Samstag, 19. Mai 2018

Ist die DSGVO für uns Trainer, OrganisationsBerater und Coaches eigentlich relevant?

Der Acht-Punkte-Plan zum Datenschutz für Trainer, OrganisationsBerater und Coaches

Der 25. Mai 2018 naht - und mit ihm das endgültige Inkrafttreten der Europäischen Datenschutzgrundverordnung (EU-DSGVO). Dieses Gesetz aus 11 Kapiteln, 99 Artikel und 49.251 Wörtern, beeinflusst unseren Umgang mit personenbezogenen Daten nachhaltig, die Organisation unserer Büros und Geschäftsstellen und die Zusammenarbeit mit unseren Kunden und Klienten. Ab dann hat jeder Bürger, egal ob Kunde, Mitarbeiter oder Vereinsmitglied, ein Auskunftsrecht:
  • Welche Daten von ihm wurden erhoben? 
  • Für was werden diese Daten genutzt? 
  • Jeder kann dann auch die Löschung seiner Daten verlangen.

Welche Konsequenzen haben Verstöße? 

Bei Missachtung der DGSVO drohen hohe Bußgelder bis zu 20 Millionen Euro oder vier Prozent des gesamten weltweit erzielten Jahresumsatzes – auch für kleine und mittlere Unternehmen. Gerade kleine Firmen stehen vor gewaltigen Herausforderungen. Dabei ist eine zuverlässige Informationsbeschaffung nicht das kleinste Problem. Bedeutsam ist auch, dass ab Ende Mai bei Verstößen die Beweislast umgekehrt wird. Dann müssen Unternehmen lückenlos belegen, dass sie korrekt arbeiten und keine Fehler beim Datenschutz gemacht haben. – Übrigens: es ist im Sinne der DGSVO gleich, wo die Daten verarbeitet werden, ausschlaggebend ist, dass Daten verarbeitet werden. Da kursiert anscheinend so mancher Irrtum.
Doch in der Politik und bei den Behörden hat in jüngster Zeit ein Umdenken begonnen. "Hilfe vor Strafe" soll in der ersten Zeit gelten.

Viele sind zu spät dran

Sind Sie mit der Umsetzung spät dran? Dann sind Sie nicht allein. Der Digitalverband Bitkom befragte 300 Start-ups. In jedem dritten Jungunternehmen hatte man sich gerade erst angefangen, damit zu befassen und nur neun Prozent hatten die Umsetzung der DGSVO abgeschlossen – und das kaum vier Wochen vor dem Inkrafttreten der neuen Regel.

Was müssen T.O.C. tun? Der Acht-Punkte-Plan für Sie.

Und - was müssen wir als T.O.C.s jetzt für den Datenschutz tun, um auf der sicheren Seite zu sein?
Diese Maßnahmen sollten Sie bis zum 25. Mai ergreifen:

1. Legen Sie ein Datenverarbeitungsverzeichnis an.

In diesem Verzeichnis (es reicht übrigens ein simples Dokument) müssen alle unsere Prozesse (welche Daten verarbeiten wir, wozu, wo genau aufbewahrt, wer hat Zugriff, etc.) dokumentiert werden. Auf Verlangen müssen wir dieses Dokument der Datenschutzbehörde (Landesdatenbeauftragter) vorlegen.
Das Datenverarbeitungsverzeichnis ist nicht öffentlich und nicht für unsere Kunden gedacht. Mehr dazu finden Sie hier Verzeichnis von Verarbeitungstätigkeiten (Artikel 30 DSGVO)
Ein gutes Beispielformular für ein solches Verzeichnis finden Sie unter folgendem Link.
Hier ein Beispiel für eine Einzeltätigkeit:
Sie sind frei in der Gestaltung der einzelnen Verarbeitungsschritte, wie Sie hier in diesem eingebundenen Beispiel sehen. Dazu haben wir eine einfache Tabelle in "Word" erstellt.

