Was genau wird im Artikel 5 der DSGVO geregelt und welche Pflicht für Verantwortliche ergibt sich daraus? Durch unseren regelmäßigen Kontakt zu IT-Dienstleistern wissen wir: Gerade am Anfang der Selbständigkeit ist es wichtig, DSGVO-Anforderungen direkt in die eigenen Prozesse zu integrieren.
Kurz und knapp: Art 5 DSGVO
Artikel 5 der DSGVO regelt seit 2018 die Verarbeitung personenbezogener Daten innerhalb der EU. Dazu gehören zum Beispiel Kontaktdaten von Kunden, Bankdaten oder Daten zur Internetnutzung. Artikel 5 der DSGVO betrifft Unternehmen, Organisationen und Freelancer gleichermaßen.
Wir haben unsere Datenschutz-Expertin Katharina gefragt, wie selbständige IT-Dienstleister die Grundsätze von Artikel 5 in der Praxis anwenden und zeigen praktische Beispiele – allgemein für Unternehmen und speziell für die IT-Branche.
1.
Rechtmäßigkeit, Treu und Glauben, Transparenz
Der erste Grundsatz besagt: Die Verarbeitung personenbezogener Daten muss auf rechtmäßige Weise erfolgen. Was bedeutet das? Die Daten-Verarbeitung sollte auf einer der sechs Rechtsgrundlagen in Artikel 6 der DSGVO beruhen. Zum Beispiel auf Einwilligung, Vertragserfüllung, rechtlicher Verpflichtung oder berechtigtem Interesse. Die Verarbeitung muss außerdem fair (nach Treu und Glauben) und transparent sein. Die betroffene Person sollte darüber informiert werden, wer, wie, wo und warum ihre Daten verarbeitet werden.
Allgemeines Beispiel
Ein Online-Händler informiert seine Kunden klar und deutlich darüber, wie er ihre persönlichen Daten (Name, Adresse, Zahlungsinformationen) bei der Bestellung verwendet und erhält die ausdrückliche Einwilligung der Kunden zur Daten-Verarbeitung.
Beispiel IT
Ein selbständiger IT-Dienstleister kommuniziert transparent, welche Kundendaten er verarbeitet (Name, E-Mail usw.), wer die Daten noch erhält (z.B. bei Nutzung eines elektronischen Support-Journals oder einer Fernwartungssoftware) und welche Datenschutz-Maßnahmen er ergreift. Dafür stellt er seinen Interessenten und Kunden eine Datenschutzerklärung sowie einen Auftragsverarbeitungsvertrag (AVV) zur Verfügung.
2.
Zweckbindung
Die personenbezogenen Daten werden nur für festgelegte, eindeutige und legitime Zwecke erhoben und verarbeitet. Als Verantwortlicher müssen Sie sicherstellen, dass die Daten nicht für andere Zwecke verwendet werden.
Allgemeines Beispiel
Ein Gesundheitsdienstleister verarbeitet medizinische Daten eines Patienten ausschließlich zur Diagnose und Behandlung der Gesundheitsprobleme und nicht für andere Zwecke, wie z.B. Marketing.
Beispiel IT
Ein IT-Dienstleister verwendet die Daten seiner Kunden nur für die Zwecke, die in den Verträgen oder der Datenschutzerklärung festgelegt sind. Aber nicht für andere Zwecke, die nichts mit der Erbringung der IT-Dienstleistungen zu tun haben, z.B. werbliche Newsletter ohne Zustimmung des Kunden.
3.
Datenminimierung
Es dürfen nur die Daten erhoben und verarbeitet werden, die für die festgelegten Zwecke erforderlich sind. Es ist wichtig, unnötige oder übermäßige Daten-Verarbeitung zu vermeiden.
Allgemeines Beispiel
Ein soziales Netzwerk sammelt nur Daten, die unbedingt erforderlich sind, um den Dienst bereitzustellen. Es erhebt nicht mehr Informationen als notwendig, um ein Benutzerkonto zu erstellen.
Beispiel IT
Selbstständige IT-Dienstleister erheben nur die personenbezogenen Daten, die sie zur Erbringung ihrer Leistungen unbedingt brauchen (z.B. E-Mail, Beschreibung des Support-Falls usw.) Nicht relevante Daten (z.B. Religionszugehörigkeit) und unnötige Speicherkopien bleiben außen vor. ITler löschen, anonymisieren bzw. pseudonymisieren Daten gemäß eines Löschkonzepts.
4.
Richtigkeit der Daten
Als Verantwortlicher sollten Sie sicher stellen, dass die verarbeiteten personenbezogenen Daten korrekt und aktuell sind. Falsche oder veraltete Daten werden berichtigt oder gelöscht.
Allgemeines Beispiel
Ein Versicherungsunternehmen kümmert sich darum, dass die in den Policen enthaltenen personenbezogenen Daten seiner Kunden korrekt sind und aktualisiert sie regelmäßig.
Beispiel IT
IT-Dienstleister stellen sicher, dass Daten ihrer Kunden korrekt und aktuell sind. Fehlerhafte oder veraltete Daten werden berichtigt oder aktualisiert. Zum einen, wenn der Kunde dies meldet und seine Daten gelöscht oder berichtigt haben möchte. Zum anderen ist ein technisch-organisatorisches System von Vorteil, um Kundendaten zu aktualisieren (z.B. Anrufe, schriftliche Anfragen oder Online-Recherchen).
