§ DSGVO: Ihre wichtigsten Pflichten als WLAN-Hotspot Betreiber

Die Uhr tickt, der 25. Mai 2018 nähert sich mit Riesenschritten. Es ist zwar immer noch so, dass unklar ist, wie die Exekution der neuen Regelung beziehungsweise die angekündigten Überprüfungen aussehen werden. Dennoch ist es ratsam, vorbereitet zu sein und die wichtigsten Prinzipien zu beachten. Mit dem global zunehmenden Datenverkehr werden Datenklau und -missbrauch in Zukunft kaum weniger werden, deshalb ist es grundsätzlich zu begrüßen, wenn Gesetzgeber mehr Bewusstsein für das Thema und mehr Verantwortung für Unternehmen schaffen. Mittlerweile kommt man an der Berichterstattung in den Medien nicht mehr an der DSGVO vorbei. Trotzdem sind immer noch erstaunlich viele Firmen nicht oder unzureichend vorbereitet. Immer wieder hören wir Fragen wie diese:

„Betrifft uns das denn wirklich, müssen wir da etwas tun?“ Die Antwort ist eindeutig: JA.

Heute verarbeiten alle Unternehmen persönliche Daten, und somit ist jeder, von der Einzelfirma bis zum Großkonzern, betroffen.

Ist das einmal geklärt, lauten die nächsten beiden Fragen meistens: „Worum geht es dabei überhaupt?“ und „Was muss ich machen?“ Diese wollen wir hier in Form eines kurzen Überblicks beantworten:

@Frage#1

Ziel der Datenschutzgrundverordnung ist es, im Zeitalter der massenhaften Datenverarbeitung und der globalen Datennetze die Sicherheit und Privatsphäre natürlicher Personen angemessen zu schützen. Das Regelwerk trat bereits 2016 in Kraft. Was jetzt abläuft, ist lediglich die Übergangsfrist, in der es keine systematischen Kontrollen und keine Strafen für Verstöße gab. Und ab dem 25. Mai drohen Strafen, die bis zu 4% des weltweiten Gesamtumsatzes von Unternehmen ausmachen können.

@Frage#2

Hierfür beleuchten wir am besten nochmals die wichtigsten Pflichten, die die Verordnung uns auferlegt:

• 1. § ART 5/1B und 1C – DATENSPARSAMKEIT: Es dürfen nicht mehr Daten gesammelt und verarbeitet werden als unbedingt nötig, um einen Zweck oder Auftrag zu erfüllen. Bieten Sie zum Beispiel freien WLAN-Zugang für Restaurantgäste an, gibt es keinen Grund, Adressdaten abzufragen. Wenn es Sie allerdings interessiert, wo Ihre Gäste herkommen, was durchaus ein legitimes Interesse für einen Restaurantbetreiber sein kann, dürfen Sie sie sehr wohl fragen, allerdings müssen Ihre Gäste diese Information bewusst und freiwillig (siehe #3) preisgeben, und vielleicht fragen Sie lieber nur nach der Postleitzahl.
  

  Wie hilft mir das Privacy Toolkit dabei?

  Die IACBOX hilft Ihnen schon ohne das Kit, indem Sie datensparsame Anmeldemethoden anbietet, wo eine Zimmernummer, eine Ticket-ID oder andere schwach personenbezogene Parameter zur Authentifizierung herangezogen werden können. Das Privacy Toolkit macht noch mehr, indem es alle, auch extern eingebundene Anmeldemethoden, dokumentieren kann (siehe Pflichten unter #4) und außerdem Warnungen ausgibt, wenn datenschutzkritische Einstellungen gesetzt werden.

• 2. § ART 5/1E – BEGRENZUNG DER SPEICHERFRIST: Daten dürfen nicht länger als für die Erfüllung eines Auftrages oder aufgrund anderer rechtlicher Vorgaben nötige Zeit gespeichert werden.
  

  Wie hilft mir die IACBOX dabei?

  Die IACBOX unterstützt Sie mittels einstellbarer Anonymisierungs- und Löschfunktion. Anonymisierte Daten sind zwar nicht mehr persönlich und könnten nun theoretisch beliebig lang gespeichert werden, doch nicht benötigte Daten sind letztlich Ballast, wozu ewig aufbewahren? Das Privacy Toolkit warnt Sie noch dazu, wenn Sie kritische Fristen eingestellt haben. Natürlich können Sie dafür gute Gründe haben, daher bietet es auch die Möglichkeit, die Warnungen zu übergehen.

