Europäische Datenschutzgrund­verordnung

Die Europäische Datenschutzgrundverordnung (DSGVO) kommt.

von

Was ist zu tun in Handwerk und Mittelstand?

Datenschutzbeauftragten benennen + Unterlagen erstellen

Datenschutzgrundverordnung: Der Druck auf alle Unternehmen steigt. Es ist nur noch wenig Zeit, um rechtzeitig eine Datenschutzbeauftragte zu benennen, eine notwendige Schulung zu absolvieren, die Analyse im Unternehmen durchzuführen und die Dokumentation zu erstellen und damit Strafen wegen Verstößen zu entgehen.

Personenbezogenen Daten schützen

Mit der fortschreitenden Digitalisierung steigt die Masse an personenbezogenen Daten, die Unternehmen erfassen, verarbeiten und speichern. Daraufhin wurde nun die Gesetzgebung europaweit angepasst. Ab 25. Mai 2018 gilt die Europäische Datenschutzgrundverordnung (DSGVO). Der Datenschutz in Unternehmen bekommt damit einen höheren Stellenwert, denn er wird zunehmend zur Herausforderung für jeden Betrieb. Den Originaltext der Datenschutz-Grundverordnung DSGVO finden Sie hier: https://dsgvo-gesetz.de.

Warum das ganze?

Diese Frage hören wir immer wieder. Denn der oder die Fragende haben Erfahrung aus der Umsetzung von Rechtsvorschriften und sich eventuell durch die eine oder andere Zertifizierung gearbeitet. Immer bedeutet das, Schulungen, Papieraufwand, Einsatz unzähliger Arbeitsstunden sowie Einkauf externen Fachwissens. Es kamen neue Ordner mit entsprechend viel Papier dazu, mit unter sogar neue Software und die fade Frage, ob das Arbeiten nun effizienter sei. Jedoch trugen diese Dinge nachhaltig zum Unternehmenserhalt und Unternehmenserfolg bei. Nach Arbeitssicherheit, Umwelt und Datensicherheit kommt nun etwas neues: Datenschutz im europäischen Maßstab.

Wen betrifft es wirklich?

Doch diesmal trifft es nicht nur die fortschrittlichen Digitalisierer oder diejenigen, die sich einen Wettbewerbsvorteil aus einer Zertifizierung versprechen. Nein diesmal sind alle Unternehmen ab 10 Mitarbeiter betroffen, die in Europa geschäftlich unterwegs sind – egal wo sie sitzen und egal mit welcher Größe sie im Markt sind oder erst einsteigen.

Was passiert mit Ihren Daten?

Alle Unternehmen müssen Auskunft geben können, wie mit personenbezogenen Daten umgegangen wird. Das umfasst alle Prozesse, Technik und Personen die mit Erfassung, Verarbeitung und Speicherung in Verbindung stehen. Zum einen sind es die Wege die die Daten bei Erfassung und Verarbeitung nehmen, die Stellen mit Datenzugriff als auch die Speicherorte. Zum anderen sind es die Maßnahmen zur Sicherung und Abwehr von Missbrauch. Klingt das für Sie nach viel Aufwand? Auf jeden Fall zeichnen sich prozessgebundene und hoch automatisierte Arbeiten hier aus. Denn der Analyseaufwand wird mit jedem standardisierten Prozess der Arbeit geringer.

Was umfasst der Begriff „Personenbezogene Daten“?

Alle Daten die Rückschluss auf reale Personen zulassen oder amtlich gesagt: Es sind alle „Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.“ Das kann ein Name sein, eine E-Mail Adresse, das Kfz-Kennzeichen aber auch Aufzeichnungen über Interessen, Arbeitsergebnisse und Arbeitszeiten, Pausen sowie Urlaub. Die DSGVO ist dafür geschaffen, personenbezogene Daten vor Missbrauch zu schützen. Und welch Unternehmen mit Angestellten hat keine E-Mailadressen, Mitarbeiter- und Kundenadressen bis hin zu Kalkulationen und Auftragsdaten?

Sind auch kleine Unternehmen betroffen?

Ja, die DSGVO betrifft alle Organisationen deren Daten und Datenverarbeitung sowie Datenspeicherung, Rückschluss auf Personen zulassen. Dabei sind papiergebundene Angaben (Visitenkarte, Berichte, Protokolle) ebenso wie elektronisch gespeicherte Daten (Excel-Liste, Datenbank, CRM, MIS …) und Daten die in Shop- bzw.  Fremdsystemen erfasst, verarbeitet oder gespeichert werden, betroffen.