5.
Speicherbegrenzung
Der fünfte Grundsatz besagt: Personenbezogene Daten dürfen nicht länger gespeichert werden, als es für die Zwecke erforderlich ist, für die sie verarbeitet werden. Die Verantwortlichen müssen angemessene Maßnahmen zur Datenlöschung oder -anonymisierung ergreifen, wenn Speicherfristen abgelaufen sind.
Allgemeines Beispiel
Ein Online-Shop speichert die Bestellhistorie seiner Kunden nur so lange, wie es zur Abwicklung von Transaktionen und zur Einhaltung rechtlicher Anforderungen notwendig ist. Dann löscht er die Daten.
Beispiel IT
Selbstständige IT-Experten speichern Daten nur so lange, wie es für die Erbringung ihrer Leistungen oder zur Einhaltung rechtlicher Anforderungen erforderlich ist. ITler löschen oder anonymisieren Daten nach Ablauf der gesetzlichen Aufbewahrungsfristen, indem z.B. Name und Adresse aus einem Bestelldatensatz gelöscht werden und damit die Bestellung keiner spezifischen Person mehr zugeordnet werden kann.
6.
Integrität und Vertraulichkeit
Im sechsten Grundsatz wird klar, dass die Verantwortlichen angemessene Sicherheitsmaßnahmen ergreifen müssen, um personenbezogene Daten zu schützen. Dies umfasst den Schutz vor unbefugtem Zugriff, Datenverlust, Datenmanipulation und anderen Sicherheitsrisiken.
Allgemeines Beispiel
Ein Finanzinstitut hat strenge Sicherheitsmaßnahmen, um sicherzustellen, dass die finanziellen Informationen seiner Kunden vor unbefugtem Zugriff geschützt sind.
Beispiel IT
IT-Dienstleister implementieren angemessene Sicherheitsmaßnahmen, um die personenbezogenen Daten vor Datenverlust, unbefugtem Zugriff oder Datenmanipulation zu schützen. Das ist besonders wichtig, da ITler oft Zugriff auf sensible Informationen haben. Dazu gehören die Weitergabe-Kontrolle (z.B. Firewalls, Spamfilter, Transportverschlüsselung, Verbot des Einsatzes privater Datenträger), die Eingabe-Kontrolle (z.B. durch Benutzerprofile und Berechtigungskonzepte), die Verfügbarkeit/Belastbarkeit der Systeme (z.B. USV, Schutz- und Alarmsysteme, Backup-Konzepte, Notfallpläne) sowie die regelmäßige Überprüfung der getroffenen Sicherheitsmaßnahmen.
7.
Rechenschaftspflicht
Wichtig, falls die Behörden nachfragen: Als Verantwortlicher müssen Sie nachweisen können, dass Sie die oben genannten Grundsätze und die übrigen Datenschutzvorschriften der DSGVO einhalten. Dazu gehören die Dokumentation von Verarbeitungstätigkeiten und Datenschutzmaßnahmen sowie die Bereitstellung von Informationen auf Anfrage der jeweils zuständigen Aufsichtsbehörde ihres Bundeslandes.
Allgemeines Beispiel
Ein Technologie-Unternehmen dokumentiert alle Datenverarbeitungsaktivitäten und stellt sicher, dass die Aufsichtsbehörden Zugang zu diesen Informationen haben, falls sie angefordert werden.
Beispiel IT
Selbstständige IT-Dienstleister müssen nachweisen können, dass sie die DSGVO-Grundsätze und Datenschutzbestimmungen einhalten. Der Nachweis der technisch-organisatorischen Maßnahmen, wie im AVV angegeben, sollte durch ein internes oder externes Audit jährlich erfolgen und kann den Kunden bei Bedarf zur Verfügung gestellt werden.
Professionelle IT-Dienstleister berücksichtigen Datenschutz bereits in ihren Systemen und Dienstleistungen und verwenden standardmäßig datenschutzfreundliche Einstellungen. Das kann so aussehen:
- Privacy by Design beschränkt sich nicht nur auf Software-Entwicklung. Es spielt auch bei der Gestaltung der Website eine Rolle, z.B. ist die Datenschutzerklärung von allen Unterseiten aus erreichbar, es gibt eine Einwilligung beim Bestellprozess und möglichst wenige, technisch nicht notwendige Cookies.
- Mit Privacy by Default setzen Sie die datenschutz-freundlichsten Einstellungen als Standard. Nicht notwendigen Datenverarbeitungen müssen Kunden dann individuell zuzustimmen (z.B. durch Opt-in beim Newsletter).
Sie haben Fragen zum Datenschutz bei pcvisit? Lesen Sie mehr zu IT-Sicherheit und Datenschutz bei uns oder schreiben Sie uns jederzeit gerne an kontakt@pcvisit.de. Infos zu IT-Sicherheit speziell in kleinen Unternehmen hören Sie auch in unserem Podcast.
Bitte beachten Sie das Veröffentlichungsdatum dieses Artikels. Ziehen Sie immer aktuelle Quellen heran, da sich rechtliche Bestimmungen ändern können.
War dieser Beitrag für Sie hilfreich?