Datenschutzgrundverordnung DSGVO

[WinfriedM]

Ab Mai gilt die neue Datenschutzgrundverordnung (DSGV.

Habt ihr euch schon Gedanken darüber gemacht oder die schon umgesetzt?

Lese mich gerade ein. Wichtig ist zum Beispiel: Für alle persönlichen Daten, die man erfasst, brauchts eine explizite Zustimmung. Wer sich also eine Kundenadresse aufschreibt, braucht eine Zustimmung, dass man die in seine Kundendatei einträgt. Um diese Zustimmung später nachweisen zu können, sollte die schriftlich gegeben werden.

Alle Arbeitsabläufe, wo persönliche Daten verarbeitet werden, müssen auch in einem Verzeichnis beschrieben und bewertet werden.

Das neue Gesetz wird bedeuten, dass zahlreiche Arbeitsabläufe neu organisiert werden müssen und man mehr organisatorischen Aufwand hat. Tut man es nicht, drohen empfindliche Strafen.

Eine erste gute Orientierung bietet diese Broschüre:
https://www.amazon.de/dp/3406716628

 

[Besserwisser]

Ja, ich überarbeite das Impressum bezüglich Datenschutz. Das ist schnell fassbar und wird garantiert angemahnt werden.
Der Rest ist, gerade für Kleinstbetriebe, nicht soo pressierend.

 

[schorsch]

Hallo,
zukünftig muss halt jeder Kunde deinen Nutzungsbedingungen zustimmen, bevor du für ihn tätig werden kannst. Darin hat er dir dann uneingeschränkte Verwertungsrechte seiner persönlichen Daten, Fotos und dgl. zu gewähren. Damit wird er sicher keine Probleme haben, schließlich kennt er dieses Prozedere ja.
Gruß Georg

 

[WinfriedM]

Uneingeschränkte Verwertungsrechte? Wohl eher nicht. Ich denke, da werden die Kunden sensibler für werden, sowas nicht zu akzeptieren.

 

[ChrisOL]

Hallo,

zum einen muss dokumentiert werden wo überall persönliche Daten erhoben werden, das sind aber auch schon Listen mit mit Geburtstagen von Kollegen.

Dann muss man sich die Frage stellen, wie lange muss ich Daten überhaupt aufbewahren.

Viel wichtiger ist jedoch der Punkt, das man einen Prozess benötigt für den Fall, dass jemand verlangt alle seine persönlichen Daten zu löschen. Dabei ist egal ob die digital oder analog vorliegen. Kommt man der Aufforderung nicht nach werden hohe Strafen fällig. Da reicht schon ein entlassener Mitarbeiter der weiß wo noch was steht und schon gibt es Abmahnvereine 2.0

 

[WinfriedM]

Weiß jemand, wie das mit den Datensicherungen ist? Wollte man da aus allen Sicherungsmedien bestimmte Daten löschen, wäre das ein riesengroßes Problem.

Interessant ist auch: Aber einer bestimmten Betriebsgröße brauchts einen Datenschutzbeauftragten. Der Geschäftsführer darf diese Rolle nicht ausfüllen. Ein Datenschutzbeauftragter braucht auch gewisse Fortbildungen.

 

[uli2003]

Ich sehe das nun nicht so dramatisch, weil Klein- und mittelständische Betriebe beim Verzeichnis eher nicht betroffen sind. Siehe auch DSGVO Art.30 (5).

Die AGBs habe ich entsprechend verändert, dass ich darauf hinweise, dass Name, Adresse und ggf. Telefonnummer zur Ausübung der vertraglichen Pflichten genutzt werden, und nicht weitergegeben werden. Und die vertraglichen Pflichten ordne ich auch meinen Steuerberater, sowie die notwendigen Ämter ein.
Weitergegeben wird nichts, Kundendaten sind in meiner Software passwortgeschützt, und nur ich habe den Zugriff darauf. Datenschutzbeauftragten benötige ich nicht.

