Einfluss auf die EU Datenschutz-Grundverordnung (DSGVO) bei Alarmierungen

DSGVO Alarmierung

Inzwischen hat sicherlich fast jeder mitbekommen, dass seit dem 25. Mai 2018 die EU-Datenschutz-Grundverordnung (DSGVO) gilt und damit entscheidene Änderungen des Datenschutzrechtes in Kraft treten. Die DSGVO verpflichtet Unternehmen und Selbstständige, ganz besonders im Bereich IT, umfassende neue Pflichten beim Umgang mit personenbezogenen Daten zu beachten.

 

Im Vorfeld der DSGVO haben Kunden gefragt, wie wir mit den in MultiBel gespeicherten Daten umgehen. Hierfür haben wir mit unseren Kunden Bearbeitungsvereinbarungen abgeschlossen oder überarbeitet. Für potenzielle Kunden gibt es häufig Diskussionen darüber, welche Daten für wen transparent sind.

Viele DSGVO Anforderungen sind nicht neu. Die DSGVO hat das alte deutsche Bundesdatenschutzgesetzes (BDSG) ersetzt. Mit der DSGVO müssen Unternehmen klarer definieren, wie sie Daten sammeln, wozu sie verwendet werden und wie lange sie gespeichert werden.

Worauf müssen Sie bei Ihrem Alarmierungssystem achten?

Der Schutz personenbezogener Daten ist nicht in allen Ländern gleich. Die Weitergabe personenbezogener Daten aus Deutschland an andere Länder sollte daher nur dann weitergegeben werden, wenn das andere Land einen ausreichenden Schutz bietet.

Bearbeitungsvereinbarung

Zunächst müssen Sie immer eine gültige Bearbeitungsvereinbarung sicherstellen.

Länder innerhalb des Europäischen Wirtschaftsraums (EWR)

Alle Länder der europäischen Wirtschaftszone halten die genannten Maßnahmen ein und somit können Daten problemlos ausgetauscht werden. Dies bedeutet, dass für alle 28 EU-Länder, die 3 EFTA-Mitgliedstaaten (Norwegen, Liechtenstein und Island) keine Einschränkungen auf Basis der DSGVO gelten.

Länder außerhalb des Europäischen Wirtschaftsraums (EWR)

Sie müssen besonders vorsichtig sein, wenn persönliche Daten in Länder außerhalb des Europäischen Wirtschaftsraums gelangen. Personenbezogene Daten dürfen grundsätzlich nicht dorthin gelangen, es sei denn, das Gesetz (DSGVO) legt dies fest. Daten dürfen nur in diesen Ländern gespeichert werden, wenn die Europäische Kommission entschieden hat, dass in diesem Land ein angemessenes Schutzniveau gewährleistet ist. Dies sind derzeit folgende Länder:

  • Andorra
  • Argentinien
  • Teile von Kanada
  • Färöer Inseln
  • Guernsey
  • Israel
  • Isle of Man
  • Jersey
  • Neuseeland
  • Uruguay
  • Vereinigte Staaten, vorausgesetzt, dass das amerikanische Unternehmen dem Privacy Shield angeschlossen ist
  • Schweiz

Die o.g. Liste wird normalerweise alle vier Jahre aktualisiert, es sei denn, es besteht Grund, dies öfter zu tun. Die aktuellste Liste finden Sie hier.

Derzeit ist noch nicht klar, ob das Vereinigte Königreich nach dem Brexit noch im EWR gezählt wird oder ob eine gesonderte Anerkennung erfolgen muss.

In Zusammenhang damit wird auch mit den Vereinigten Staaten über den Privacy Shield gesprochen. Dies ist eine Verordnung (ab Juni 2016) zwischen den USA und der EU, in der verbundene Unternehmen erklären, dass sie sich an die europäischen Vorschriften halten, und die USA erklären, dass sie keinen Zugang zu den Daten nach US-Recht verlangen. Aus rechtlicher Sicht besteht jedoch das Risiko, dass der Zugriff auf die Daten unter dem Deckmantel der „nationalen Sicherheit“ gewährleistet werden muss.

Infolgedessen gibt es bereits Anlass zu Bedenken hinsichtlich des Privacy Shield, weshalb Unternehmen es bevorzugen, mit einer europäischen Tochtergesellschaft eines amerikanischen Unternehmens wie den Tochtergesellschaften von Amazon oder Microsoft in Irland und Belgien Geschäfte zu tätigen. Allerdings möchten die amerikanischen Behörden die Muttergesellschaften immer noch dazu verpflichten, die Daten dieser Tochtergesellschaften zu erheben. Dies muss bald vom US Supreme Court entschieden werden. Wenn die Möglichkeit dieser Verpflichtung besteht, wäre dies die Konstruktion, um Geschäfte mit einer europäischen Tochter zu machen. Wenn ein amerikanisches Unternehmen nicht mit dem Privacy Shield verbunden ist, speichern diese Unternehmen möglicherweise keine personenbezogenen Daten Ihrer Organisation.

