Bera­tung und Sup­port – Tel. 0800 100 400 800

Heute tritt die DSGVO in Kraft: Daten­schutz bei PLUTEX

Heute, 25. Mai 2018, tritt die neue euro­päi­sche Daten­schutz-Grund­ver­ord­nung (EU-DSGVO) euro­pa­weit ver­bind­lich in Kraft. Ziel ist die Ver­ein­heit­li­chung des euro­päi­schen Daten­schutz­rech­tes sowie eine Stär­kung des Rechts auf infor­ma­tio­nelle Selbst­be­stim­mung der Bür­ger. Denn die neue Ver­ord­nung stärkt das Recht auf den Schutz per­so­nen­be­zo­ge­ner Daten und gibt den Daten­schutz­be­hör­den zahl­rei­che recht­li­che Mög­lich­kei­ten, Ver­stöße mit emp­find­li­chen Buß­gel­dern zu ahn­den.

Was ist neu in der DSGVO?

Neu im Ver­gleich zu den bis­her gel­ten­den Rege­lun­gen des Bun­des­da­ten­schutz­ge­set­zes sind die neuen Trans­pa­renz- und Infor­ma­ti­ons­pflich­ten der Unter­neh­men, die für einen deut­lich stär­ke­ren Schutz der Betrof­fe­nen sor­gen. Betrof­fene kön­nen jeder­zeit Aus­kunft ver­lan­gen, wel­che per­so­nen­be­zo­ge­nen Daten erho­ben wer­den, für wel­chen Zweck und wie lange sie auf­ge­ho­ben wer­den. Die Betrof­fe­nen haben das Recht, jeder­zeit die Löschung oder die voll­stän­dige Her­aus­gabe ihrer Daten, z. Bsp. für einen Anbie­ter­wech­seln, zu ver­lan­gen. Unter­neh­men sind ver­pflich­tet, die­ser Aus­kunfts­pflicht in ver­ständ­li­cher, ein­fa­cher Spra­che zeit­nah nach­zu­kom­men. Dafür emp­feh­len die Daten­schutz­be­hör­den den Unter­neh­men ein Daten-Ver­ar­bei­tungs­ver­zeich­nis anzu­le­gen, in wel­chem alle Ver­ar­bei­tungs­tä­tig­kei­ten mit per­so­nen­be­zo­ge­nen Daten doku­men­tiert sind. Die­ses Ver­zeich­nis ist den Daten­schutz­be­hör­den auch auf Anfrage vor­zu­le­gen. Kom­men Unter­neh­men ihrer Aus­kunfts­pflicht nicht nach, kön­nen die Bür­ger dies den Daten­schutz­be­hör­den mel­den. Diese sind ver­pflich­tet, bei fest­ge­stell­ten Ver­stö­ßen, Buß­gel­der zu ver­hän­gen.

Für viele Unter­neh­men in euro­päi­schen Nach­bar­län­dern ist zudem die Pflicht, einen Daten­schutz­be­auf­trag­ten zu bestel­len, neu. Das Modell Daten­schutz­be­auf­trag­ter ist in Deutsch­land seit lan­gem bekannt und viele Unter­neh­men haben bereits jetzt einen Daten­schutz­be­auf­trag­ten.

Was heißt die neue Daten­schutz­grund­ver­ord­nung für PLUTEX?

Auf­grund dem stren­gen deut­schen Bun­des­da­ten­schutz­ge­setz sowie unse­ren bis­he­ri­gen Maß­nah­men zum Daten­schutz und zur Infor­ma­ti­ons­si­cher­heit im Rah­men der jähr­li­chen TÜV-Süd-Zer­ti­fi­zie­run­gen sind bei PLUTEX bereits seit Jah­ren eine Reihe der in der DSGVO gefor­der­ten Maß­nah­men umge­setzt: Wir haben bspw. einen Daten­schutz­be­auf­trag­ten und doku­men­tier­ten auf stan­dar­di­sierte Art und Weise, wel­che Daten wir wofür erhe­ben und wann diese gelöscht wer­den. Den­noch haben wir die DSGVO zum Anlass genom­men, unsere Pro­zesse, in denen per­so­nen­be­zo­gene Daten erho­ben wer­den, grund­le­gend zu über­prü­fen und kri­tisch zu hin­ter­fra­gen. Dabei haben wir uns fol­gende Fra­gen gestellt und ent­spre­chende Maß­nah­men ergrif­fen und doku­men­tiert:

