Datenschutz: 10 „populäre“ Mythen der DS-GVO
„Kein Computer im Betrieb = keine DS-GVO“, „Die TOMs beziehen sich nur auf die Computer im Unternehmen“, „Ein SSL-Zertifikat sorgt lediglich für ein besseres Google-Ranking“. Die derzeit 10 populärsten DS-GVO-Irrtümer aus Unternehmen, Betrieben und Kanzleien im Fakten-Check.
1. Kein Computer im Betrieb = keine DS-GVO
Nein. Auch Betriebe, die „nur“ mit einem Kunden-Karteikasten – geordnet nach einem System, zum Beispiel Namen – arbeiten, sind von der DS-GVO betroffen. Insbesondere kleine Betriebe sowie Vereine sind hier häufig falsch informiert. Ausgenommen sind lediglich Daten für ausschließlich persönliche und familiäre Tätigkeiten.
2. Die TOMs beziehen sich nur auf die Computer
Nein. Für die Aufsichtsbehörden sind durchaus auch die Maßnahmen der Zutrittskontrolle in das Gebäude wichtig. Hierbei sind für die TOMs (technische und organisatorische Maßnahmen) unter anderem folgende Fragen interessant:
- Wer hat Zugang zum Bürohaus und auch zu den Büroräumen?
- Erfolgen die Schlüsselvergabe und das Schlüsselmanagement nach einem definierten Prozess, der sowohl zu Beginn eines Arbeitsverhältnisses als auch zum Ende eines Arbeitsverhältnisses die Erteilung bzw. den Entzug von Zutrittsberechtigungen für Räume regelt?
- Werden einem Beschäftigten Zutrittsberechtigungen erst erteilt, wenn dies durch den jeweiligen Vorgesetzten und/oder die Personalabteilung entsprechend angefordert wurde?
- Erhalten Besucher erst Zutritt zum Bürohaus und den Büroräumen, wenn ihnen durch den Empfang oder einem sonstigen Beschäftigten die Tür geöffnet wird?
- Kann der Empfang die Eingangstür einsehen und trägt Sorge dafür, dass jeder Besucher sich beim Empfang meldet?
- Dürfen sich Besucher ohne Begleitung in den Büroräumen frei bewegen?
- Sind die Eingänge und Fenster des Bürohauses und auch der Büroräume eventuell gesichert?
Die TOMs regeln dabei nicht nur den reinen IT-Bereich.
3. Ein SSL-Zertifikat sorgt für ein besseres Google-Ranking
Nicht nur, dieses ist lediglich ein weiterer Nebeneffekt. Das SSL-Zertifikat dient vornehmlich der Sicherheit bei der Übertragung von Daten. Webseiten, auf denen Kontaktformulare verwendet werden, müssen anerkannte Verschlüsselungsverfahren implementieren. Seit dem 1.1.16 gilt die Pflicht für eine SSL-Verbindung („https://“) zu Websites mit Kontaktformularen (§ 13 Abs. 7 TMG). Diese Pflicht gilt allgemein für Websitebetreiber, welche personenbezogene Daten mittels ihrer Website erheben. Das TLS-Protokoll (Transport Layer Security) ist ein Sicherheitsprotokoll, welches auf SSL aufbaut.
Wird ein Kontaktformular genutzt, werden personenbezogene Daten nach Art. 4 Nr. 1 DS-GVO verarbeitet. Art. 32 Abs. 1 Buchst. a DS-GVO konkretisiert den Grundsatz der Integrität und Vertraulichkeit aus Art. 5 Abs. 1 Buchst. f DS-GVO. Art. 32 Abs. 1, Buchst. a DS-GVO legt fest, dass unter der Berücksichtigung vom Stand der Technik, der Implementierungskosten, Art, Umfang und Zweck der Verarbeitung, sowie Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen vom Website-Betreiber technische und organisatorische Maßnahmen getroffen werden müssen. Art. 32 Abs. 1 Buchst. a DS-GVO benennt ausdrücklich die Verschlüsselung personenbezogener Daten als eine solche technische Maßnahme.
Eine Verschlüsselung mittels eines SSL- oder TLS-Protokolls für Kontaktformulare auf Websites entspricht dem Stand der Technik und wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlen.
4. Jeder Kunde muss eine Einwilligung unterschreiben
Nein. Für die Verarbeitung der Daten von Kunden zum Zwecke eines Angebots oder eines Vertrags muss von ihnen keine Einwilligung eingeholt werden. Das Gesetz erlaubt die Verarbeitung zum Zwecke der Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen auch ohne Einwilligung. Die Kunden müssen aber bei der Erhebung ihrer Daten über die Verarbeitung ihrer Daten durch das Unternehmen/die Kanzlei informiert werden (hierzu mehr im 5. Mythos).
5. Es reicht, wenn ich meine Kunden mündlich darüber informiere, dass ich den Datenschutz einhalte!
Nein, das reicht nicht. Denn der Informationsumfang ist dafür einfach zu hoch. Nach Art. 12 DS-GVO muss der Betriebsinhaber geeignete Maßnahmen treffen, um der betroffenen Person alle Informationen zur Verarbeitung „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ zu übermitteln. Damit haben Kunden bzw. Mandanten einen Informationsanspruch bei Erhebung der Daten.
Art. 13 Abs. 1 DS-GVO regelt, welche Informationen mitgeteilt werden müssen. Falls die personenbezogenen Daten zu einem anderen als dem ursprünglichen Zweck weiterverarbeitet werden sollen, werden dem Betroffenen vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gem. Abs. 2 zur Verfügung gestellt. Die zuvor genannten Informationspflichten bestehen nicht, wenn und soweit der Betroffene bereits über die Informationen verfügt.