Die Angelegenheit wird noch komplizierter, als das Europäische Parlament im Juli 2018 eine Entschließung verabschiedete, in der die Europäische Kommission aufgefordert wurde, den Privacy Shield mit den USA auszusetzen. In der Entschließung heißt es, dass das Parlament der Ansicht ist, dass das Privacy Shield-Abkommen nicht den Datenschutzgesetzen der Europäischen Union entspricht. Die Aussetzung muss stattfinden, wenn die US-Regierung die Umsetzung der Datenschutzvereinbarung nicht bis zum 1. September verbessert hat.

Welche Themen sind besonders wichtig für eine Verarbeitervereinbarung mit einem Alarmierungsdienst?

Wir geben Ihnen eine Reihe von Themen, die sich in der durchschnittlichen Prozessorvereinbarung widerspiegeln.

Welche Daten werden gespeichert?

Der sorgfältige Umgang mit Daten hat mit der einzigen Speicherung der minimal erforderlichen Daten „Privacy by Default“ zu tun. Wenn ein Alarmierungsdienst Daten wie Geschlecht, Alter usw. benötigt, können Sie sich fragen, wozu diese Informationen benötigt werden.

Wo sind die Daten gespeichert?

Gibt es Vereinbarungen zwischen dem Alarmierungsdienst und dem Cloud-Speicherdienst? Die Cloud ist fantastisch, sie hilft enorm beim flexiblen Arbeiten und beim Schutz unserer Daten. Es ist wichtig zu wissen, in welchem Land die Daten gespeichert und verarbeitet werden.

Wer entwickelt und verwaltet die Software?

Gibt es Vereinbarungen zwischen dem Alarmierungsdienst und dem Lieferanten?

Wer hat Einblick in die Daten?

Hier sind zwei wichtige Fragen:

  • Wer hat Einblick in die persönlichen Daten in der Organisation des Kunden und wer kann die Daten ändern?
  • Welche Mitarbeiter in der Organisation des Alarmierungsdienstes haben Einblick in die Daten des Kunden und können diese auch ändern? Hierbei ist es wichtig, dass die mit den Daten ausgeführten Aktionen auf die Aktionen beschränkt sind, die für die Ausführung des Dienstes erforderlich sind.

Wird eine Standortregistrierung verwendet?

Wenn ein Alarmierungsdienst mit automatischer Anwesenheitsregistrierung verwendet wird, ist die Standortbestimmung wichtig. Eine wichtige Frage bei der Standortbestimmung ist, inwieweit die alarmierte Person „verfolgt“ wird. Kann die Organisation die Mitarbeiter auch außerhalb des physischen Standortes der Organisation in der Privatsphäre verfolgen?

Wer sendet die Alarmmeldungen?

Alle telefonischen Nachrichten (sowohl Sprachnachrichten als auch SMS) werden von lokalen Providern verschickt. Dies bedeutet, dass wir in Deutschland Verträge haben, zum Beispiel mit KPN, Vodafone usw. Wenn Nachrichten an Unternehmen wie WhatsApp, Facebook usw. gesendet werden, sind Ihre Daten definitionsgemäß in den USA.

Wie sind die Daten gesichert?

Die Sicherheit der Daten ist eine Grundvoraussetzung. Im Jahr 2017 wurden insgesamt 2,6 Milliarden entwendete, verlorene oder preisgegebene Datensätze weltweit registriert – ein Anstieg von 88 Prozent gegenüber 2016. Dies ist wahrscheinlich zum Teil auf die Vertrautheit und die Verpflichtung zur Meldung eines Datenlecks zurückzuführen, zeigt aber auch, dass die Sicherheit nicht immer in Ordnung ist.

Wie werden personenbezogene Daten nach Vertragsbeendigung verarbeitet?

Nach Beendigung des Dienstes müssen die persönlichen Daten gelöscht oder auf Anforderung an die Organisation zurückgegeben werden.

Fazit:

Es ist wichtig, wo und von wem Ihre Daten verarbeitet, gespeichert und verarbeitet werden. Sie sollten darauf achten, wie die Daten während und nach dem Vertrag behandelt werden. Für die Übermittlung von Daten in ein Land innerhalb des Europäischen Wirtschaftsraums (EWR) gelten andere Regeln als für die Übermittlung in ein Land außerhalb des EWR. Wenn Sie sich an DSGVO halten möchten, ist es schwierig, Daten außerhalb des EWR zu speichern.

ursprünglicher Text: 13-07-2018

Update: 30-07-2018