Vereinsseitig werde ich jetzt die Mitglieder mit einem Schreiben informieren bezüglich der Einwilligung und der Art der Nutzung der Daten (ausschließlich zum Vereinszweck, anders nutzen wir die auch nicht), Umgang mit den Daten haben nur mein Stellvertreter und ich.
Zum Umgang mit Daten auf Websites (einschließlich Bilder) achten wir schon lange auf eine richtige Bildauswahl, und personenbezogene Daten werden dort nicht verwendet, außer von üblichen Regularien wie Wahlen, Kontaktadressen und dergleichen.
Einzig über das 'Recht auf Vergessenwerden' müsste man einmal diskutieren, ob man Artikel auf Websites nicht nach einer bestimmten Zeit archiviert und für die Öffentlichkeit unzugänglich macht.

Bin mal gespannt, wie Ergebnisdienste wie Kroton und Co. damit umgehen.

Grüße
Uli

 

[WinfriedM]

@Uli: Mitteilung an Vereinsmitglieder reicht m.W. nicht, du brauchst eine explizite Einwilligung. Das Verzeichnis muss nach dem Ratgeber, den ich oben verlinkt habe, im Grunde jeder machen. Da wurde zwar erwähnt, dass es theoretisch Ausnahmen gibt, aber praktisch läuft es wg. diverser anderer Regelungen darauf hinaus, dass man es machen muss.

Dein Steuerberater muss m.W. auch etwas unterschreiben, du brauchst eine explizite Bestätigung, dass er sich an definierte Regeln hält und die Daten nicht für andere Zwecke nutzt. Das gilt für alle Dienstleister, denen man persönliche Daten weitergibt.

Ein Passwortschutz für ein Programm ist auch nur ein Teil von vielen, was den Datenschutz angeht. Vernachlässigst du z.B. Updates oder Virenschutz, nützt so ein Passwort nicht viel. Zumal solche Passwörter in der Regel die Daten nicht verschlüsseln. Das ist nur was gegen neugierige Laien, nichts gegen Profis, die sich die Daten übers Internet absaugen.

Mein Wissen ist derzeit zu allem aber noch mager, muss mich weiter einlesen.

 

[uli2003]

Mitteilung an Vereinsmitglieder reicht m.W. nicht, du brauchst eine explizite Einwilligung.

Die bekomme ich aber nicht. Nicht weil die Mitglieder sie mir nicht geben würden, sondern weil sie zu bequem sind, mir diese auszustellen und zuzusenden. Ein Vordruck liegt dem Schreiben bei. Ich denke 10-15% werden zurückkommen.
Was nun? Die anderen 850 Mitglieder löschen, weil ich keine Einwilligung habe?
Bei Neuaufnahmen ist es in das Aufnahmeformular integriert, da ist das kein Problem.

Nein, ein Verzeichnis benötige ich laut oben genanntem Artikel nicht. Steht dort doch ganz klar, zusammen mit den Ausnahmen.

Virenschutz und Updates sind natürlich aktuell. Geschieht doch automatisch.
Man sollte das Thema zwar ernst nehmen, aber auch nicht übertrieben ernst.

Oder fahrt ihr Kollegen beispielsweise beim Neubeginn einer Baustelle erst mit allen eventuell beteiligten Mitarbeitern dorthin, und macht eine Gefährdungsbeurteilung? Streng genommen müsste man das.

 

[WinfriedM]

Nein, ein Verzeichnis benötige ich laut oben genanntem Artikel nicht. Steht dort doch ganz klar, zusammen mit den Ausnahmen.

Da steht: "Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn, die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien"

Und da wurde in der Broschüre klar gemacht, dass fast alles ein Risiko für die Rechte unf Freiheiten der betroffenen Personen ins sich birgt. Sobald du die Lohnabrechnung deiner Kollegen machst oder ein Krankenschein annimmst, soll das definitiv ein Vorgang sein, der ein Verzeichnis braucht. Ob lediglich eine Adresse eines Kunden ausreicht, weiß ich nicht, aber schon in dem Moment, wo du auch nur ein Bild von der Einrichtung oder dem Haus deines Kunden bekommst, hängst du vermutlich wieder drin.

 

[uli2003]

Das mag sein. Eine Lohnabrechnung ist ja auch nicht gelegentlich, obwohl einige den Zeitraum als gelegentlich bezeichnen
Man ist also mit dem Verzeichnis auf der sicheren Seite, einmal erstellt bedarf es in Kleinbetrieben ja auch wenig Wartungsaufwand.

Dann mal ab an die Arbeit

 

[joh.t.]

