sich damit beschäftigen. Wichtig ist, dass es dazu auch Tools gibt welche von zum Teil öffentlichen Stellen auch publiziert worden sind.
Leider braucht es einige Zeit bis man diese Checklisten, Tabellen, Tipps ja sogar eine Datenschutzverordnung für Otto Normalverbraucher, im Internet findet.
Aber ich glaube auch in DE und CH stösst die DSGVO bei Firmen nur auf beschränktes Interesse. Vor allem machen die sich nicht immer sehr genaue Gedanken wie sie das Ding umsetzen sollen. Das braucht Zeit und ist gar nicht einfach.
Packen wir es an.
Freundlichst
Urs E. Gattiker
#DrKPI
Alleine die Evaluierung ist ein Prozess der viel Durchhaltevermögen braucht. Wer hat während des Tagesgeschäftes Zeit dafür?
Lieber Herr Howanietz
Danke für die Antwort
Stimmt, im Tagesgeschäft ist es nicht einfach… trotzdem muss es gemacht werden.
Aus diesem Grunde haben wir hier einige Tools bereitgestellt: http://mclago.com/best-practice-4/
Ich hoffe die Helfen
Herzlichst
Urs E. Gattiker
#MCLago