6. Eine Datenschutz-Verpflichtung für meine Mitarbeiter braucht es nicht, da dies bereits im Arbeitsvertrag steht
Jein! In den meisten Arbeitsverträgen findet sich ein Hinweis auf die Geheimhaltung. Meist ist er wie folgt formuliert: „Der Arbeitnehmer ist verpflichtet, für die Dauer der Beschäftigung absolute Geheimhaltung über den Arbeitsvertrag, seiner Vergütung, von Arbeits- und Kündigungszeiten sowie von Kündigungsfristen zu wahren. Gleiches gilt für alle Angelegenheiten und Vorgänge, die ihm im Rahmen seiner Tätigkeit zur Kenntnis gelangen, während und nach Beendigung des Arbeitsverhältnisses.“
Bei der Verpflichtung auf das Datengeheimnis geht es nicht nur um die im Arbeitsvertrag bestehenden Vorschriften zur Geheimhaltung. Eine Verpflichtung auf das Datengeheimnis geht noch viel weiter. Sie umfasst die Vertraulichkeit von betrieblichen Inhalten, Tätigkeiten und zu schützenden personenbezogenen Daten und Vorgängen – der Mandanten, Kunden, Bewerber und Beschäftigten.
§ 5 BDSG a. F. sah eine sogenannte „Verpflichtung auf das Datengeheimnis“ vor. Diese fehlt so explizit in der DS-GVO. Aber nach Art. 29 DS-GVO dürfen Beschäftigte eines Unternehmens personenbezogene Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten. Ausnahme: Eine gesetzliche Regelung schreibt eine Verarbeitung dieser Daten vor. Ergänzend dazu regelt Art. 32 Abs. 4 DS-GVO, dass der Verantwortliche oder Auftragsverarbeiter Schritte unternehmen muss, um sicherzustellen, dass ihm unterstellte Personen (insbesondere seine Beschäftigten), die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen oder Auftragsverarbeiters verarbeiten (es sei denn, eine gesetzliche Regelung schreibt eine Verarbeitung dieser Daten vor). Wie diese gesetzliche Verpflichtung umzusetzen ist, ist nicht verbindlich geregelt. Auch die Datenschutzkonferenz empfiehlt daher, dies in Form einer schriftlichen oder elektronischen Verpflichtungserklärung umzusetzen.
Der Kreis der zu verpflichtenden Personen (die DS-GVO spricht insoweit von „unterstellten natürlichen Personen“) ist weit auszulegen. Insbesondere sind ergänzend zum regulären Mitarbeiterstamm auch Auszubildende, Praktikanten, Leiharbeiter und ehrenamtlich Tätige mit einzubeziehen. Zur Verpflichtung gehört auch eine Belehrung über die sich ergebenden Pflichten.
Selbst wenn die DS-GVO keine bestimmte Form der Verpflichtung vorschreibt, sollte aus Nachweisgründen ein Formular verwendet werden. Dabei kann die Verpflichtung schriftlich oder in einem elektronischen Format erfolgen.
7. Einzelbetriebe brauchen keine Verarbeitungsverzeichnisse
Nein. Jeder Verantwortliche muss ein Verzeichnis seiner Verarbeitungstätigkeiten führen. Auch ein Betrieb, der nur aus einem Mitarbeiter besteht, muss ein Verzeichnis der Verarbeitungstätigkeiten führen, da er in der Regel nicht nur gelegentlich Daten verarbeitet.
8. Das Verarbeitungsverzeichnis muss auf die Website
Nein! Das Verarbeitungsverzeichnis bzw. „das Verzeichnis der Verarbeitungstätigkeiten“ muss nur gegenüber der Aufsichtsbehörde vorgelegt werden, damit die Verarbeitungsvorgänge anhand des Verzeichnisses kontrolliert werden können.
9. Der Datenschutzbeauftragte wird auf der Website benannt
Jein! Der Betriebsinhaber muss die Kontaktdaten des Datenschutzbeauftragten veröffentlichen. Dieses sollte unter anderem auf der Website erfolgen. Hierbei reicht es aus, wenn die Kontaktdaten genannt werden. Art. 37 Abs. 7 DS-GVO gibt nicht verpflichtend vor, dass auch der Name zu den zu veröffentlichenden Daten gehört.
In jedem Fall müssen die Kontaktdaten der Aufsichtsbehörde mitgeteilt werden. Die Mitteilung erfolgt über ein elektronisches Portal in einem automatisierten Meldeverfahren über die Aufsichtsbehörden der jeweiligen Länder. Soweit ersichtlich, haben alle Bundesländer (bis auf Niedersachsen; Stand 22.7.18) dieses bereits umgesetzt.
10. Bewerberdaten müssen immer sofort zurückgeschickt werden, sie dürfen nicht gespeichert werden
Nein, da nicht ausgeschlossen werden kann, dass es aufgrund einer Ablehnung durch den Personalverantwortlichen im Betrieb bzw. in der Kanzlei zu einem arbeitsgerichtlichen Verfahren nach dem AGG kommt. Werden diese Unterlagen sofort vernichtet, fehlen dem Personalverantwortlichen entscheidende Informationen. Grundsätzlich ist zu beachten, dass Bewerberdaten unter § 26 BDSG n. F. fallen. Bei der Speicherdauer sollte daher beachtet werden, dass diese maximal 4-6 Monate ab Zugang des Ablehnungsschreibens aufbewahrt werden dürfen und danach gelöscht werden müssen.