Stellungnahme zur EU-Datenschutz-Grundverordnung (EU-DSGVO)
Die EU-Datenschutz-Grundverordnung (EU-DSGVO) trat am 25.05.2016 in Kraft. Anwendbar ist sie spätestens ab dem 25. Mai 2018.
Die Speicherung der Daten erfolgt bei unseren Produkten standardmäßig lokal. Nur für bestimmte Anwendungen werden Daten nach Ihrer ausdrücklichen Zustimmung auf den Servern der Buhl-Data Service GmbH gespeichert, zum Beispiel bei Nutzung unseres Clouddienstes. In diesen Fällen erfüllen wir die Anforderungen der DSGVO als Auftragsverarbeiter.
Da es sich bei der DSGVO um eine Verordnung handelt, ist eine Zertifizierung unserer Produkte nach DSGVO nicht möglich.
Wir empfehlen Ihnen ein strukturiertes Berechtigungskonzept und passwortgeschützte Zugänge.
Bei der Datenschutz-Grundverordnung (DSGVO) geht es um Regeln zur Verarbeitung personenbezogener Daten und freien Datenverkehr innerhalb der EU. Dabei geht es im Wesentlichen um die Rechtmäßigkeit der Verarbeitung personenbezogener Daten, Transparenz- und Informationspflichten an Betroffene, Rechte von Betroffenen und Sicherheit von personenbezogenen Daten. Also Grundsätze, die eine Software zwar unterstützen kann, die Einhaltung obliegt aber dem Nutzer. Beispielsweise hat unser Programm eine Löschfunktion, der Pflicht der Löschung von personenbezogenen Daten, wenn zum Beispiel ein Vertrag beendet wird, müssen die Anwender allerdings selbst nachkommen. Die Vorgaben der DSGVO richten sich also weniger an ein Programm, vielmehr an die Verantwortlichen, die eine Erfassung von personenbezogenen Daten vornehmen. Die Einwilligung zur Speicherung von Kundendaten müssen die Anwender einholen, nicht die Software.
Als "Verantwortlicher" gilt nach der Definition des Art. 4 der EU-DSGVO die natürliche oder juristische Person, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Die Verantwortlichen haften dafür, dass bei jedem Verarbeitungsvorgang die Vorschriften der Verordnung eingehalten werden und haben dies durch geeignete Maßnahmen zu gewährleisten. Wenn nötig, müssen sie den Nachweis dafür erbringen. Nach Artikel 2 der Verordnung gilt diese Pflicht nicht für natürliche Personen, die ihre Daten ausschließlich für persönliche oder familiäre Tätigkeiten verarbeiten. Sind mehrere Personen für die Datenverarbeitung zuständig, gelten sie als "gemeinsam Verantwortliche". Sie müssen vereinbaren, wer welche Aufgaben erfüllt, besonders wenn es um die Rechte der betroffenen Personen geht (Art. 24, 26 EU-DSGVO).
Bei mindestens 10 Personen, die ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind oder wenn die Kerntätigkeit in Verarbeitungsvorgängen besteht, welche aufgrund Art, Umfang und/oder Zweck eine umfangreiche regelmäßige und systematische Beobachtung personenbezogener Daten erforderlich machen oder wenn die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten besteht, ist ein Datenschutzbeauftragter zu benennen. Dieser kann Sie in allen Fragen zu DSGVO und BDSG (neu) beraten.