Neues Datenschutzgesetz für Selbstständige und Vereine

Bericht von einer Info-Veranstaltung zum neuen Datenschutzgesetz für Selbstständige, KMUs und Vereine

– Alle Angaben ohne Gewähr!

Ab dem 25.5. d.J. gilt die neue EU-DSGVO, d.h., sie gilt schon länger, aber ab diesem Tag können empfindliche Strafen bei Nichtbeachtung verhängt werden. Der Umgang mit personenbezogenen (Kunden-) Daten ist jetzt streng geregelt.

Beispiel: Der VNB wurde schon mal verklagt, weil er jemandem unverlangt ein Email zugesandt hatte. Die Anwälte konnten sich einigen, aber wenn derselbe Mail-Empfänger jetzt noch einmal – wenn auch nur aus Versehen – eine Mail vom VNB bekommt, wird es schmerzhaft teuer. Und: Ähnlich wie das Gesundheitsamt muss die zuständige Behörde einschreiten, wenn es zu Anzeigen kommt, z.B. wegen Datenschluderei o.ä. Und: Die Einhaltung bestimmter Sicherheitsspielregeln beim Umgang mit persönlichen Daten muss jederzeit auf Verlangen nachgewiesen werden können. Es gilt NICHT die Unschuldsvermutung, sondern jederzeitige Nachweispflicht („Accountability“, Art. 5 DSGVO).

Was ist zu jetzt konkret zu tun? – Herr Alexander Eggers (Fa. Epc, Nienburg) empfiehlt als erste praktische Maßnahmen – ohne Anspruch auf Vollständigkeit:

– Einen Ordner anlegen (physisch ist auch OK), in dem dokumentiert ist, was zur Datensicherheit getan wird. Das beginnt mit der Beschreibung der Sicherheitsmaßnahmen: Wo sind die Daten gelagert, wie gebackupt, wie oft werden Passwörter gewechselt, für welchen Zweck werden welche Daten gespeichert, wer hat Schlüssel für die Räume, wo die Akten oder PCs stehen, usw. – Vordrucke siehe unten.

– Kein Papier verlässt ungeschreddert das Büro, auch nicht im Papierkorb, (sagt Herr Eggers, aber ob er seinem Postboten auch geschredderte Briefe in die Hand drückt, hab ich nicht gefragt …). – Dürfte als strikte Regel wohl eher für Praxen gelten, die z.B. sensible Patientenakten handhaben.

– Datenschutzerklärung auf der eigenen Website anpassen

– Vollständiges Impressum auf der Website

– Newsletter: Der Verantwortliche muss nachweisen können, dass der Empfänger in die Verarbeitung seiner Daten eingewilligt hat, also z.B. auch, einen Newsletter oder andere Werbung zu erhalten. Dies muss nicht schriftlich sein, eine Protokollierung elektronischer Einwilligungen ist sinnvoll. E-Mail-Werbung unterliegt aufgrund der Geltung der EG-Richtlinie für elektronische Kommunikation 2002/58/ EG weiterhin einem strengen Einwilligungserfordernis.
– Bestandskunden: Wenn man sicher gehen will, alle anschreiben und um Einwilligung in die Speicherung der persönlichen Daten bitten.

– Man muss Kunden (und, im Zweifelsfall, der zuständigen Behörde!) sagen können, was mit deren Daten gemacht wird.

– …

– Ab 10 Angestellten, die mit Daten zu tun haben, muss ein Datenschutzbeauftragter (ein interner oder externer) benannt werden, wenn (nach Art. 37 Abs. 1 lit. a – c DS-GVO) eine der folgenden Voraussetzungen gegeben ist:

• Behörde oder öffentliche Stelle

• Kerntätigkeit mit umfangreicher oder systematischer Überwachung von Personen oder

• Kerntätigkeit mit umfangreicher Verarbeitung besonders sensibler Daten (Artikel 9, 10 DS-GVO).

„Kerntätigkeit“ ist die Haupttätigkeit eines Unternehmens, die es untrennbar prägt, und nicht die Verarbeitung personenbezogener Daten als Nebentätigkeit (ErwGr. 97 der DS-GVO). Zu den Kerntätigkeiten gehören danach auch alle Vorgänge, die einen festen Bestandteil der Haupttätigkeit des Verantwortlichen darstellen. Hierzu gehören nicht die das Kerngeschäft unterstützenden Tätigkeiten wie z. B. die Verarbeitung der Beschäftigtendaten der eigenen Mitarbeiter.
https://www.datenschutzzentrum.de/artikel/1201-Kurzpapier-Nr.-12-Datenschutzbeauftragter.html

Vordrucke und Formulare:

Für Vereine:

https://www.lda.bayern.de/media/muster_1_verein.pdf

https://www.lda.bayern.de/media/muster_1_verein_verzeichnis.pdf

Und noch mehr:

https://www.lda.bayern.de/de/kleine-unternehmen.html

Impressum-Generator für die Website:

http://www.impressum-generator.de