• 3. § ART 5/1A – RECHTMÄßIGKEIT UND VERARBEITUNG NACH TREU UND GLAUBEN: Betroffene haben ein Recht zu wissen, wozu ihre Daten verwendet werden, und sie müssen sich auf die Zweckbindung verlassen können. Deshalb gilt ein Koppelungsverbot: Die gesammelten Daten dürfen nur für den übereingekommenen Zweck – etwa Nutzung des Gäste-WLAN im Restaurant – gesammelt werden. Damit zugleich die Zustimmung zum Newsletter-Versand zu erzwingen, geht nicht mehr. Dazu einladen dürfen Sie Ihre Gäste sehr wohl, aber bitte separat und deutlich erkennbar.
  

  Wie hilft mir die IACBOX dabei?

  Die Login-API der IACBOX macht Einbindungen von CRM- oder Mailing-Software möglich, und so können Sie etwa für Ihre Anmeldeseite eine kleine Newsletter-Anmeldung mit extra Checkbox für die Zustimmung einbauen. ACHTUNG: Solche Verarbeitungstätigkeiten gehören begründet und dokumentiert – siehe #4. Dabei hilft Ihnen das Privacy Toolkit, indem Ihre Angaben und Begründungen in das dynamisch generierte Datenverarbeitungsverzeichnis aufgenommen werden.

• 4. ART 5/2 und 30 – RECHENSCHAFTS- UND DOKUMENTATION: Die DSGVO nimmt uns alle in die Pflicht, den rechtskonformen Umgang mit persönlichen Daten zu dokumentieren und nachweisen zu können. Sie müssen in einem Datenverarbeitungsverzeichnis festhalten, welche Kategorien von Daten von welchen Kategorien von Personen gesammelt werden und was damit geschieht. Obliegt die Verarbeitung Ihnen oder wird sie an Dienstleister ausgelagert? Werden die Daten in ein Nicht-EU-Land weiter gegeben? Herrscht dort vergleichbare Rechtssicherheit wie in der EU? Das ist vielleicht das schwierigste Thema, denn auch wenn Sie einen Auftrag auslagern, einen Cloud-Dienst beauftragen, tragen Sie immer noch die Verantwortung für die Rechtskonformität gegenüber Betroffenen.
  

  Wie hilft mir das Privacy Toolkit dabei?

  Mit dem neuen Privacy Toolkit der IACBOX können Sie ein dynamisch generiertes Datenverzeichnis erstellen. Dabei checkt die IACBOX, welche Anmeldemethoden und welche Datenfelder im Einsatz sind und erzeugt ein individuelles Verzeichnis als PDF, mit Datum und Zeitstempel. Dieses Verzeichnis können Sie ausdrucken und abheften, und das beliebig oft: nach jeder Änderung neu, oder nur im Anlassfall, das bleibt ganz Ihnen überlassen. Wenn Ihre IACBOX an ein PMS, CRM, eine Datenbank oder ein anderes Backend über Login-API angebunden ist, haben Sie zusätzlich frei editierbare Textbausteine zur Verfügung, wo Sie angeben können, was im Zuge dieser Anbindung mit den Daten passiert – damit Sie Ihrer Dokumentationspflicht vollständig und komfortabel nachkommen können. Dazu liegt eine Auftragsverarbeiter-Vereinbarung bei, die Sie einem eventuell beauftragten Dienstleister vorlegen können, um sicherzustellen, dass er ebenso wie Sie den Datenschutz wahrt.

• 5. § ART 5/1F und 28 – VERTRAULICHKEIT UND INTEGRITÄT: Sie müssen die Vertraulichkeit der Daten sicher stellen, und gewähleisten dass sie nicht verfälscht werden. Wie sollen Sie das machen, was wenn ein böswilliger Hackerangriff erfolgt? Keine Sorge – die DSGVO verlangt nicht von Ihnen, besser zu sein als die Exekutive selbst, und das zu verhindern. Sie sind aber sehr wohl gefordert, technische und organisatorische Maßnahmen zu setzen, um die Daten Ihrer Kunden davor im angemessenen Ausmaß zu schützen. Wie das genau auszusehen hat, legt die Verordnung nicht fest. Gängige Standards, wie etwa ein TSL (früher: SSL) Zertifikat für Ihre Daten sammelnde Webseite sowie eine Unterweisung und Vertraulichkeitsvereinbarung mit Mitarbeitern, die diese Daten zu Gesicht bekommen, werden sicherlich vorausgesetzt.
  

