Deutscher Schaustellerbund e.V.

die Berufsspitzenorganisation für das Schaustellergewerbe




Neue Datenschutzgrundverordnung (DSGVO): Was Schausteller beachten müssen

Die neue EU-Datenschutzgrundverordnung und auch eine neue Fassung des Bundesdatenschutzgesetzes (BDSG) werden ab dem 25. Mai 2018 in Kraft treten. Damit sollen die Datenschutz-Rechte für die EU-Bürger vereinheitlicht – vor allem aber weiter gestärkt werden. Wir wollen die Kernpunkte dieses umfassenden Regelwerkes – zu dem es im Alltag natürlich noch keinerlei praktische Erfahrungen geben kann – an dieser Stelle vorstellen.

Für wen gilt die DSGVO?

Die DSGVO gilt für alle Unternehmen, ganz egal welcher Größe, die personenbezogene Daten (beispielsweise von Arbeitnehmern, Kunden, Lieferanten, sonstigen Vertrags- oder Ansprechpartnern) mit Hilfe von Computern und Smartphones verarbeiten.

Sie gilt auch für Vereine und Verbände, denn auch sie verarbeiten mit ihren Mitgliederlisten, Beitragskonten oder Mailinglisten personenbezogene Daten wie beispielsweise Namen, Anschriften, Telefonnummern und E-Mail-Adressen.

Die DSGVO stärkt die Rechte für natürliche Personen, deren Daten verarbeitet werden:

  • Recht auf Vergessenwerden (Recht auf Löschung): Sie müssen die gespeicherten Daten einer Person umgehend komplett löschen, wenn diese es wünscht – es sei denn, gesetzliche Aufbewahrungspflichten sprechen dagegen (dies gilt ebenso für alle folgenden aufgeführten Punkte, die eine Löschung der Daten betreffen).

  • Informationspflicht des Unternehmens/des Verbandes, welche Daten wo und seit wann gespeichert werden: Sie müssen der Person, deren Daten Sie gespeichert haben, Auskunft darüber geben, an welcher Stelle und für welchen Zweck Sie die Daten speichern und angeben, bis zu welchem Zeitpunkt Sie die Daten verwenden. Es empfiehlt sich daher, eine Dokumentation der Datenbestände anzufertigen.

  • Die Daten müssen inhaltlich und sachlich richtig sowie aktuell sein: Die Person, deren Daten Sie gespeichert haben, hat ein Recht darauf, dass ihre Daten umgehend aktualisiert werden, falls sie veraltet sind.

  • Sie dürfen nur die und so viele Daten erheben und verarbeiten, wie Sie tatsächlich benötigen und diese auch nur für den Zeitraum speichern, in dem Sie die Daten benötigen: Tritt beispielsweise ein Mitglied aus Ihrem Verband aus, so müssen Sie dessen Daten löschen, da Sie die Daten nicht mehr für die Verbandsarbeit benötigen. Außerdem dürfen Sie nur die Daten erheben und speichern, die Sie bspw. für die Verwaltung der Mitglieder benötigen.

  • Sie dürfen die Daten zudem nur zu dem Zweck verarbeiten, für den Sie diese erhoben haben: Als Verband dürfen Sie z.B. die Kontaktdaten der Mitglieder verarbeiten, um diese z.B. über die Neuigkeiten des Verbandes zu informieren, ihnen Rechnungen zukommen zu lassen oder sie zu Mitgliederversammlungen einzuladen. Die Verarbeitung dieser Daten ist dann zweckgebunden.
    Zu darüber hinaus gehenden Zwecken dürfen Sie personenbezogene Daten nur mit einem (schriftlichen) Einverständnis der betroffenen Person verarbeiten.

Was müssen Sie zukünftig beachten?

Da die EU-DSGVO jetzt auch eine Rechenschaftspflicht vorsieht, müssen Unternehmen und Vereine auf Aufforderung der Aufsichtsbehörde die Einhaltung aller Datenschutzprinzipien nachweisen können. Darüber hinaus kann jede Person, von dem das Unternehmen oder der Verein Daten verarbeitet, Einsicht in die gespeicherten Daten verlangen.

Zentrale Fragen, die sich jeder Unternehmer und jeder Vorstand stellen muss:

  • Welche Daten erheben wir von wem – und wofür brauchen wir sie?
  • Wer kann auf diese Daten zugreifen?
  • Wie werden diese Daten gespeichert?
  • Wo werden diese Daten überall gespeichert?
  • Wie lange werden diese Daten gespeichert?

Die Antworten auf diese Fragen werden in einem Datenschutzkonzept zusammengefasst und bei Nachfragen der Datenschutzbehörden oder einer betroffenen Person, die Einsicht in die von ihr gespeicherten Daten verlangt, vorgelegt.

Verzeichnis von Verarbeitungstätigkeiten nach DSGVO:

Ein sogenanntes Verarbeitungsverzeichnis muss nicht geführt werden, wenn das Unternehmen unter 250 Mitarbeitern hat und wenn personenbezogene Daten nur gelegentlich verarbeitet werden. Gleichwohl ist es sehr empfehlenswert, weil es im Krisenfall den Nachweis darüber erleichtert, dass datenschutz-konform gearbeitet wurde. Vor allem bei Verbänden, die kontinuierlich Veranstaltungen, wie z.B. Mitgliederversammlungen durchführen, dürfte eine regelmäßige Verarbeitung vorliegen. In diesem Fall ist ein Verarbeitungsverzeichnis Pflicht.

