Am 25. Mai 2018 trat die neue europäische Datenschutz-Grundverordnung (EU-DSGVO) europaweit verbindlich in Kraft. Ziel ist die Vereinheitlichung des europäischen Datenschutzrechtes sowie eine Stärkung des Rechts auf informationelle Selbstbestimmung der Bürger. Denn die neue Verordnung stärkt das Recht auf den Schutz personenbezogener Daten und gibt den Datenschutzbehörden zahlreiche rechtliche Möglichkeiten, Verstöße mit empfindlichen Bußgeldern zu ahnden. Was bedeute die DSGVO für den Datenschutz bei PLUTEX?
Was ist neu in der DSGVO?
Neu im Vergleich zu den bisher geltenden Regelungen des Bundesdatenschutzgesetzes sind die neuen Transparenz- und Informationspflichten der Unternehmen, die für einen deutlich stärkeren Schutz der Betroffenen sorgen. Betroffene können jederzeit Auskunft verlangen, welche personenbezogenen Daten erhoben werden, für welchen Zweck und wie lange sie aufgehoben werden. Die Betroffenen haben das Recht, jederzeit die Löschung oder die vollständige Herausgabe ihrer Daten, z. Bsp. für einen Anbieterwechseln, zu verlangen. Unternehmen sind verpflichtet, dieser Auskunftspflicht in verständlicher, einfacher Sprache zeitnah nachzukommen. Dafür empfehlen die Datenschutzbehörden den Unternehmen ein Daten-Verarbeitungsverzeichnis anzulegen, in welchem alle Verarbeitungstätigkeiten mit personenbezogenen Daten dokumentiert sind. Dieses Verzeichnis ist den Datenschutzbehörden auch auf Anfrage vorzulegen. Kommen Unternehmen ihrer Auskunftspflicht nicht nach, können die Bürger dies den Datenschutzbehörden melden. Diese sind verpflichtet, bei festgestellten Verstößen, Bußgelder zu verhängen.
Für viele Unternehmen in europäischen Nachbarländern ist zudem die Pflicht, einen Datenschutzbeauftragten zu bestellen, neu. Das Modell Datenschutzbeauftragter ist in Deutschland seit langem bekannt und viele Unternehmen haben bereits jetzt einen Datenschutzbeauftragten.
Datenschutz bei PLUTEX: Was heißt die neue Datenschutzgrundverordnung (DSGVO) für PLUTEX?
Aufgrund dem strengen deutschen Bundesdatenschutzgesetz sowie unseren bisherigen Maßnahmen zum Datenschutz und zur Informationssicherheit im Rahmen der jährlichen TÜV-Süd-Zertifizierungen sind bei PLUTEX bereits seit Jahren eine Reihe der in der DSGVO geforderten Maßnahmen umgesetzt: Wir haben bspw. einen Datenschutzbeauftragten und dokumentierten auf standardisierte Art und Weise, welche Daten wir wofür erheben und wann diese gelöscht werden. Dennoch haben wir die DSGVO zum Anlass genommen, unsere Prozesse, in denen personenbezogene Daten erhoben werden, grundlegend zu überprüfen und kritisch zu hinterfragen. Dabei haben wir uns folgende Fragen gestellt und entsprechende Maßnahmen ergriffen und dokumentiert:
1. DSGVO und Datenschutz bei PLUTEX: Bei welchen Prozessen werden personenbezogene Daten erhoben und verarbeitet?
Das ist bei uns:
- in unserem Kundenmanagementsystem zur Abwicklung der Kauf-/Serviceverträge und Rechnungen
- im Ticketsystem unseres Supportteams, wo Kundenanfragen ankommen
- in den Logfiles unserer Server
- bei der Zutrittskontrolle zum Rechenzentrum
- Überwachungskameras
- auf unserer Website, wenn ein Benutzeraccount angelegt wird
- bei der Bestellung/ Registrierung bestimmter Produkte und Services wie beispielsweise Domains oder SSL-Zertifikate
- in den Personalakten unserer Mitarbeiter
2. Müssen wir gegebenenfalls Daten anonymisieren?
Die Erfassung von IP-Adressen in Server-Log-Files sowie durch google analytics auf unserer Website geschieht bei Plutex bereits anonymisiert. Damit diese Daten nicht bestimmten Personen zu zu ordnen sind, wird bei der Speicherung das letzte Oktett der IP-Adresse entfernt.