Hallo, das gegoogelt: hwk dsgvo. dann kam das hier:

https://hwk.de/fileadmin/hwk/media/3_Beratung/3_Technologie/Datenschutz/Leitfaden_EU-DSGVO.pdf

Ich hoffe da steht alles Wesentliche drin. Viel Spass am Wochenede...

Johannes

 

[WinfriedM]

@Johannes: Interessanter Leitfaden (oder Leidfaden ) - danke dir.

 

[Orgelbauer]

Moin,
schön und gut und richtig, wir sollen mit sensiblen Daten nicht gleichgültig umzugehen !
Leider, leider beweisen uns die sog. Großen mehr und mehr - was sie selbst von
Datenschutz halten. Städte & Gemeinden verkaufen ohne Nachfrage DEINE (und meine Daten), "Fratzenbuch" rutscht von einem Skandal in den nächsten und die Post setzt noch einen obenauf !
Aber was ist mit der "Gesundheitskarte" ? Wie sicher sind die Daten von Patienten in zentralen Rechenzentren wirklich ?
Wer kann alles außer dem eigentlich betroffenen Patienten auf die Daten zugreifen ?
Ganz zu schweigen vom "Netzdurchsuchungsgesetz" und der Vorratsdatenspeicherung...
Kurz: Datenschutz wird schon lange dem "Gott Mammon" geopfert !
Es ist halt alles nur ein Geschäft - oder ?

 

[schorsch]

Hallo,
da kann ich Orgelbauer nur recht geben. Wenn man da die Datenkraken sieht, wie da Daten gesammelt, ausgewertet und wirtschaftlich verwertet werden, kommt man sich als kleiner Handwerker, der jetzt, wenn er es richtig macht, einen ordentlichen organisatorischen Mehraufwand aufs Auge gedrückt bekommt, schon ziemlich verarscht vor.
Gruß Georg

 

[FredT]

Ja aber, ist man da als gemeiner Nutzer geneigt, zu erwiedern... Welche Daten erhebt denn "der kleine Handwerker", die irgendwie mehraufwandsrelevant wären ...
Der Weg des geringsten Widerstands wäre doch, "einfach" dann solche Daten nicht zu erheben.

Oder irre ich da so sehr?

Grüße
Fred

 

[uli2003]

Städte & Gemeinden verkaufen ohne Nachfrage DEINE (und meine Daten)

Aber nicht ohne Einwilligung. Wenn man die mal irgendwo gegeben hat..

"Fratzenbuch" rutscht von einem Skandal in den nächsten

Leider? ist das kein deutsches Unternehmen.

Wie sicher sind die Daten von Patienten in zentralen Rechenzentren wirklich ?
Wer kann alles außer dem eigentlich betroffenen Patienten auf die Daten zugreifen ?

Nun ja, das lässt sich ja erfragen. Es gibt ja ein Auskunftsrecht.

Ich denke schon, das mit den Daten verantwortungsbewusst umgegangen wird. Oft ist es auch ein illegales Abgreifen nicht ausreichend geschützter Daten. Aber alles was der Mensch verschlüsselt, kann er auch entschlüsseln. Es gibt keine 100%ige Sicherheit, weil das nicht möglich ist.

kommt man sich als kleiner Handwerker, der jetzt, wenn er es richtig macht, einen ordentlichen organisatorischen Mehraufwand aufs Auge gedrückt bekommt,

Wenn es nur das Verzeichnis ist - das ist doch machbar, und stellt - Dank vieler, sogar freier Vordrucke - keinen großen Aufwand da.
Kundendaten dürfen ja zum Erfüllen der Verträge und zur Wahrung der gesetzlichen Aufbewahrungsfristen ohne Einwilligung genutzt werden.

 

[holztill]

Hallo zusammen,
habe gerade das hier gefunden:
https://www.deutsche-handwerks-zeit...ierung-datenschutz-im-umbruch/150/3098/355999

Darin steht folgendes:
Wann die Datennutzung zulässig ist

Eine Datennutzung ist nur zulässig, wenn eine gesetzliche Vorschrift sie erlaubt oder derjenige, dessen Daten verarbeitet werden sollen, in die Nutzung von Daten einwilligt.

