Bild-von-Bruno-Wildhaber-zum-Thema-DSGVO

Wichtiges über die neue Datenschutzverordnung der EU / DSVGO

Um was geht es bei der neuen Datenschutzverordnung der EU eigentlich? Warum wurde diese ausgearbeitet und wen wird es betreffen? Hier beantworten wir die wichtigsten Fragen, sowie die wichtigsten Punkte die zu beachten sind.

Wichtig zu wissen ist, dass die Datenschutzverordnung DSVGO bereits seit dem 21. Mai 2016 existiert, aber die Übergangszeit für die Implementierung am 25. Mai 2018 endet. Bis dann müssen Firmen dies umgesetzt haben. Es wird viel Wind um das Thema gemacht. Das liegt darin, dass zum einen hohe Strafen bei Verletzungen anstehen und zum anderen eine sehr grosse und umfangreiche Gesetzesausarbeitung ist.

Bild-von-Bruno-Wildhaber-zum-Thema-DSGVO

Bild Copyright von Bruno-Wildhaber zum Thema-DSGVO

Die grössten und wichtigsten Änderungen im Überblick

Die grösste Änderung ist, das ALLES verboten ist, was nicht explizit erlaubt wurde in der neuen Verordnung.

Persönliche Daten sollen besser geschützt werden

Die Bearbeitung von Daten wurde besser geregelt. Jeder Zugriff auf die Daten, ausser das betrachten und vergessen, ist neu als Bearbeitung anzusehen. Weiter wurde das Recht auf die Datenauskunft erweitert. Es steht jeder Person zu, eine Auskunft über die gespeicherten Daten zu verlangen inkl. dem Nachweis wann und woher diese erworben wurden. Zusätzlich können Personen die Löschung der Daten beantragen. Selbstverständlich sind Firmen verpflichtet gewisse Daten aufzubewahren. In diesem Zusammenhang müssen Daten zwar weiterhin Aufbewahrt werden, aber nicht für die weitere Verarbeitung genutzt werden. Es ist jedoch klar, dass nicht alle Daten unter diese Aufbewahrungspflicht fallen und gelöscht werden müssen.

Innerhalb eines ERP’s kann die Lösung von Personendaten bez. Rechnungen etc. nicht durchführbar sein. Dennoch muss man sicherstellen können, dass diese Daten nicht für die weitere Datenverarbeitung genutzt werden. Parallel müssen Daten, welche nicht zum reinen Zweck der Auftragsverarbeitung gesammelt werden, jederzeit restlos entfernt werden können. Dies betrifft nicht nur das Live System, sondern auch Backups oder archivierte Daten.

Besonders schützenswerte Daten (wie Süchte, Religion, Politische Gesinnung, Persönliches) dürfen nur gespeichert werden, denn dies absolut zwingend ist für die Zusammenarbeit (z.B. bei Suchtberatung etc.). Anderenfalls dürfen diese Daten nicht mehr gesammelt werden.

Rechtlich ist dies das Legalitätsprinzip. Die Verarbeitung von Personendaten ist verboten, solange keine Legalität (absoluter gesetzlicher Zwang) dazu vorhanden ist.

Erhöhter territorialer Anwendungsbereich

Generell geht es darum, dass Firmen im Ausland sich an das Europäische Gesetz halten müssen, sofern diese mit Personen aus dem EU Raum handeln. Somit können Firmen in fremden Ländern vor EU Gericht verurteilt werden, wenn diese die lokal gesetzlichen Bestimmungen nicht einhalten.

Auf Deutsch: Eine Schweizer Firma verkauft an deutsche Personen Waren. Die Schweizer Firma muss sich an deutsche Gesetzte halten, anderenfalls muss die Firma vor Deutschland vor Gericht und kann nach deutschem Recht verklagt werden!

Strafen

Strafen bei Verletzungen sind auf 4% Jahresumsatz oder max. 20 Mio. definiert. In der Schweizer Datenschutzbestimmung  gibt es Bussen bis max 250’000 CHF. Die Schweizer Datenschutzverordnung ist aktuell erst im Entwurf und folgt frühestens im August 2018. Jedoch werden 80-90% der Schweizer Firmen, die mit Export zu tun haben nicht wirklich tangieren, da diese zusätzlich unter der EU Richtlinie stehen.

Wie weiss ich dass ich DSGVO compliant bin?

Findet raus, wo eure Daten sind und wem diese zur Verfügung gestellt werden!

Generell ist als aller wichtigsten Punkt zu wissen: Wo sind meine Kundendaten gespeichert? Sind diese in einer Cloud Umgebung? Wo liegt der Speicherplatz der Daten, wo die Backups? Hat diese Firma wiederum einen dritt Anbieter, welche Dienstleistungen erbringt? Wo werden diese Daten überall verarbeitet?