Auf unserer Website setzen wir bewusst keine Social-Media-Buttons von Facebook und Twitter ein, sondern verlinken lediglich per html-code auf unsere Facebook- und Twitterseite. Denn wir können nicht im Detail sicherstellen, 1. welche Daten Social-Media-Buttons sammeln (auch wenn sie noch gar nicht angeklickt wurden) und 2. können wir nicht eine DSGVO-konforme Weiterverarbeitung der Daten durch Facebook und Co. garantieren.
3. Wie lange werden die Daten vorgehalten — Wann werden sie gelöscht?
Laut DSGVO müssen personenbezogene Daten sobald ihr Erhebungszweck erfüllt ist, gelöscht werden. Wir haben deshalb im Detail für alle personenbezogenen Daten dokumentiert, wie lange wir diese aufheben. Beispielsweise werden alle Server-Log-Dateien nach 7 Tagen automatisch gelöscht; das Material der Überwachunsgkameras wird 30 Tage gespeichert, während z.Bsp. Rechnungsanschriften gemäß den gesetzlichen Vorgaben 10 Jahre aufgehoben werden.
4. Anlegen eines Verzeichnis der Datenerhebung
Mit in Kraft Treten der DSGVO müssen die Unternehmen ihrer Dokumentations- und Auskunftspflicht explizit nachkommen: In einem „Verarbeitungsverzeichnis“ muss dokumentiert werden, welche Daten für welchen Zweck erhoben und verarbeitet werden. Bei Anfrage der Datenschutzbehörde muss dieses Verzeichnis vorgelegt werden. Eine Vorlage findet sich auf der Website der Bremer Datenschutzbeauftragten.
Die Art der erhobenen Daten, Zweck und Speicherzeitraum sind bei uns bereits dokumentiert. Aktuell arbeiten wir in unserem internen Wiki an einen “Plutex-spezifischen” Verarbeitungsverzeichnis in dem wir alle Prozesse, in denen personenbezogene Daten erhoben werden, zentral dokumentieren.
5. Überarbeitung der Rechtstexte und Emailvorlagen (da ausführliche Informationspflicht den Kunden, Nutzern und Websitenbesuchern gegenüber)
Die Einführung der DSGVO haben wir zum Anlass genommen, auf unserer Website die Datenschutzbestimmungen, die AGBs und das Impressum zu überprüfen und zu aktualisieren. Außerdem haben wir all unseren Kunden einen aktualisierten Vertrag zur Datenverarbeitung zugesendet. Auch unsere Emailvorlagen sind mit entsprechenden Hinweisen zur neuen DSGVO versehen.
6. Bei Datenerhebung explizite Einwilligung der Betroffenen einholen
Laut der DSGVO brauchen Unternehmen, um ihrer Nachweispflicht genüge zu tun, eine dokumentierte Einwilligung der Betroffenen. Deshalb ist an all unsere Kunden ein aktualisierter Vertrag zur Datenverarbeitung gesendet, verbunden mit der Bitte diesen unterschrieben an uns zurück zuschicken.
7. Mitarbeiterschulung
Eine Mitarbeiterschulung zur konkreten Handhabung der neuen DSGVO ist aus unserer Sicht ein ganz wesentlicher Punkt, um bei allen Mitarbeitern die notwendige Sensibilität und das Wissen im Umgang mit personenbezogenen Daten sicherzustellen. Jeder Mitarbeiter sollte wissen, wie DSGVO-konform Emails weitergeleitet werden oder personenbezogene Daten abgelegt werden — zum Beispiel keine geschäftlichen Kontakte auf einem privat genutzten Smartphone abspeichern. Außerdem sollten Mitarbeiter über folgende Punkte informiert sein:
- Was ist zu tun, bei einer Auskunfts-Anfrage von Betroffenen
- Was ist zu tun bei einer Anfrage der Datenschutzbehörde
- Wer ist der Datenschutzbeauftragte in meinem Unternehmen und wie ist dieser zu erreichen
- Was ist bei Datenpannen zu tun — denn bei Datenpannen haben Unternehmen innerhalb von 72 Stunden eine Meldepflicht an die Datenschutzbehörde sowie eine sofortige Meldepflicht an den Betroffenen.
Weiterführende Informationen zur DSGVO und Datenschutz bei PLUTEX
- Mehr Infos zur DSGVO auch hier
- Vorlage „Verarbeitungsverzeichnis“ auf der Website der Bremer Datenschutzbeauftragten
- Kontakt Datenschutzbeauftragter bei PLUTEX: Haye Hösel, Email: datenschutz@plutex.de, Telefon: +49 421 40899490
- Datenschutzbestimmung und Datenschutzerklärung PLUTEX
- TÜV Süd-Zertifizierungen für Informationssicherheit und Qualitätsmanagement