Das Verzeichnis der Verarbeitungstätigkeiten ist der Schlüssel

Das Verzeichnis der Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO ist der Schlüssel zur rechtskonformen Umsetzung der DSGVO in Unternehmen und Organisationen. Zu den Plichtangaben gehören:

  • Name und Kontaktdaten des für die Verarbeitung Verantwortlichen und ggf. des gemeinsam mit ihm
    Verantwortlichen, des Vertreters des Verantwortlichen sowie ggf. des Datenschutzbeauftragten,
  • der Zweck der Verarbeitung,
  • die Kategorien betroffener Personen und die Kategorien personenbezogener
    Daten,
  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt
    worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder
    internationalen Organisationen,
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine
    internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der
    betreffenden internationalen Organisation, sowie bei den in Art. 49 Absatz 1 Unterabsatz 2 DSGVO
    genannten Datenübermittlungen die Dokumentation geeigneter Garantien,
  • die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien,
  • eine allgemeine Beschreibung der technischen und organisatorischen
    Maßnahmen gemäß Art. 32 Absatz 1 DSGVO.

Es ist in schriftlicher Form zu dokumentieren und auf Verlangen den Aufsichtsbehörden vorzulegen.

Musterverzeichnisse für Kleinunternehmen und Vereine bietet das Bayerisches Landesamt für Datenschutzaufsicht unter folgendem Link.

In der Regel stoßen jedoch die Unternehmen und Organisationen bei der Erstellung des VVT auf folgende Probleme:

  1. Was genau ist eine Verarbeitungstätigkeit?
  2. Wer ist der jeweils Verantwortliche?
  3. Wo im Unternehmen finden Verarbeitungstätigkeiten statt?
  4. Mit welchem Detaillierungsgrad sind die Verarbeitungstätigkeiten zu dokumentieren?
  5. Wie sind die einzelnen Tätigkeiten gegeneinander abzugrenzen?
  6. Ab wann ist eine Datenschutzfolgeabschätzung durchzuführen?

Die viception GmbH & Co. KG  unterstützt Unternehmen und Organisationen bei der Umsetzung der DSGVO. Externer Datenschutzbeauftragter in Langenau, Ulm, Neu-Ulm, Heidenheim, Aalen, Memmingen, Günzburg und darüber hinaus.

 

Dr. Walter Gillner
Datenschutzbeauftragter (DEKRA)

Viception GmbH & Co. KG
Bahnhofstraße 8/1
89129 Langenau
info@viception.com
Tel. 07345| 8028550

Verpflichtungserklärung zum Datengeheimnis

Für die Umsetzung der DSGVO sind auch die Verschwiegenheitsvereinbarung und die Verpflichtungserklärung zum Datengeheimnis für Mitarbeiter anzupassen, sofern Sie mit personenbezogenen Daten in Kontakt kommen. Eine gute Vorlage hierfür hat die IHK Aachen bereitgestellt. Sie ist  unter folgendem Link zu finden:

Muster: Verpflichtungserklärung zum Datengeheimnis (Quelle: IHK Aachen)

und muss natürlich noch auf die individuellen Bedürfnisse des jeweiligen Unternehmens angepasst werden.

Aufklären, sensibilisieren, helfen

Unter diesem Motto prüft die Landesdatenschutzbeauftragte des Landes Niedersachsen, „wie gut sich die niedersächsischen Unternehmen bisher auf die seit dem 25. Mai geltende Datenschutzgrundverordnung (DS-GVO) eingestellt haben“.  Die Prüfung betrifft 20 große und 30 mittelgroße Unternehmen in Niedersachsen und soll auch Aufschluss darüber geben, wie die zukünftige Arbeit der Datenschutzbehörde gestaltet werden kann. Dieses teilte die Datenschutzbehörde in ihrer Pressemitteilung vom 29.06.2018 mit.

Der Fragenkatalog der Querschnittsprüfung betrifft folgende Punkte:

  • Vorbereitung auf die DS-GVO
  • Verzeichnis von Verarbeitungstätigkeiten
  • Zulässigkeit der Verarbeitung
  • Betroffenenrechte
  • Technischer Datenschutz
  • Datenschutz-Folgenabschätzung
  • Auftragsverarbeitung
  • Datenschutzbeauftragter
  • Meldepflichten
  • Dokumentation

 

Vieles resultiert aus Unwissenheit – die DSGVO und das „Blogsterben“

Auf der Blog-Plattform netzpolitik.org ist man kürzlich der Frage nachgegangen, wie sich die DSGVO auf den Betrieb kleiner Webseiten und Blogs auswirkt. Hierzu hat man einige Fragen gestellt, z.B. „Wann haben Sie das erste mal von der DSGVO gehört? Welche Unterstützung hätten sich vom wem gewünscht? Eine Zusammenfassung der durchaus interessanten und lesenswerten Erkenntnisse findet man im folgenden Blogbeitrag.