  Wie helfen mir IACBOX und Privacy Toolkit dabei?

  Nachdem Dokumentation nicht nur Pflicht, sondern zwingende Voraussetzung für die Erfüllung der Rechenschaftspflicht ist, leisten IACBOX und Privacy Toolkit da einiges für Sie. Zum einen wird das TSL Zertifikat der IACBOX selbst laufend aktualisiert, somit sind Sie da auf der sicheren Seite. Außerdem werden alle Zugriffe Ihrer Admin-Benutzer auf Daten von der IACBOX geloggt und sind damit dokumentiert und nachvollziehbar. Zudem können Sie mit dem Privacy Toolkit jedem Admin-Benutzer eine Vertraulichkeitsvereinbarung anzeigen lassen, der er zustimmen muss ehe er mit seiner Tätigkeit beginnt. Die Unterweisung und Vereinbarung liegt zum Ausdrucken und Unterschreiben als PDF bei, ebenso wie eine Auftragsverarbeiter-Vereinbarung, der Volltext der DSGVO zum Nachschlagen sowie eine Vorlage für eine Datenpannenmeldung und eine Liste der zuständigen Datenschutzbehörden.

• 6. § ART 12, 13 und 15 – INFORMATION UND AUSKUNFT: Sie sind verpflichtet, dem Betroffenen, dessen Daten Sie verarbeiten, jederzeit Auskunft zu geben. Diese und der Datenschutzhinweis sind in klar verständlicher Sprache abzufassen, und es muss eine Kontaktmöglichkeit für den Betroffenen geben.
  

  Wie helfen mir IACBOX und Privacy Toolkit?

  Die IACBOX verlangt nach einem Kontakt zum Einfügen in den Datenschutzhinweis, der auf der Anmeldeseite angezeigt wird. Der Hinweis selbst ist in klar verständlicher Sprache abgefasst. Sie können aber auch Ihren eigenen Datenschutzhinweis einsetzen, denken Sie aber unbedingt an die Kontakmöglichkeit. Dazu haben Sie mit dem Privacy Toolkit die Möglichkeit, auf ein eventuelles Auskunftbegehren mit der Zusendung des dynamisch genrierten Reports zu antworten. Damit erfährt der Anfragende, was genau mit seinen Daten geschieht. Sollte er Löschung verlangen, ist dies unter dem Tab Datenschutz möglich, mit oder ohne Privacy Toolkit. Bedenken Sie allerdings, dass Daten eventuell nicht nur auf der IACBOX verarbeitet werden, wenn Backends eingebunden sind, und ergänzen Sie den Report entsprechend.

Bei der IACBOX gehen wir davon aus, dass im regulären Betrieb keine von der DSGVO in Art 9/1 als sensibel eingestuften Daten verarbeitet werden, die sich auf rassische oder ethnische Herkunft, politische oder religiöse Überzeugungen, Gewerkschaftszugehörigkeit und Weltanschauung, genetische oder biometrische Parameter, sexuelle Orientierung oder Sexualleben oder Gesundheit beziehen. Dies ist grundsätzlich untersagt, außer in den in Art 9/2 genannten legitimen Fällen, zu denen unter anderem die Wahrung lebenswichtiger Interessen gehört. Eine Datenschutz-Folgenabschätzung lt. Art. 35 ist in diesem Fall dringend gefordert. Aber auch in allen anderen Fällen hilft sie zum Verständnis der Pflichten, die jeden Datenverarbeiter treffen, und sei es nur indem sie bewusst macht, welche unangenehmen Folgen nachlässige Behandlung der Datensicherheit haben kann – ganz unabhängig davon, ob ein WLAN-Hotspot betrieben wird oder nicht.

Sie möchten jetzt Ihr Privacy Toolkit bestellen? Kontaktieren Sie Ihren lokalen IACBOX Partner.