Durchgängige Transparenz ist nicht eine Anforderung, sondern eine Pflicht!

Diese Frage ist einfach zu beantworten, hoffentlich?

Zum Beispiel mit unserer Firma:

web updates kmu GmbH bezieht keinerlei externe Dienstleistungen:

  • ERP System wird auf der eigenen Infrastruktur betrieben und ist nur im internen Netzwerk erreichbar (nicht über das Internet).
  • Serverdaten liegen in der Schweiz und die komplette Infrastruktur wird von wuk.ch selbst betrieben. Die einzige Drittfirma in diesem Zusammenhang ist die Internetanbieter, über welchen Daten transportiert werden. Alle Personendaten (z.B. von Shops) werden verschlüsselt übertragen und sind nicht einsehbar von dem Internetanbieter.
  • Backupumgebung: Wird von wuk.ch selbst betrieben und die Daten werden verschlüsselt zwischen den Systemen über den AES-128 Standard übertragen.

Soweit sind Firmen also sehr sicher, da wuk.ch keine Drittfirmen beauftragt, was korrekt ist.

Wie schnell es jedoch kompliziert werden kann, zeigt ein Beispiel von einem Shop Kunden auf der Umgebung von wuk.ch:

Der Shop Anbieter hat eine PayPal Integration. Der Kunde hostet auf unserer Hosting Umgebung und ist soweit sicher, jedoch beim Bezahlungsvorgang werden Kundendaten von wuk.ch an PayPal zur Verfügung gestellt, um die Bestellung zu verarbeiten. Hierzu zählen die unbedenklichen Daten wie Rechnungsbetrag und Artikel, aber auch die Lieferadresse und Namen der Person. Diese Daten fallen unter die Datenschutzverordnung! Diesem Vorgang zufolge müsste PayPal klar auch DSGVO unterstützen. Hierbei reicht es nun nicht, wenn der Kunde “glaubt” dass der Anbieter die DSGVO unterstützt, sondern ist verpflichtet, dies nachweislich beweisen zu können. Falls der Anbieter dies nicht unterstützt, kann der Anbieter verklagt werden.

Nun könnte man denken: PayPal wird dies machen müssen. Richtig! Amerika hat aktuell ein wenig Panik deswegen. Doch wie sieht dies aus mit dem Patriot Act? Hierbei kann Amerika jederzeit die Datenherausgabe von amerikanischen Firmen erzwingen. Kann Paypal nun wirklich für die Datensicherheit garantieren? Also wird man sich in Zukunft gut überlegen müssen, welchen Zahlungsanbieter man einbinden will. Es macht dann gegebenenfalls grösseren Sinn, wieder auf andere Dienstanbieter aus dem EU Raum zuzugreifen, um sich selbst in Rechtssicherheit  zu wiegen und genau hier wird verständlich, warum amerikanische Firmen aktuell Panik schieben. Das Risiko, dass ihre Marktanteile daher zwangsläufig verfliegen, ist ein grosses Risiko.

Nochmals: Durchgängige Transparenz ist nicht eine Anforderung, sondern eine Pflicht!

Stellt sicher, dass ihr 100% alle Orte kennt, wo die Personendaten verarbeitet werden. Ladet ihr Kundendaten auf ein Newsletter Portal? Fragt an, wo diese Daten gespeichert werden und welche Drittanbieter die Daten auch einsehen können und so weiter. Je mehr Cloud-Dienste, desto schwieriger. Kennt ihr nicht den kompletten Pfad, ist dies eure Schuld, nicht die von eurem Anbieter! Lasst euch von euren Anbietern daher schriftlich versichern, dass diese das Gesetz einhalten, dann könnt ihr diese in die Pflicht nehmen, sonst nicht.

Könnt ihr die Kundendaten wirklich löschen?

Könnt ihr Daten komplett löschen? Was passiert wenn diese in einem CRM System gelöscht werden? Werden diese nur ausgeblendet oder wirklich in den entsprechenden Datenbanken gelöscht? Wie werden Backups von den Daten bereinigt?

Welche Daten können und müssen gelöscht werden, was passiert mit den Daten welche nicht gelöscht werden dürfen? Wie stellt ihr sicher, dass diese im rechtlichen Zusammenhang abrufbar sind, aber keine weitere oder neuere Verarbeitung stattfindet?