Vieles ist Unwissenheit

Fakt ist, das viele Blogger und Vereine ihre Seiten mit Stichtag 25.04.2018 vom Netz genommen haben. Vielfach ist dieses aus Verunsicherung geschehen. Bevor man sich dem Risiko eines möglichen Abmahnschreibens aussetzt, nimmt man die Seite lieber vom Netz. Nun ist es bei Bloggern so, dass sie sich häufig nicht mit den Hintergründen der Programmierung ihrer Website auseinandersetzen und es mangels technischer Kompetenz auch garnicht können. Frei verfügbare Werkzeuge und Tools wie WordPress (auch diese Seite ist mit WordPress gestaltet 😉 ) machen die schnelle und einfache Erstellung und Verwaltung eines Blogs für jeden zugänglich und erlauben es dem technisch unbedarften User, seine Meinung mit der Welt zu teilen.

Was aber im Hintergrund passiert und welche Daten anderer (dritter!) Dienste dabei benutzt werden ist für den Blogger nicht unbedingt transparent. Beim Laden dieser Dienste werden aber, wie schon beim Aufruf der eigenen Seite, IP-Adresse, Browsertyp, etc. an einen Dritten weitergegeben.

Somit steckt der Blogger als Verantwortlicher im Dilemma. Er müsste den Nutzer nach den Regeln der DSGVO über diese Weitergabe informieren und mit dem Drittanbieter einen Vertrag für Auftragsverarbeiter (VAV) abschließen.

Die einzig sinnvolle und mit der Datenschutzgrundverordnung konforme Lösung dieses Problems ist also die Ermittlung solcher Drittaufrufe, die daraus folgende Information des Nutzers in der Datenschutzerklärung und der Abschluss eines VAV oder die Eliminierung bzw. Verhinderung dieser Aufrufe  wie z.B. bei WordPress.

In beiden Fällen unterstützen wir Sie gerne als externer Datenschutzauftragter und mit der entsprechenden IT-Kompetenz.

 

 

Email-Verschlüsselung mit 7-Zip

Gemäß den Vorschriften der DSGVO gehört es zu den technischen und organisatorischen Maßnahmen, personenbezogene Daten gegen den Zugriff durch Unbefugte zu schützen. Für den Versand von E-Mails bieten sich hier openPGP oder s/MIME als sogenannte asymmetrische Verschlüsselungsverfahren an. Diese setzen allerdings voraus, dass sowohl Sender als auch Empfänger über ein entsprechendes Schlüsselpaar verfügen müssen, um den Austausch verschlüsselter Daten zu ermöglichen. Die Technologie dahinter ist für den Laien nicht sofort ersichtlich und es Bedarf in der Regel einer Schulung und etwas Installationssupport, um den Prozess zu etablieren.

Wer diesen Aufwand scheut und nur gelegentlich sensible Daten verschickt, der kann auf das Archivierungs- und Komprimierungswerkzeug 7-Zip (https://www.7-zip.org) zurückgreifen, welches eine Password-unterstützte Verschlüsslung der Daten auf Basis des AES-256-Standards bietet.

Die Bedienung ist mittels einer graphischen Oberfläche sehr intuitiv:

  • Man wählt lediglich die Dateien aus, die in ein Archiv gepackt werden sollen und gibt für die Verschlüsselung ein Password an.
  • Die erzeugte Datei packt man als Anhang in eine Email.
  • Dem Empfänger der Email lässt man das Password auf separatem Weg (Telefon/Brief/mündlich) zukommen
  • Mit dem erhaltenen Passowrd kann er dann das Archiv mit Hilfe des zuvor bei ihm installierten 7-Zip-Werkzeugs öffnen

 

 

 

 

 

 

Sind Verstöße gegen die DSGVO abmahnfähig?

Das Thema Abmahnungen bei Verstößen gegen die DSGVO wird hitzig diskutiert. Schon seit Mai kursiert ein Kommentar zum Prof. Dr. Helmut Köhler zum UWG („Köhler/Bornkamm/Feddersen“ – 36. Auflage 2018, § 3a Rn. 1.40a und 1.74b, Köhler)

 

„Die […] Datenschutz-Grundverordnung, VO (EU) 2016/679) enthält in den Art. 77 – 84 DSGVO (Kap. VIII Rechtsbehelfe, Haftung und Sanktionen) eine grds. abschließende Regelung (Ausnahme. Art. 80 II DSGVO). Verstöße gegen die DS-GVO können daher nicht nach § 3a verfolgt werden.

Auch und gerade unter Geltung der DS-GVO ist es daher ausgeschlossen, mittels einer Anwendung des § 3a [UWG] auch Mitbewerbern iSd 8 III Nr. 1 [UWG] eine Anspruchsberechtigung und Klagebefugnis nach § 8 I [UWG] zuzusprechen“

der auch schon auf einigen Websites in die Datenschutzerklärung eingebunden wird.