1. Bei wel­chen Pro­zes­sen wer­den per­so­nen­be­zo­gene Daten erho­ben und ver­ar­bei­tet?

Das ist bei uns:

  • in unse­rem Kun­den­ma­nage­ment­sys­tem zur Abwick­lung der Kauf-/Ser­vice­ver­träge und Rech­nun­gen
  • im Ticket­sys­tem unse­res Sup­port­teams, wo Kun­den­an­fra­gen ankom­men
  • in den Log­files unse­rer Ser­ver
  • bei der Zutritts­kon­trolle zum Rechen­zen­trum
  • Über­wa­chungs­ka­me­ras
  • auf unse­rer Web­site, wenn ein Benut­zer­ac­count ange­legt wird
  • bei der Bestellung/ Regis­trie­rung bestimm­ter Pro­dukte und Ser­vices wie bei­spiels­weise Domains oder SSL-Zer­ti­fi­kate
  • in den Per­so­nal­ak­ten unse­rer Mit­ar­bei­ter

2. Müs­sen wir gege­be­nen­falls Daten anony­mi­sie­ren?

Die Erfas­sung von IP-Adres­sen in Ser­ver-Log-Files sowie durch google ana­ly­tics auf unse­rer Web­site geschieht bei Plutex bereits anony­mi­siert. Damit diese Daten nicht bestimm­ten Per­so­nen zu zu ord­nen sind, wird bei der Spei­che­rung das letzte Oktett der IP-Adresse ent­fernt.

Auf unse­rer Web­site set­zen wir bewusst keine Social-Media-But­tons von Face­book und Twit­ter ein, son­dern ver­lin­ken ledig­lich per html-code auf unsere Face­book- und Twit­ter­seite. Denn wir kön­nen nicht im Detail sicher­stel­len, 1. wel­che Daten Social-Media-But­tons sam­meln (auch wenn sie noch gar nicht ange­klickt wur­den) und 2. kön­nen wir nicht eine DSGVO-kon­forme Wei­ter­ver­ar­bei­tung der Daten durch Face­book und Co. garan­tie­ren.

3. Wie lange wer­den die Daten vor­ge­hal­ten — Wann wer­den sie gelöscht?

Laut DSGVO müs­sen per­so­nen­be­zo­gene Daten sobald ihr Erhe­bungs­zweck erfüllt ist, gelöscht wer­den. Wir haben des­halb im Detail für alle per­so­nen­be­zo­ge­nen Daten doku­men­tiert, wie lange wir diese auf­he­ben. Bei­spiels­weise wer­den alle Ser­ver-Log-Dateien nach 7 Tagen auto­ma­tisch gelöscht; das Mate­rial der Über­wa­chunsgka­me­ras wird 30 Tage gespei­chert, wäh­rend z.Bsp. Rech­nungs­an­schrif­ten gemäß den gesetz­li­chen Vor­ga­ben 10 Jahre auf­ge­ho­ben wer­den.

4. Anle­gen eines Ver­zeich­nis der Daten­er­he­bung

Mit in Kraft Tre­ten der DSGVO müs­sen die Unter­neh­men ihrer Doku­men­ta­ti­ons- und Aus­kunfts­pflicht expli­zit nach­kom­men: In einem „Ver­ar­bei­tungs­ver­zeich­nis“ muss doku­men­tiert wer­den, wel­che Daten für wel­chen Zweck erho­ben und ver­ar­bei­tet wer­den. Bei Anfrage der Daten­schutz­be­hörde muss die­ses Ver­zeich­nis vor­ge­legt wer­den. Eine Vor­lage fin­det sich auf der Web­site der Bre­mer Daten­schutz­be­auf­trag­ten.