Wenn ein Kunde die Löschung der Kundendaten beantragt, muss zum Beispiel sein Geburtsdatum, was nichts zu Bestellungen zu tun hat gelöscht werden (wobei man generell sowieso keine Erlaubnis mehr hätte dies zu speichern). Die Kundendaten und Historie müssten archiviert werden. Bestellt dieser Kunde 3 Jahre später, darf man nicht versehentlich den Kunden wieder reaktivieren, sondern er müsste ein neues “sauberes” Kundenkonto erhalten. Wurde der Kunde gelöscht, oder ist dieser nur deaktiviert worden, weil er lange nicht bestellt hat? Grosse Unterschiede in der Datenverarbeitung.

Als kleine Hinweis: Wünscht eine Person die Löschung mit oder nur einer Übertragung der persönlichen Daten von eurer Firma zu einer anderen Firma, müsst ihr die komplett gesammelten Daten übergeben. Personen haben das Anrecht darauf. Wenn dann auch noch Daten enthalten wären, welche nicht sein sollten… Denkt daran, wenn ihr im CRM das Journal zu Kundenbesuche etc. befüllt.

Natürlich sollte man sich von Grund auf überlegen, welche Daten man sammelt. Ein kleines Video, um die Problematik zu erklären (von KRM Bruno Wildhaber, Informationsgovernance.ch):

Sind euch die IT Risiken bekannt und das Vorgehen bei einem Schadensfall?

IT Risiken können nicht auf null reduziert werden. Wie werden mit IT Risiken umgegangen. Wie wird kommuniziert im Fall eines Daten Gau? Die Pflicht in der neuen Verordnung rät zu einer Kommunikation an die Behörden innerhalb der ersten 72 Stunden, wenn eure Firma mehr als 250 Personendaten verwaltet.

Dies ist nicht nur extrem schwer sondern auch fast unmöglich einzuhalten. Zum Glück wird der Zeitraum mit “möglichst in 72 Stunden” beschrieben. Dennoch sollte man ein Monitoring haben, die Risiken genau kennen und auch das Vorgehen dokumentiert haben für den Fall, dass etwas auftritt.

Zusammenfassung

Die Verarbeitung von Personendaten wird grundsätzlich geändert: Alles was nicht explizit erlaubt ist, ist Verboten! Verantwortung kann nicht abgewälzt werden, es ist jeder Firma ihre Schuld, wenn Personendaten strafrechtlich von Drittfirmen verarbeitet werden, weil dies nicht abgeklärt wurde. Klärt ab, wie Daten gespeichert werden und welchen Firmen dies alles zur Verfügung gestellt werden (im kompletten Prozess) und denkt an Drittfirmen, welche hinter eurem Dienstanbieter stehen. Stellt sicher, dass die Löschung der Daten nach gesetzlichen Vorschriften erfolgt, sofern dies von Personen verlangt wird. Denkt daran, dass ihr eine Informationspflicht gegenüber den Kunden habt über den Datengehalt (bestehend wie bisher auch bereits).

Zugriff auf das DSGVO habt ihr hier: https://dsgvo-gesetz.de/

Besten Dank an Swiss KMU und Kyocera die diesen Abend organisiert haben.

Nachtrag 07.03.2018

PayPal hat die Datenschutzgrundsätze überarbeitet, welche hier zu finden sind: https://www.paypal.com/ch/webapps/mpp/ua/upcoming-policies-full?locale.x=de_CH

Um kompatibel zu sein, hat PayPal auch angegeben, welche Daten weitergegeben werden und an welche Firmen. Dies ist nicht einfach zu finden…

Darunter finden sich diese Daten Eurere Kunden:

Name, E-Mail-Adresse, Telefonnummer, Kontotyp, Art der angebotenen oder verwendeten PayPal-Funktionen und relevante(n) Transaktionsdaten

diese Daten werden verwendet für

um zusätzliche Benutzerinformationen zu sammeln und Marketingkampagnen besser ausrichten zu können.

Sind wir ehrlich, die Daten werden weiterverkauft und fliessen in umfassende Benutzerprofile ein. Die Liste der Empfänger der Daten ist aktuell nur 57 A4 Seiten lang. Hier ist das aktuelle PDF: https://www.paypalobjects.com/webstatic/de_DE/ua/pdf/paypal_third_party_disclosure_list_as_of_july_1_2015.pdf.

An wen diese Firmen wiederum die Daten verkaufen? Unbekannt. Aber nach den AGB von Paypal, ist es auch den Verkäufern ihr Problem. Ist dies nun ein Problem im Sinne von DSGVO? Nicht für Paypal. Jedenfalls für Euch, falls ihr die Kunden nicht aufklärt.

Nachtrag 22.04.2018

Auf der Hilfe Seite von wuk.ch haben wir noch viele Links und Anleitungen gepostet und wird laufend ergänzt.