Der Rechtsanwalt und E-Commerce Rechtsexperte Dr. Carsten Föhlisch hat den Sachverhalt im

shopbetreiber-Blog.de

einer detaillierteren Betrachtung unterzogen

Fazit: Verstöße gegen die DSGVO sind wahrscheinlich nur in den wenigsten Fällen abmahnfähig. Eine in rechtlicher Hinsicht belastbare Aussage ist das natürlich nicht.  Der erste Schritt im Falle einer Abmahnung ist auf jeden Fall der Weg zum fachkundigen Anwalt.

 

Let’s Encrypt populärstes Verschlüsselungszertifikat

Nach Informationen der Webseite www.nettrack.info liegt der Anteil der mit Let’s Encrypt verschlüsselten Webseiten nach wie vor steigend bei mittlerweile mehr als 48% der untersuchten Webseiten.

Relativ neu ist, dass das freie Let’s Encrypt Zertifikat seit März auch als Wildcard-Zertifikat zu Verfügung steht, womit sich nun auch mehrere Subdomains mit nur einem Zertikat handeln lassen.

 

 

WordPress DSGVO konform?

Bekanntermaßen wird WordPress von vielen privaten als auch professionellen Content-Providern zu Erstellung Ihrer Webseite benutzt. Allerdings ist es nicht ganz trivial die Seite dann auch DSGVO-konform zu gestalten bzw. die Einhaltung zu gewährleisten.

Wer sich in seinem Browser einmal den Quelltext seiner Webseite ansieht, wird schnell feststellen, das beim Aufbau der Seite externe Quellen benutzt werden. Dieses ist allerdings nach DSGVO nicht zulässig, ohne erstens den Besucher der Seite darüber in Kenntnis zu setzen (Informationspflichten) und zweitens ggf. mit dem Drittanbieter einen Vertrag zur Auftragsverarbeitung abzuschließen.

Nicht zuletzt Bedarf die Weitergabe personenbezogener Daten an Dritte (also hier die IP-Adresse) einer Rechtsgrundlage. Letzteres dürfte sich bei einem beliebigen Besucher einer WEbseite als schwierig erweisen.

Es hilft also nur solche Aufrufe zu verhindern:

1. Abschalten von Avataren unter Einstellungen->Diskussionen

2. Entfernen des Eintrages

1
<link rel="profile" href="http://gmpg.org/xfn/11" />

in der header.php

Einfügen folgender Befehle in dem Theme-Funktionen (functions.php)

1
2
3
4
5
6
7
remove_action( ‚wp_head‘, ‚print_emoji_detection_script‘, 7 );
remove_action( ‚wp_print_styles‘, ‚print_emoji_styles‘ );
remove_action( ‚wp_head‘, ‚wlwmanifest_link‘ );
remove_action( ‚wp_head‘, ‚wp_generator‘ );
remove_action( ‚wp_head‘, ‚rsd_link‘ );
remove_action( ‚wp_head‘, ‚adjacent_posts_rel_link_wp_head‘, 10 );
remove_action(‚wp_head‘, ‚wp_resource_hints‘, 2);

Entfernen von https://api.w.org/  (Veweis auf REST-API im Header)

1
2
3
4
5
function remove_api () {
remove_action( 'wp_head', 'rest_output_link_wp_head', 10 );
remove_action( 'wp_head', 'wp_oembed_add_discovery_links', 10 );
}
add_action( 'after_setup_theme', 'remove_api' );

Für die lokale Installation benötiger Google Fonts sei hier auf folgender Seite bei WP-Ninjas verwiesen

Wie du in WordPress Google Fonts DSGVO konform einbaust

Nicht zuletzt soll nicht unerwähnt bleiben, das natürlich auch der Aufruf eines externen CookieConsent-Skripts eine unzulässige Weitergabe von Daten Dritte darstellt. Das bedeutet, dass auch dieses Skript lokal zu halten ist.

 

DSGVO – das geht vorbei … !?

Den 25.05. 2018 haben wir nun erfolgreich hinter uns gebracht und „Oh Wunder!“ es standen nicht sofort die Aufsichtsbehörden oder ein Abmahnverein vor der Tür ….

Nichtsdestotrotz ist gehört die Umsetzung und Einhaltung der Datenschutzgrundverordnung nun zum Pflichtprogramm jeder Organisation, die mit personenbezogenen Daten zu tun hat.

Nicht alles wird sofort umsetzbar sein, umso mehr gilt es zu zeigen, das man willens und auf einem gut Weg ist. Einer der wichtigsten Punkte mit hoher Priorität ist wohl der Verzeichnis der Verarbeitungstätigkeiten (VVT), gefolgt von den technischen und organisatorischen Maßnahmen (TOM).

Die Umsetzung dieser beiden Punkte setzt voraus, das man sich bewusst macht, ob und an welcher Stelle im Betrieb oder der Organisation mit personenbezogenen Daten umgegangen wird.

Dr. Walter Gillner

Datenschutzbeauftragter (DEKRA)