2. Erstellen Sie eine Datenschutzerklärung.

Diese Datenschutzerklärung ist eine Information für unsere Kunden, ähnlich wie unsere AGBs. Sie fasst die Ergebnisse des Datenverarbeitungsverzeichnisses zusammen und erklärt unseren Kunden und Klienten, wie wir mit ihren personenbezogenen Daten umgehen, sie speichern, verarbeiten und nutzen.
In groben Zügen empfiehlt es sich auch, anzureißen, welche Daten genutzt und gespeichert werden.
Schauen Sie dazu in unsere Datenschutzerklärung, die Dr. Inge Osthoff für uns erstellt hat. Sie spiegelt den aktuellen Bearbeitungsstand wieder und wird in den nächsten Tagen sukkzessive ergänzt, wenn neue noch unberücksichtigte Prozesse wahrgenommen werden.

3.  Stellen Sie Ihre Datenschutzerklärung auf Ihre Webseite.

Da die Datenschutzerklärung für unsere Kunden gedacht ist, sollte sie öffentlich sein.  Der ideale Platz ist also unsere Webseite bzw. unsere Webseiten. Die Erklärung muss auf jeder Unterseite sichtbar und direkt anklickbar sein. Sie darf also nicht ins Impressum gestellt werden und ersetzt auch nicht das Impressum.

4. Ändern Sie Ihre Verträge und Ihre Formulare, ergänzen Sie sie um einen Datenschutzpassus beziehungsweise um eine Speicher- und Nutzungserlaubnis.

Ihre Beratungs-, Trainings-, Mediations- und Coachingverträge sollten Sie um eine Erläuterung zum Datenschutz ergänzen und (!) um die Speicher-, Verarbeitungs- und Nutzungserlaubnis.
Meldet sich ein Kunde oder Klient bei uns zu einer Beratung, einem Training, Mediation oder Coaching an, sollte das Anmeldeformular eine Nutzungs- und Speichererlaubnis enthalten, die der Anmelder anklicken muss. Unsere Anmeldebestätigung sollte einen Link zu/Verweis auf unsere/r Datenschutzerklärung enthalten.
Dieser Tipp empfiehlt sich auch für alle weiteren Kontakte, einen Arbeitsaustausch oder auch Aufgaben und Informationen vor dem ersten Termin mit dem Kunden.

5. Löschen Sie überflüssige Daten.

Für alle personenbezogenen Daten, die wir speichern, sollte es einen betrieblichen Grund geben. Solange eine Kundenbeziehung zu einem Teilnehmer, Coachee oder Medianten besteht, können wir also die dafür relevanten Daten speichern. Rechnungsdaten fürs Finanzamt sind bis zu 7 Jahre zu speichern. Die weiteren Daten, zum Beispiel Aufzeichnungen, Lebensläufe, Sozialversicherungsnummern, Positionsangaben … sind unverzüglich nach Beendigung der Geschäftsbeziehung zu vernichten. Eine Ausnahme ist nur zulässig, wenn es dafür besondere Gründe gibt:
Protokolle von Coachings, Mediationen und Beratungen sind ein solcher potentieller Ausnahmefall.
Unsere Protokolle, zum Beispiel unsere Aufzeichnungen während einer Sitzung, sind personenbezogene Daten. Der Datenschutz verpflichtet uns, sie mit dem Ende der Geschäftsbeziehung zu löschen. Eine Aufbewahrung über das Ende der Beratung hinaus könnte sich dadurch rechtfertigen lassen, dass sie wichtig für die Kundenbindung sind. Kommt ein Kunde z.B. nach einigen Jahren wieder zu einer Beratung, können wir auf unsere Aufzeichnungen zurück greifen und unser Wissen auffrischen. Damit stellen sie einen wichtigen Bestandteil unseres Geschäftsmodells dar. Offen ist, wie groß diese Zeitspanne sein kann.
Was sind personenbezogene Daten?
  • Allgemeine Personendaten (Name, Geburtsdatum, Alter, Geburtsort, Anschrift, Telephon-Nummern, eMailadresse…) 
  • Personenbezogenen Daten sind Kennummern (Sozialversicherung, Steueridentifikation, Krankenversicherung, Personalausweis, Matrikel), 
  • und weiter: Bankdaten, Online-Daten, Physische Merkmale, Besitzmerkmale, Kundendaten, Werturteile wie Zeugnisse. 
Mehr dazu finden Sie unter https://www.datenschutz.org/personenbezogene-daten/#beispiele-fuer-personenbezogene-daten (April 2018)