Die DSGVO (Artikel 6) erlaubt die Datennutzung demnach dann ohne Einwilligung,
wenn die Verarbeitung zur Erfüllung eines Vertrags erforderlich ist (z.B. Adresse des Kunden, um den Auftrag vor Ort beim Kunden ausführen zu können).
zur Durchführung vorvertraglicher Maßnahmen erforderlich ist (z.B. E-Mail-Adresse, um dem Kunden nach seinem Wunsch einen Kostenvoranschlag senden zu können).
zur Wahrung berechtigter Interessen des Handwerksbetriebs oder eines Dritten erforderlich ist und die Interessen der betroffenen Person nicht überwiegen (z.B. die Auswertung der Kundendatei, um bestimmte Kunden zielgerichtet mit Werbung anzusprechen).

Für alle anderen Fälle ist es nötig, eine Einwilligung von der betreffenden Person einzuholen.


Dann haben wir als Handwerker ja nun nicht unbedingt so viel damit zu tun, oder?
(Geburtstag, etc muss man ja nun nicht wirklich speichern!)

 

[Orgelbauer]

Moin,
Uli2003 hat ja den Text schon gut auseinandergenommen.
Aber mal ehrlich und konstruktiv gefragt:
Wann wurdest Du von der Stadt/ Gemeinde gefragt, was an Daten verkauft werden darf ? DGL gilt für Straßenverkehrsamt usw. usw.
Hast Du zB. das Vertragsrecht verstanden ?
Im internationalen Handelsrecht gibt es den "Vertrag mit den 4 Ecken"
4-Corners-Rule oder 4-Corners-Law...
Wer kennt das hier ?
Kaum jemand. Dann wüßtest Du zB bei Verträgen mit den Banken, was Du alles unterschreibst - und was von deren Unterschriften "Null+Nichtig" ist.
Da steht zB. die Schufa (=Firma) immer im Kasten extra.
Weißt Du was die an Daten über Dich speichern und verkaufen ?
...die Creditreform... usw. ?

Und machen wir uns nichts vor - das was wir gern hätten - gibt es nicht !
Ich bin da durch Bekannte durch die unterschiedlichsten Bereiche (Medizin, KFZ, IT, usw.) echt im Thema - und ein Fazit kann ich nur drunter setzen:
Das was gedruckt wird - wird nicht umgesetzt !
Umgekehrt wird auch vieles umgesetzt - was nicht einmal durch §§ gedeckt ist - oder ?

Wir brauchen nur die Augen auf machen... schwören Politiker nicht auf das GG ?
"...Schaden vom Volk ... Gerechtigkeit..." uvm. Doch was haben wir wirklich ?
Und die Gerichtsshow oder TV-Anwälte sind nur Propaganda. Die spiegeln keine Realität.
Denn - was wird überall an Daten gesammelt ?
Die Liste reicht noch wesentlich weiter.
ZB. die Katalogversender. Woher bekommen DIE denn die Daten - daß passend zum Alter oder Hobby bestimmte Werbung ins Haus flattert ?
Oft sogar mit direktem Anschreiben.
Wer übrigens anderer Meinung ist - schafft damit keine Fakten. Er (sie) schaut halt nur nicht so genau hin - oder ?

Klar ist, jeder Handwerker und Mittelständler, der sich keinen IT-Anwalt (Rechtsabteilung) leisten kann, sollte sowenig Daten erheben, wie es irgendwie geht. Doch leider, leider müssen nun mal ein paar zur korrekten Abwicklung der Arbeiten erhoben werden...
Und, Unwissenheit schützt vor Strafe nicht, denn...
Es sind leider immer "die Kleinen" die statt "der Großen" verfolgt und "gehängt" werden.

 

[Orgelbauer]

Moin nochmal,
um es ganz klar auszudrücken:
Nur weil sich einige Bedienstete nicht an Gesetze halten -sind die Gesetze nicht ungültig.
Doch wenn sich dann die Bediensteten (Juristen, Polizisten, Anwälte usw) gegenseitig decken - dann spricht der Jurist vom Rechtsbankrott...

Gegen das Datensammeln und verkaufen von konnte jeder Mensch zB. bei Stadt/ Gemeinde bis vor einiger Zeit einfach widersprechen. Doch damit GEZ (oder wie die auch heißen) besser drauf zugreifen können, wurde das Gesetz für jedes Bundesland "angepaßt". Kurz - Deine und meine Rechte beschnitten !