Die Art der erho­be­nen Daten, Zweck und Spei­cher­zeit­raum sind bei uns bereits doku­men­tiert. Aktu­ell arbei­ten wir in unse­rem inter­nen Wiki an einen “Plutex-spe­zi­fi­schen” Ver­ar­bei­tungs­ver­zeich­nis in dem wir alle Pro­zesse, in denen per­so­nen­be­zo­gene Daten erho­ben wer­den, zen­tral doku­men­tie­ren.

5. Über­ar­bei­tung der Rechts­texte und Email­vor­la­gen (da aus­führ­li­che Infor­ma­ti­ons­pflicht den Kun­den, Nut­zern und Web­siten­be­su­chern gegen­über)

Die Ein­füh­rung der DSGVO haben wir zum Anlass genom­men, auf unse­rer Web­site die Daten­schutz­be­stim­mun­gen, die AGBs und das Impres­sum zu über­prü­fen und zu aktua­li­sie­ren. Außer­dem haben wir all unse­ren Kun­den einen aktua­li­sier­ten Ver­trag zur Daten­ver­ar­bei­tung zuge­sen­det. Auch unsere Email­vor­la­gen sind mit ent­spre­chen­den Hin­wei­sen zur neuen DSGVO ver­se­hen.

6. Bei Daten­er­he­bung expli­zite Ein­wil­li­gung der Betrof­fe­nen ein­ho­len

Laut der DSGVO brau­chen Unter­neh­men, um ihrer Nach­weis­pflicht genüge zu tun, eine doku­men­tierte Ein­wil­li­gung der Betrof­fe­nen. Des­halb ist an all unsere Kun­den ein aktua­li­sier­ter Ver­trag zur Daten­ver­ar­bei­tung gesen­det, ver­bun­den mit der Bitte die­sen unter­schrie­ben an uns zurück zuschi­cken.

7. Mit­ar­bei­ter­schu­lung

Eine Mit­ar­bei­ter­schu­lung zur kon­kre­ten Hand­ha­bung der neuen DSGVO ist aus unse­rer Sicht ein ganz wesent­li­cher Punkt, um bei allen Mit­ar­bei­tern die not­wen­dige Sen­si­bi­li­tät und das Wis­sen im Umgang mit per­so­nen­be­zo­ge­nen Daten sicher­zu­stel­len. Jeder Mit­ar­bei­ter sollte wis­sen, wie DSGVO-kon­form Emails wei­ter­ge­lei­tet wer­den oder per­so­nen­be­zo­gene Daten abge­legt wer­den — zum Bei­spiel keine geschäft­li­chen Kon­takte auf einem pri­vat genutz­ten Smart­phone abspei­chern. Außer­dem soll­ten Mit­ar­bei­ter über fol­gende Punkte infor­miert sein:

  • Was ist zu tun, bei einer Aus­kunfts-Anfrage von Betrof­fe­nen
  • Was ist zu tun bei einer Anfrage der Daten­schutz­be­hörde
  • Wer ist der Daten­schutz­be­auf­tragte in mei­nem Unter­neh­men und wie ist die­ser zu errei­chen
  • Was ist bei Daten­pan­nen zu tun — denn bei Daten­pan­nen haben Unter­neh­men inner­halb von 72 Stun­den eine Mel­de­pflicht an die Daten­schutz­be­hörde sowie eine sofor­tige Mel­de­pflicht an den Betrof­fe­nen.

Wei­ter­füh­rende Infor­ma­tio­nen

Immer auf dem Laufenden!

Bestellen Sie unseren Newsletter! Mit Technik, Neuheiten und Informationen rund ums Rechenzentrum, einmal im Quartal ins Postfach.