Datenschutzerklärung

EU-Datenschutz-Grundverordnung (DS-GVO)

1. Einleitung: Beim Datenschutz gelten neue Regeln

Ab dem 25. Mai 2018 tritt die neue DS-GVO in Kraft. Mit der DS-GVO wird der Datenschutz jedoch nicht neu erfunden. Grundsätzlich bleibt es bei den bisherigen Grundsätzen wie Datenvermeidung, Datensparsamkeit oder dem Verbotsprinzip mit Erlaubnisvorbehalt. Viele Begriffe der Verordnung sind mit denen im Bundesdatenschutzgesetz (BDSG) identisch. Ziel der DS-GVO ist es, europaweit ein einheitliches Datenschutzniveau zu erreichen.

Die nachfolgenden Informationen stellen keine umfassende und erschöpfende Übersicht zur DS-GVO dar, sondern konzentrieren sich auf die für Steinbeis relevanten Elemente.

2. Bedeutung für den Steinbeis-Verbund

Wie jedes Unternehmen, das personenbezogene Daten verarbeitet, hat Steinbeis diese Regelungen bis zum 25. Mai 2018 umzusetzen.

Die Unternehmensstruktur von Steinbeis und das positive Spannungsverhältnis zwischen Zentralität und Dezentralität spiegeln sich auch in der konkreten Umsetzung der DS-GVO im Steinbeis-Verbund wieder. Da datenschutzrechtlich jede juristische Person für sich betrachtet wird, bleibt es bei der Außenhaftung und Verantwortung der jeweiligen juristischen Person, unter welche das einzelne Steinbeis- Unternehmen (SU) gegliedert ist.

So hat auch jede juristische Person einen Datenschutzbeauftragten zu bestellen und diesen an die Datenschutzbehörden zu melden. Die Steinbeis-Zentrale wird die Kontaktdaten der Datenschutzbeauftragten von den juristischen Personen, deren Geschäftsführung bei einem Mitarbeiter der Steinbeis-Zentrale liegt, der Aufsichtsbehörde mitteilen. Das bedeutet, dass auf Ebene rechtlich unselbständiger SU, die zu diesen juristischen Personen gehören, formal kein eigener Datenschutzbeauftragter bestellt werden muss.

Aufgrund der dezentralen Struktur und der SU als „Unternehmen im Unternehmen“ bedeutet dies aber auch, dass die DS-GVO sowohl von jedem SU auf SU-Ebene als auch in der Steinbeis-Zentrale umfassend umgesetzt werden muss. Daher ist auch von jedem SU – unabhängig von der Größe und der Mitarbeiteranzahl des SU – ein für den SU-Datenschutz Verantwortlicher zu bestimmen. Dieser auf SU- Ebene Verantwortliche für den Datenschutz ist jedoch nicht den Datenschutzaufsichtsbehörden zu melden. Er ist aber der dezentral verantwortliche Ansprechpartner auf SU-Ebene für den zentralen Datenschutzbeauftragten von Steinbeis.

Die Dezentralität, Individualität und wirtschaftliche Eigenständigkeit der SU erfordert dezentrale, individuelle Verantwortung in einem zentralen Rahmen, die auch so gelebt wird. Es muss daher beispielsweise in der dezentralen Verantwortung liegen, den SU-eigenen Internetauftritt auf DS-GVO- Konformität zu prüfen und freizugeben. Die Steinbeis-Zentrale unterstützt bei der Umsetzung der DS- GVO (beispielsweise finden Sie als Anlage zu diesem Leitfaden eine Check-Liste mit Hinweisen zu den häufigsten Fallgestaltungen im Zusammenhang mit Internetauftritten). Zentrale Verträge und andere Dokumente sowie Prozesse werden, sofern dies nicht bereits geschehen ist, an die neuen Anforderungen angepasst.