Eine Chance (ohne Rechtsberatung meinerseits) zB. der Post "ein wenig Dampf" zu machen: ANSCHREIBEN !!!

https://www.deutschepost.de/de/d/deutsche-post-direkt/microdialog.html -

...anfordern, was sie über Dich (mich) gesammelt haben - an wen sie die Daten verkauft haben - wieviel sie damit verdient haben !
Anspruchsgrundlage: §§ 6, 19 BDSG; Wichtig § 19 Abs. 7
die Auskunft ist unentgeltlich !

Adresse:
Deutsche Post Direkt GmbH
Junkersring 57
53844 Troisdorf

 

[Markus1204]

Wir hatten vor ca. 2 bis 3 Wochen genau dieses Thema im Unternehmen.
Es teilte sich bei uns erst mal in 2 Aspekte auf:
1. Die Belehrung der MA
2. Wie wird zukünftig mit Kunden umgegangen?

Zu 1:
Die GL wollte gerne eine Unterschrift unter der Belehrung haben und diese in die Personalakte einfügen. Der BR hat dies über einen Anwalt prüfen lassen.
Resultat: Die GL kann das so machen, eine einfache Belehrung der MA reicht allerdings auch aus. D.h. auf dieser Seite muss die GL keine schriftlichen Rückversicherung haben.

Zu 2:
Gerade im Key-Account-Management werden wir mit der Verordnung Probleme bekomme. Hier schwebt nämlich die These im Raum: Ich darf die Daten des Kunden nur verwenden, wenn es dem Zweck des Auftrages, bei welchem er die Nutzungsbedingungen akzeptiert hat, dient. Sprich ich darf einem Kunden nicht ungefragt Informationen zu Produkten oder Neuerscheinungen schicken.
Was davon wirklich stimmt wird sich in 2 bis 3 Wochen klären, da zu diesem Thema eine Schulung stattfindet. Zudem ist man noch im Kontakt mit einem Anwalt, der Rechtberatung gibt.

 

[WinfriedM]

Ich darf die Daten des Kunden nur verwenden, wenn es dem Zweck des Auftrages, bei welchem er die Nutzungsbedingungen akzeptiert hat, dient.

Kommt ja darauf an, welcher Nutzung er zugestimmt hat. Hat er nur zugestimmt hat, dass die Daten nur zur Abwicklung des Auftrages genutzt werden dürfen, geht nichts darüber hinaus. Wenn du aber z.B. in einem Onlineshop ein Häckchen bei "Meine Daten dürfen zu Werbezwecken genutzt werden..." gesetzt hast, darf das dann auch gemacht werden.

 

[uli2003]

Die DSGVO war Thema der heutigen Obermeistertagung.
Hier gab es eine vom Fachverband juristisch aufgearbeitete recht verständliche Aufarbeitung.
Ich gebe das gerne weiter, sobald ich es habe.

Eines ist jedoch sicher - ein Teil der DSGVO wird sicher aufgrund der Umöglichkeit der Umsetzung
in die Risikoabwägung des Unternehmers fallen.
Ich werde es für mich so handhaben:
Verzeichnis anlegen, Datenschutzinformationen bei Erhebung der Daten ausgeben,
Daten nach 10 Jahren löschen, Datenschutzkonzept ausarbeiten, DSGVO in die Website integrieren.
Das sollte für mich genügen.

Grüße
Uli

 

[WinfriedM]

Was die Homepage angeht, kann man das hier nutzen:
https://www.e-recht24.de/artikel/datenschutz/10718-dsgvo-datenschutzerklaerung-generator.html

 

[ChrisOL]

Moin,

Wir hatten das Thema diese Woche auch noch mal besprochen. Uns wurde empfohlen alle Bestandskunden über die Nutzung der Daten und unserer Datenschutzerklärung zu informieren. Wichtig ist in Zukunft bei neuen Daten gleich auf die Datenschutzerklärung hinzuweisen. Nur ein Link auf der Homepage sei nicht ausreichend, wenn die Daten nicht über die Homepage erhoben wurden.
Es gibt viele Beispiele jedoch wenig verbindliche Aussagen von den Datenschutzbeauftragten. Alleine das offene Herumliegen lassen von Visitenkarten Dritter auf einem Schreibtisch ist kein ausreichender Schutz personenbezogener Daten und könnte geahndet werden.