DSGVO: Was, Wie, Wo? Teil 1

Seit Ende Mai sind alle außer Rand und Band - die Welt geht unter und Name, Adresse, E-Mail sowie Telefonnummer der Kunden dürfen nicht mehr verwendet werden, außer man hat eine 30 Seiten lange Erklärung unterschreiben lassen, oder?
Als Erstes: keine Panik!
Als Zweites: wenn Sie noch nie von DSGVO oder Datenschutzgrundverordnung gehört haben, dann wird es Zeit, sich darüber zu informieren.

1) DSGVO: was ist das?

Die DSGVO regelt den Umgang mit Daten von natürlichen Personen („Betroffene“ im Jargon der Verordnung). Diese Daten sind geschützt und dürfen nicht egal wie verarbeitet werden. Einige Grundregeln sind zu beachten.

Der Betroffene muss darüber informiert werden, welche Art von Daten von ihm abgefragt und verarbeitet werden. Außerdem muss er wissen, zu welchem Zweck die Daten benutzt werden, woher sie stammen und wie lange sie genutzt werden.

Die DSGVO bedeutet ein Umdenken der Unternehmen. Daten dürfen nicht leichtfertig erfragt und genutzt werden, sondern müssen in nachvollziehbarem Maße geschützt werden. 

2) Um welche Daten geht es? Ich habe doch gar keine wichtigen Daten von Verbrauchern.

Die Daten, die unter die DSGVO fallen, sind extrem vielfältig.Es geht um alle Daten, die sich auf eine identifizierbare natürliche Person beziehen.Neben Name, Adresse, Telefonnummer und E-Mail sind es auch Informationen über Gehalt, Einkaufverhalten, Bankkonten, Laufbahn, GPS-Daten, usw.auf die die DSGVO anwendbar ist.Natürlich sind Fotos auch Daten, die sich auf eine Person beziehen und dürfen nicht einfach benutzt oder veröffentlicht werden.

Auch Informationen über das eigene Personal, Ansprechpartner in Behörden, andere Unternehmen oder über Kunden fallen unter den Datenschutz.Wir verfügen über die Namen, E-Mail, Mobilnummer usw.dieser Personen.

3) Ich falle nicht unter die Verordnung, da ich keine Datenverarbeitung betreibe, oder?

Im Prinzip fällt ein Unternehmen allein deshalb schon unter die DSGVO, weil es Daten der Mitarbeiter verarbeitet und dies tagtäglich: Arbeitszeitverwaltung, Lohnbuchhaltung, Einsatzpläne, usw. werden jeden Tag genutzt und damit auch die persönlichen Daten der Mitarbeiter.

Somit fällt auch jeder, der eine Sicherheitskopie seiner Betriebsdaten anfertigt, unter die DSGVO.

4) Muss ich jedes Mal das Einverständnis der Person haben, sonst kann ich nichts mehr machen?

Das Unternehmen muss eine Rechtfertigung haben, um personenbezogene Daten verarbeiten zu dürfen.Ein Einverständnis ist eine der Rechtfertigungen, auf die man sich dabei stützen kann.Es ist anzuraten, eine schriftliche Einwilligung vorlegen zu können.Ein mündliches OK reicht zwar auch aus, ist aber im Zweifelsfalle nicht nachweisbar.Problem bei der Zustimmung: sie kann zu jeder Zeit zurückgezogen werden.Deshalb sind andere Rechtfertigungsgründe interessanter.

5) Nur große Firmen müssen sich mit dem Datenschutz auseinandersetzen, oder?

Definitiv falsch: sobald jemand regelmäßig personenbezogene Daten verarbeitet, fällt er unter die Anwendung der DSGVO.

Es stimmt, dass große Firmen oft andere Maßnahmen ergreifen müssen, um den Datenschutz umzusetzen, aber das heißt auf keinen Fall, dass ein kleines Unternehmen nichts machen muss und sorglos mit personenbezogenen Daten umgehen darf.

6) Was sind denn die Grundregeln, die ich als Verantwortlicher beachten muss?

- Treu und Glauben: die Verarbeitung muss nach bestem Wissen und Gewissen erfolgen. Das Unternehmen muss den Datenschutz auf nachvollziehbare Art und Weise beachten und dies auch beweisen können.

- Zweck: die Daten, die verarbeitet werden, dürfen nur zu bestimmten Zwecken verwendet werden, die vorab auch definiert sind.

- Daten klein halten: das Unternehmen muss die Daten so viel wie möglich minimieren, d.h. dass nicht einfach beliebige Daten erfragt und gesammelt werden dürfen, um diese auszuwerten oder für späteren Gebrauch zu speichern.

- Die Daten müssen richtig sein. Sobald sich Daten ändern, muss dies in die Datenbank eingetragen werden. Dafür muss das Unternehmen aber nicht andauernd die Kunden befragen, ob die Daten noch aktuell sind. Alles muss in einem vertretbaren Verhältnis stehen.

- Die Informationen dürfen nur für eine begrenzte Dauer beibehalten werden. Jedes Unternehmen muss festlegen, wie lange es die Daten behält. In diese Überlegung müssen sowohl gesetzliche Fristen (bzgl. Garantie, Steuer und Sozialgesetzgebung, …) als auch Vertragsverpflichtungen, eigenes Interesse, usw. einfließen.

- Die Sicherheit der Daten muss gewährleistet werden. Hierunter fällt vor allen Dingen, dass das Unternehmen die Daten vor äußeren Angriffen (z.B. Computerviren, Hacker- und Trojanerangriffe) und internen Datenlecks schützen muss. Auch regelmäßige (tägliche!) Sicherheitskopien und die Zugangskontrolle zu den Gebäuden und den IT-Netzwerken und Programmen gehört zu den unerlässlichen Aufgaben der Organisation.

- Die Einhaltung dieser Regeln muss nachgewiesen werden können. Es muss also auch eine Dokumentation angelegt werden, die beweist, dass z.B. die zuständigen Mitarbeiter geschult wurden, dass das Computernetzwert sicher ist, usw.

Quelle: Rainer Palm, Rechtsanwalt bei der Kanzlei Zians & Haas


copyright ©2018 Mittelstandsvereinigung der Deutschsprachigen Gemeinschaft