Eine weitere Frage die geklärt werden muss, betrifft den Verantwortlichen für die protokollierenden  Arbeiten wie für die Durchsetzung von Schutzmaßnahmen. Unternehmen ab 10 Mitarbeiter müssen einen eigenen Datenschutzbeauftragten bestellen und der entsprechenden Landesstelle gegenüber benennen. Für alle kleineren Unternehmen wird es verpflichtend, wenn sie personenbezogene Daten mit Computern verarbeiten, die Profile oder Rückschlüsse auf Persönlichkeitsmerkmale zulassen. Das dürfte z.B. bei Versand und Auswertung von Mailings, Gewinnspielen etc. bereits der Fall sein. Besonders dann, wenn Persönlichkeitsmerkmale erhoben werden, die mit der Gesundheit oder dem Sozialverhalten zu tun haben.

Muss bei der persönliche Werbung etwas beachtet werden?

Wer in Zukunft Werbung machen will, benötigt dazu die ausdrückliche Genehmigung des Empfängers. Dazu reicht es nicht mehr aus, dass eine Person bzw. ein Unternehmen schon mal Kunde war. Ausnahmen gibt es nur, wenn damit zu rechnen ist, das die beworbene Leistung / Produkt dringend benötigt werden. Dafür gibt es allerdings nicht viele „als berechtigt anzunehmende“ Gründe. Alle anderen haben die Zusendung von Newsletter, Gruß- und Werbemails im Vorfeld schriftlich zu bestätigen. Erst dann darf versendet werden.

Was ist aber nun ein Datenschutzbeauftragter?

Zum Datenschutzbeauftragter darf bestellt werden, wer die fachlichen Fähigkeiten zur Erfüllung seiner Aufgaben besitzt und zuverlässig ist. Fachkenntnisse betreffen das Datenschutzrecht sowie sonstigen relevanten Rechtsvorschriften. Weiterhin müssen grundlegende IT-Kenntnisse sowie betriebswirtschaftliche Kompetenzen vorhanden sein. Betriebliche Verfahrensabläufe und die Betriebsorganisation (besonders die Datenverarbeitungsprozessen) müssen erkannt und beurteilt werden können.

Wer soll Datenschutzbeauftragter werden?

Datenschutzbeauftragter des Unternehmens kann ein Mitarbeiter / Mitarbeiterin sein oder auch ein externer Dienstleister werden. Es darf niemand aus der Geschäftsleitung sein oder derjenige, der die IT im Unternehmen betreut. Die Person muss befähigt werden (geschult) und in der Lage sein, die Prozesse zu erkennen und Maßnahmen zum Schutz der Daten durchzusetzen. Das bedeutet, der Datenschutzbeauftragte bekommt auch eine Weisungsberechtigung im Unternehmen. Er oder sie selbst werden für ihre Arbeit nicht vom Gesetzgeber zur Rechnenschaft gezogen oder strafverfolgt, da sie nur im Auftrag der Geschäftsführung tätig sind. Womit dann auch klar sein sollte, dass die Geschäftsleitung vollumfänglich gerichtbar gemacht wird. Und die Strafmasse sind mit Strafen „bis zu 10 Mill. Euro bzw. max. zwei Prozent des weltweiten Umsatz“ (und im Wiederholungsfall doppelt so hoch) keine Bagatelle die aus der sprichwörtlichen Portokasse beglichen wird. Doch dazu muss es ja erst garnicht kommen, Sie haben es jetzt noch in der Hand, die entsprechenden Vorbereitungen zu treffen.

Beratung bei weiteren Fragen

Das Expertenteam aus Berlin, hält für den rechtssicheren Umgang mit der DSVGO geeignete Software bereit. Auch kann bei der Prozessaufnahme sowie die Konzeption von Schutzmaßnahmen externe Hilfe vermittelt werden. Anderseits ist es die richtige Zeit, zu hinterfragen, ob die Datenerhebung und Umgang mit Daten im Salesprozess noch dem Stand der Zeit entspricht. Hier ein geeignetes Businessmodelle zu erarbeiten und die Prozesse an die Erfordernisse anzupassen sind Teil der Leistung.

Auf Ihren Rückruf freut sich Claudia Blume. Mit ihr besprechen Sie konkrete Möglichkeiten für Beratung und mehr. Tel +49 30 2028 6609 | Mobil +49 179 146 0316

Berlin, Februar 2018 | Ralf Hasford | Moderator und Berater
Partner bei Fels oder Brandung