6. Schließen Sie Auftragsverarbeitungsverträge ab.

Erhalten wir Daten von Personen oder geben wir Daten von Personen weiter, z.B. Teilnehmerlisten, Adresslisten… ? Dann müssen wir mit allen Personen, die von uns im Rahmen unserer Geschäftstätigkeit Daten erhalten bzw. Dateneinsicht haben, Verträge abschließen.
Wen betrifft das konkret?
Auftragnehmer wie Trainer, die ein Seminar für uns übernehmen und die TN-Liste vorab erhalten.
EDV-Dienstleister, die Einsicht in unsere Daten haben, eine Externe Buchhaltung oder externe Bürodienste.
Ob das auch für Steuerberater gilt, ist noch unklar.
Die Rechte und Pflichten beider Parteien bei der Auftragsverarbeitung regelt Art. 28 DSGVO.
Ein Muster für einen Auftragsverarbeitungsvertrag finden Sie hier.

7. Achten Sie grundsätzlich auf Datensicherheit „in Ihrem Haus“.

Wir alle arbeiten mit Laptops und PCs, Festplatten, Chips und Sticks.
Laptops und PCs sollten Sie mit einem Passwort sichern, noch besser wäre es, sie zu verschlüsseln, gleiches gilt für Festplatten (externe) und Sticks.
Für ältere Festplatten, die nicht mehr genutzt werden, und Backups lohnt sich das Mieten eines Schließfaches.
Sind personenbezogene Daten zu versenden, z.B. Teilnehmerlisten, dann verschlüsseln Sie sie am besten und vermeiden Sie es, solche Daten unnötig auf mobilen Speichern aufzubewahren.
Schriftliche oder handschriftliche Unterlagen gehören in einen verschließbaren Schrank oder ein verschließbares Büro.
Und wenn Sie schriftliche Unterlagen vernichten, dann werfen Sie sie nicht weg, sondern vernichten Sie sie tatsächlich, das heißt „Schreddern“.

8. Unsere Newsletter brauchen eine aktive Zustimmungserklärung.

Das ist nicht neu, wird jetzt aber besonders wichtig. Als aktive Zustimmung ist zu werten, wenn ein Empfänger aktiv ein Kästchen auf der eigenen Webseite abhaken muss.Vorformulierte Einwilligungserklärungen im Internet mit einem vorausgefüllten zustimmenden Häkchen sind nicht zulässig.
Als aktive Zustimmung gilt ebenfalls, wenn ein Interessent auf eine Email oder ein Schreiben antwortet und darin explizit seine Einwilligung gibt. Das ist zu dokumentieren, also abzuspeichern.

Übergangsregelung für Bestands-Newsletter-Abonnementen
Falls unsere Newsletter immer schon eine Abmeldemöglichkeit wie einen Link oder Hinweis geboten haben,  dann können wir diesen Verteiler weiter verwenden. In einem solchen Fall hatten die Empfänger bereits die Möglichkeit der Abmeldung. Sie haben sie aber nicht genutzt, also wird das als Zustimmung gewertet.
Es empfiehlt sich grundsätzlich im Newsletter auf die Datenschutzverordnung hinzuweisen z.B. mit einem Link.

Nicht erlaubt sind Kopplungen: Wenn ein Gewinnspiel ausgelobt wird, um an neue Kunden oder Daten zu gelangen und die Teilnahme die Zustimmung zu einem Newsletter voraussetzt. Gleiches gilt für Gratis-Unterlagen oder ein gratis eBook zum Download nur dann, wenn der Interessent dem Erhalt eines Newsletters zustimmt.