Die formale Verantwortung für die Umsetzung und Einhaltung der DS-GVO – auch auf SU-Ebene – bleibt bei der jeweiligen juristischen Person vertreten durch die Geschäftsführung. Diese wird dieser Pflicht durch Stichproben bei den SU der juristischen Person nachkommen.

3. Was sind eigentlich personenbezogene Daten?

Im Sinne der DS-GVO (Art. 4 Nr. 1) umfasst der Ausdruck „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Dazu gehören z. B. Name, Geburtsdatum, Anschrift, E-Mail-Adresse, Einkommen, Kfz-Kennzeichen, Konto-Nummer, Versicherungs- oder Personal-Nummer, Beruf. Auch pseudonymisierte Daten wie z. B. eine IP-Adresse oder Personalnummer, aus denen die betroffene Person indirekt bestimmbar wird, gelten als personenbezogene Daten.

4. Rechtsgrundlagen für die Datenverarbeitung

Jede Verarbeitung personenbezogener Daten sollte rechtmäßig und nach Treu und Glauben erfolgen.

Daher ist die Verarbeitung personenbezogener Daten nur aufgrund eines Erlaubnistatbestands zulässig. Diese sind im Art. 6 DS-GVO aufgeführt:

• Die betroffene Person hat ihre Einwilligung gegeben;
• die Verarbeitung ist für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich;
• die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich;
• die Verarbeitung ist erforderlich, um lebenswichtige Interessen zu schützen;
• die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt;
• die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich. Im letzten Fall ist eine Interessensabwägung gegenüber den Interessen der betroffenen Person erforderlich.

4.1. Vertrag

Die Verarbeitung der Grunddaten, die zur Vertragsabwicklung und -erfüllung oder für den geplanten Abschluss eines Vertrages erforderlich sind, ist also rechtmäßig. Für die Verarbeitung von darüberhinausgehenden, für die Vertragserfüllung nicht zwingend erforderlichen Daten wird eine Einwilligung benötigt.

4.2. Einwilligung

Formale Anforderungen an die Einwilligung enthält § 7 DS-GVO. Die Einwilligungserklärung muss in verständlicher, leicht zugänglicher Form, in klarer und einfacher Sprache sein. Sie darf nicht in den AGB oder in der Datenschutzerklärung „versteckt“ werden, sondern ist getrennt von anderen Inhalten darzustellen. Als Anlage zu diesem Leitfaden finden Sie eine Muster-Einwilligung nach DS-GVO.

a) Freiwilligkeit

Darüber hinaus gilt das bisher bekannte Prinzip, dass eine Einwilligung freiwillig und ohne jeden Zwang abgegeben werden muss. Eine Einwilligung gilt dann nicht als freiwillig abgegeben, wenn zwischen den Parteien ein klares Ungleichgewicht besteht und es deshalb unwahrscheinlich ist, dass die Einwilligung ohne Zwang abgegeben wurde.

b) Informiertheit

Weiter muss die betroffene Person darüber informiert werden, zu welchem Zweck die Daten verarbeitet und ggf. gespeichert werden sollen. Die betroffene Person muss deutlich verstehen können, welche personenbezogenen Daten zu welchem Zweck und von wem verarbeitet werden. Die verantwortliche Stelle muss ausdrücklich genannt werden. Dient eine Verarbeitung mehreren Zwecken, müssen alle Zwecke ausdrücklich genannt und die Einwilligung für sämtliche Zwecke eingeholt werden.

c) Eindeutigkeit

Das Einverständnis in die Verarbeitung muss außerdem eindeutig zum Ausdruck kommen. Die Einwilligung kann schriftlich oder auch elektronisch eingeholt werden, dabei muss jedoch beachtet werden, dass „opt-out“ -Wahlmöglichkeiten, Stillschweigen, Inaktivität oder vorangekreuzte Kästchen bzw. eine voreingestellte Einwilligung in Form eines Häkchens nicht verwendet werden dürfen. Bei elektronischen Einwilligungen ist das sog. „double-opt-in“-Verfahren, zur eindeutigen Identifikation der Person, anzuwenden. Ein Beispiel für eine Umsetzung finden Sie bei der Anmeldung zum Steinbeis- Newsletter unter www.steinbeis.de.