In diesem Verarbeitungsverzeichnis müssen sämtliche Prozesse, die im Zusammenhang mit der Verarbeitung von personenbezogenen Daten bestehen, aufgeführt und genau beschrieben werden. Musterbeispiele für Verarbeitungsverzeichnisse finden Sie in dem untenstehenden Informationskasten.

Website:

Ihre Website muss im Impressum eine Datenschutzerklärung enthalten!

Darüber hinaus müssen Websites mit einem HTTPS-Protokoll verschlüsselt sein (Hyper Text Transfer Protocol Secure). Es handelt sich dabei um das Protokoll für die Übertragung von Website-Daten im Internet vom Server zum Browser, das im Gegensatz zu HTTP diese Daten verschlüsselt überträgt. Man kann es daran erkennen, dass im Adressfenster des Browsers ein Schloss angezeigt wird. Die Adresse der verschlüsselten Website beginnt außerdem mit „https“. Hier ist es ratsam, Kontakt mit Ihrem IT-Dienstleister aufzunehmen.

Auftragsverarbeitung:

Falls personenbezogene Daten durch sog. Auftragsverarbeiter bearbeitet werden, müssen diese Auftragsverarbeiter sicherstellen, dass die Verarbeitung der Daten DSGVO-konform erfolgt. Beispiele für Auftragsverarbeiter sind Steuerberater, Dienstleister, die sich extern um die Lohn- oder Gehaltsabrechnung kümmern, aber auch der IT-Dienstleister der Unternehmenswebsite, Fotografen oder Druckereien, die Sie beauftragen. Ab dem 25. Mai muss ein Vertrag zur Auftragsverarbeitung vorliegen, in dem Dauer, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen sowie die Pflichten und Rechte des Verantwortlichen festgeschrieben sind. Falls Sie also bereits mit einem Auftragsverarbeiter zusammenarbeiten, muss der bereits bestehende Vertrag an die neuen Vorgaben angepasst werden. Sprechen Sie hierzu Ihre Vertragspartner/Dienstleister (z.B. Ihren Steuerberater) an.

Technische und organisatorische Maßnahmen:

Die DSGVO schreibt vor, dass Unternehmen und Verbände technische und organisatorische Maßnahmen zum Schutz von Daten treffen müssen. Um diese Maßnahmen umzusetzen, ist es sinnvoll, sich in einem ersten Schritt Fragen wie die folgenden zu stellen:

  • Sind die Akten und auch die Computer, Tablets, Smartphones und USB-Sticks, die personenbezogene Daten enthalten, verschlossen und gegen Diebstahl gesichert? Können sich Ihre Arbeitnehmer, Vertragspartner, Dienstleister darauf verlassen?

  • Werden regelmäßig Updates des Computersystems und des Virenschutzprogrammes durchgeführt, ist der Rechner passwortgeschützt?

  • ·Werden regelmäßig Back-ups erstellt und so aufbewahrt, dass Sie bei Brand oder Diebstahl in der Lage sind, die Daten kurzfristig wieder herzustellen?

Brauche ich einen Datenschutzbeauftragten?

Erst ab 10 Personen, die ständig mit der automatisierten Datenverarbeitung beschäftigt sind, muss ein Datenschutzbeauftragter bestellt werden.

Mitteilungspflicht bei Verletzungen:

Über eine Datenverletzung (z.B. Verlust von Rechner, Laptop oder USB-Stick, auf dem personenbezogene Daten gespeichert wurden) müssen die betroffene Person und die Datenschutzbehörde innerhalb von 72 Stunden informiert werden.

Höhere Bußgelder bei Verstößen:

Eine bedeutende Neuerung zum alten Bundesdatenschutzgesetz sind die beträchtlichen Bußgelder und Strafen, die in der DSGVO vorgesehen sind. Bisher haben die Datenschutzbehörden Verstöße gegen den Datenschutz eher marginal bestraft. Dies wird sich jedoch mit der Einführung der neuen Verordnung ändern: Die DSGVO sieht Bußgelder bei Missachtung der Verordnung vor, die wirksam, verhältnismäßig und vor allem abschreckend sein sollen.

Weiterführende Informationen

Eine kurze und verständliche Übersicht zu dem Thema liefern u.a. die folgenden Leitfäden:

Für Vereine und Verbände:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg unter dem Link: https://www.baden-wuerttemberg.datenschutz.de/ds-gvo/

Das Bayerische Landesamt für Datenschutzaufsicht und Thomas Kranig:

Erste Hilfe zur Datenschutz-Grundverordnung für Unternehmen und Vereine: Das Sofortmaßnahmen-Paket

(als Taschenbuch erhältlich)

Für Unternehmen, die in der reisenden Gastronomie tätig sind empfiehlt sich der Leitfaden des Deutschen Hotel- und Gaststättenverbandes e.V. (DEHOGA Bundesverband):

Zu beziehen über: https://www.dehoga-shop.de/

Um vor allem kleine und mittelständische Unternehmen besser zu informieren, hat die EU-Kommission eine Infografik zur neuen DSGVO online gestellt, die Sie unter dem folgenden Link finden: http://ec.europa.eu/justice/smedataprotect/index_de.htm