Fazit:

Wer sich näher mit den Herausforderungen beschäftigt, wird sich an die Tätigkeiten eines Qualitätsmanagers/-beauftragten erinnert fühlen. Die Umsetzung der DGSVO bedeutet viel Aufwand, aber wer in den Kategorien des Qualitätsmanagements denkt, kann dem doch auch positives abgewinnen. Denn jetzt werden viele kleine Unternehmen und Selbständige veranlasst, Standardverfahren zu generieren und zu formulieren, die auf Dauer einiges an Zeit sparen helfen. Insofern: sehen wir der Umsetzung nicht mit zwei weinenden, sondern einem lachenden und einem weinenden Auge entgegen.

Gut zu wissen:

Datenschutzbeauftragte sind für Trainer, OrganisationsBerater, Mentoren und Coaches nicht nötig

Eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht für Unternehmen nur dann, wenn
die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfanges und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (z.B. Banken, Versicherungen, Kreditauskunfteien und Berufsdetektive).
Die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung sensibler Daten oder von Daten über strafrechtliche Verurteilungen oder Straftaten besteht (z.B. Krankenanstalten)

Das braucht zu viel Zeit? 

Wenn Sie das Gefühl haben, die vorgeschlagene Reihenfolge brauche zu viel Vorbereitungszeit und Ihnen sei "etwas sichtbares" wichtiger? Ändern Sie die Reihenfolge einfach. Sabine Theisen-Schwedes Last-Minute-Plan:
  • Datenschutzerklärung
  • Webseite ergänzen
  • aktive Zustimmung statt deaktivieren von Elementen
  • Auftragsverarbeitungsverträge (eigene Verträge ergänzen), da Verfehlungen hier leicht zu ermitteln sind und viele ihre Webdesigner hierfür beauftragen müssen (Nadelöhr). 
Dann die Standards wie Newsletter, Daten löschen u. ä. anreihen.

Die Verarbeitungsaufzeichnung kann man auch nach dem 25. Mai gemütlich anlegen. Sie ist ein rein internes Papier, das vermutlich niemals angefordert wird. Aber gerade diese Aufzeichnung schärft noch einmal das Auge für die Änderung der Verträge, wie ich festgestellt habe.

Hilfreiche Links

zusammengetragen von unserer Qualitätsbeauftragten Sabine Theisen-Schwede
Einen guten Überblick bietet: https://www.lexware.de/artikel/datenschutzgrundverordnung-was-ist-das-eigentlich-und-was-bedeutet-die-einfuehrung-fuer-unternehmen/?chorid=02623777&newsletter=newsletter/kundenbindung/lexware-nl/Button DSGVO/37087/02623777/18 01 17

Sehr sinnvoll: https://www.heise.de/ix/meldung/Datenschutzgrundverordnung-Neue-Abmahngefahren-fuerWebsites-3936980.html

Bitcom-Leitfaden, mit einem Bespiel für ein Verarbeitungsverzeichnis auf der letzten Seite https://www.bitkom.org/NP-Themen/NP-Vertrauen-Sicherheit/Datenschutz/FirstSpirit1496129138918170529-LF-Verarbeitungsverzeichnis-online.pdf

Kostenlose Datenschutzgeneratoren:
https://dsgvo-musterdatenschutzerklaerung.dg-datenschutz.de/#1487008989473-a9d4be68-00c7
https://www.anwalt.de/vorlage/muster-datenschutzerklaerung.php
https://www.e-recht24.de/muster-datenschutzerklaerung.html
Allerdings sind bei eRecht24 einige Passi kostenpflichtig.

Sehr entspannend: https://binary-butterfly.de/artikel/dsgvo-so-viel-panik-fuer-nichts-neues-und-warum-es-trotzdem-eingrundlegendes-problem-gibt/

Autoren: Claudia Grötzebach und Sabine Theisen-Schwede

Keine Kommentare:

Kommentar posten