d) Hinweis auf Widerrufsmöglichkeit

Die betroffene Person muss ausdrücklich auf ihr Recht hingewiesen werden, dass sie ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. Dieser Hinweis ist ebenso wie die Einwilligungserklärung selbst in einfacher, verständlicher Sprache zu verfassen und leicht zugänglich zu machen. Der Hinweis auf das Widerrufsrecht muss vor Abgabe der Einwilligung erteilt werden.

e) Gelten bisher eingeholte Einwilligungen fort?

Es ist nicht erforderlich, dass betroffene Personen ihre Einwilligung erneut erteilen, sofern diese ihrer Art nach den Bedingungen der DS-GVO entspricht. Verstoßen alte Einwilligungen allerdings z. B. gegen das Gebot der Freiwilligkeit, gelten sie nicht fort und müssen erneut eingeholt werden.

5. Löschung und datenschutzkonforme Vernichtung

Ist die Grundlage für die Verarbeitung der personenbezogenen Daten entfallen, ist z.B. der Vertrag erfüllt, und es gibt auch keine weiteren gesetzlichen Aufbewahrungsgründe (z.B. steuerliche oder handelsrechtliche Gründe), müssen die Daten gelöscht werden.

Ausgewählte Löschfristen bzw. Aufbewahrungsfristen:

• Geschäftsbriefe: 6 Jahre
• Steuerrelevante Unterlagen: 10 Jahre
• Bewerbungsunterlagen: 6 Monate

Die Vernichtung von Unterlagen mit personenbezogenen Daten muss datenschutzkonform erfolgen. D.h.: Papierunterlagen müssen so geschreddert und Datenträger so zerstört werden, dass die Daten sicher, d. h. vollständig und unumkehrbar gelöscht werden.

6. Dokumentationspflichten und Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DS-GVO)

Die Verarbeitung, Speicherung, Einwilligungen oder Löschung der personenbezogenen Daten müssen auch dokumentiert werden. Diese Dokumentation erfolgt mittels eines sog. „Verfahrensverzeichnisses“. Die DS-GVO verpflichtet Verantwortliche und ggf. deren Vertreter, ein Verzeichnis von Verarbeitungstätigkeiten zu führen (Art. 30 DS-GVO (1)). Dieses enthält für jede Anwendung die wesentlichen Informationen.

Verantwortlicher ist die jeweilige juristische Person. Als Steinbeis-Zentrale führen wir für alle zentralen Verarbeitungstätigkeiten die entsprechenden Verzeichnisse.

Ein rechtlich unselbständiges SU gehört im datenschutzrechtlichen Sinne auch zu einer juristischen Person innerhalb des Steinbeis-Verbunds und ist somit Teil des „Verantwortlichen“ und gleichzeitig ein Vertreter des Verantwortlichen.

Das Verzeichnis von Verarbeitungstätigkeiten dient als wesentliche Grundlage für eine strukturierte Datenschutzdokumentation und hilft dem Verantwortlichen dabei, gemäß Art. 5 Abs. 2 DS-GVO nachzuweisen, dass die Vorgaben aus der DS-GVO eingehalten werden (Rechenschaftspflicht).

Die Pflicht zur Führung von Verarbeitungsverzeichnissen gilt damit nicht nur zentral, sondern auch dezentral in den jeweiligen SU vor Ort mit ihren individuellen Verfahrensverzeichnissen.

Da die Verzeichnisse den Aufsichtsbehörden jederzeit auf Anfrage zur Verfügung zu stellen sind, müssen sie auch auf SU-Ebene erstellt und vorgehalten werden (siehe Art. 30 Abs. 4 DS-GVO).

Sie können hierzu die im SIS unter der Rubrik „Vorlagen“ befindliche Mustervorlage „Verfahrensverzeichnis“ verwenden.

7. Technisch-organisatorische Maßnahmen

Hier geht es darum, welche Maßnahmen ergriffen wurden, um die Sicherheit der Daten zu gewährleisten. Auch diese Maßnahmen müssen dokumentiert werden. Im Fall von sensiblen Daten muss eine Risikobewertung und Datenschutz-Folgenabschätzung vorgenommen werden.

Die Daten müssen so gesichert sein, dass sie bei einem evtl. Verlust wiederhergestellt werden können.

Eine elektronische Übermittlung von sensiblen Daten (Gesundheitsdaten, Religionszugehörigkeit) ohne weitere Sicherheitsmaßnahmen ist datenschutzrechtlich nicht zulässig.

Zu ergreifende Maßnahmen sind hier auch eine Zutritts- und Zugangskontrolle.

8. Datenschutz-Folgenabschätzung (Art. 35 DS-GVO)

Birgt die Art der Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten, muss der Verantwortliche bereits vorab eine Abschätzung der Folgen für den Schutz personenbezogener Daten durchführen.

Dies ist insbesondere der Fall bei neuen Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung (Art. 35 Abs. 1 DS-GVO).

Die Datenschutz-Grundverordnung nennt in Art. 35 Abs. 3 bestimmte Fallgruppen, bei denen eine Folgenabschätzung stets durchzuführen ist. Dazu zählen das Profiling, die Verarbeitung besonders sensibler Daten sowie eine umfangreiche Videoüberwachung.

Bei der Folgenabschätzung ist der zentrale Datenschutzbeauftragte von Steinbeis zu beteiligen (Art. 35 Abs. 2 DS-GVO). Zeigt die Datenschutz-Folgenabschätzung ein verbleibendes hohes Risiko, muss zudem die Datenschutzaufsichtsbehörde konsultiert werden (Art. 36 Abs. 1 DS-GVO).

9. Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Art. 33 DS-GVO)

1. Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche auf SU-Ebene unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese dem jeweiligen zentralen Datenschutzbeauftragten von Steinbeis, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde durch den Datenschutzbeauftragten nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.
2. Die Meldung gemäß Absatz 1 enthält zumindest folgende Informationen:
   1. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
   2. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
   3. eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
   4. eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
3. Der Verantwortliche dokumentiert Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen.

10. Betroffenenrechte

Art. 15 DS-GVO regelt das Auskunftsrecht der Betroffenen. Die betroffene Person hat das Recht, eine Bestätigung zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ist das der Fall, hat sie ein Recht auf Auskunft über diese Daten sowie über Informationen unter anderem über die Verarbeitungszwecke, deren Herkunft, Empfänger, über die Dauer der Speicherung sowie über ihre Rechte.

Die betroffene Person hat zudem das Recht, die Berichtigung sowie im Hinblick auf den Zweck die Vervollständigung sie betreffender unzutreffender personenbezogener Daten zu verlangen (Art. 16 DS- GVO).

Daneben haben die Betroffenen nach Art. 17 DS-GVO (mit bestimmten Ausnahmen) das Recht, die Löschung ihrer Daten zu verlangen – zum Beispiel wenn diese zu dem Zweck, zu dem sie ursprünglich erhoben oder verarbeitet wurden, nicht mehr erforderlich sind oder die dazu erteilte Einwilligung widerrufen wurde.

Der Verantwortliche muss grundsätzlich allen Empfängern der Daten jede Berichtigung, Löschung oder Einschränkung der Verarbeitung mitteilen (Art. 19 DS-GVO).

Sie haben noch Fragen?

Richten Sie bitte eine E-Mail mit Ihren Fragen und Kontaktdaten inklusive Angaben zur telefonischen Erreichbarkeit an folgende E-Mail-Adresse: Datenschutz@steinbeis.de. Sie werden umgehend kontaktiert.