Tecart BG dunkel

Die DSGVO ist da: Tipps für mehr Licht im DSGVO-Nebel

Mitte April titelte Heise mit dem Artikel „DSGVO: Deutsche Unternehmen schlecht vorbereitet“ , der sich auf eine Befragung im März/April 2018 von 606 mittleren und großen Unternehmen stützt.

Und sie scheinen Recht zu behalten. Noch immer hat man das Gefühl, dass bei vielen Unternehmen nichts passiert ist. Kleinst- und Kleinunternehmen suchen händeringend ausgebildete Mitarbeiter, jagen Mitarbeiter zu völlig ausgebuchten Kursen oder versuchen externe Datenschutzbeauftrage einzukaufen, die ihr Unternehmen schnell per Fingerschnips datenschutzkonform machen. Bisher bleiben die befürchteten Abmahn- und Bußgeldwellen aus. Allerdings wittert so manch‘ ein Mitbewerber nun seine Chance den unbeliebten Wettbewerber endlich eine auszuwischen oder sogar aus dem Markt zu drängen, wie t3n.de berichtet . Jedoch ist das alles aktuell eine große Grauzone mit ungenauer Rechtslage.

Aller Panikmache zu Trotz haben die Unternehmen bisher den 25.05.2018 überstanden und das Internet in Deutschland gibt es immer noch. Zugegeben, dies ist etwas überspitzt dargestellt.

Aber warum eigentlich diese Panik?

So müssen sich doch Unternehmen schon seit Jahren an das Bundesdatenschutz-, Telemedien- und Telekommunikationsgesetz halten. Diese Gesetze waren gegenüber den anderen Länder schon sehr streng und werden zum großen Teil zum europäischen Standard.

Um die Frage zu beantworten: Weil die Bußgelder empfindlich gestiegen sind.

Vor der neuen Zeitrechnung am 25.5.2018 wurden meist Bußgelder zwischen 1.000€ und 7.000€ verhängt, nun sind es 2 % bzw. 4 % vom Jahresumsatz. So muss der Geschäftsführer mit mehr Nullen rechnen. In diesem Beitrag gehe ich auf die Herausforderungen, die auch nach dem 25.05.2018 für Unternehmen bestehen bleiben ein.

Der Datenschutzbeauftragte zwischen den Stühlen

Die neue Datenschutzgrundverordnung gibt es eigentlich schon seit fast zwei Jahren. Die wenigsten Unternehmen haben aber bereits so früh angefangen, weil Änderungen oder sogar das Kippen der Verordnung erwartet wurde. Vom Gefühl her, ohne Jemanden beleidigen zu wollen, ist ähnliches auch bei den Behörden für Bundes- und Landesdatenschutz passiert. Das Gesetz kam, aber ein Leitfaden fehlte. Mittlerweile bieten einige Vordrucke an, aber Unsicherheiten, bspw. in der Risikofolgeabschätzung und Meldung des Datenschutzbeauftragten, existieren. Zudem betrifft die Verordnung nicht nur Selbstständige und Unternehmen, sondern trifft auch die Behörden selbst.

Am Ende soll es der Datenschutzbeauftragte „ausbaden“.

Dieser soll aber gar nicht derjenige sein, der den Großteil der Arbeit erledigen muss. Es ist Sache des Verantwortlichen für das Unternehmen, also der Geschäftsführer. Dieser kann die Aufgabe an seine leitenden Mitarbeiter delegieren, aber er ist und bleibt immer der Verantwortliche. Der Datenschutzbeauftrage nimmt lediglich eine überwachende und kontrollierende Funktion ein. Schließlich kann dieser nicht jeden Vorgang aus der Buchhaltung und dem Marketing kennen. Was viele Geschäftsführer auch vergessen ist, dass der Datenschutzbeauftragte ihren Weisungen nicht untersteht. Beispielsweise hängen Kundenakten, welche Bankverbindung und Bilanzdaten enthalten, im Flur des Unternehmens, sodass jeder Mitarbeiter und Besucher sich diese ansehen oder gar kopieren kann. Der Datenschutzbeauftragte würde dies dokumentieren, der Geschäftsführung vorlegen und ihnen raten einen feuerfesten abschließbaren Schrank in einem weniger frequentierten Raum zu stellen. Weigert sich der Geschäftsführer zum Handeln, muss dies entsprechend dokumentiert werden. Im schlimmsten Fall, wenn ein Missbrauch von Daten stattfindet, muss der Datenschutzbeauftragte dies beim Landesdatenschützer anzeigen. Dies kann auch anonym passieren. Eine Kopf-in-den-Sand Einstellung hilft hier nichts.

Nehmen wir an, ein Brand bricht im Flur aus und erfasst die herumhängenden Kundenakten. Plötzlich ist die Grundlage des Unternehmens, genauso wie Nachweise für das Finanzamt weg. Die wenigsten Daten können danach wiederhergestellt werden.

Die Neuerungen

An dieser Stelle werde ich keine genaue Beschreibung oder Diskussion jedes Artikels liefern, ganz einfach, weil es andere gibt, die das viel besser können (z.B. Bitkom, Projekt29). Aus meiner Sicht stellen die folgenden Punkte, die wichtigsten Neuerungen dar:

  • Erweiterung des Verarbeitungsverzeichnisses: Die Verarbeitung von Personaldaten setzt sich bspw. aus den Prozessen Bewerbung, Kündigung, Abwesenheit, Weiterbildung und Lohnzahlung zusammen. So ist der Umgang mit kritischen Daten, z.B. mit Religionszugehörigkeit auf den Prozess der Lohnzahlung beschränkt, da diese Information für die Abführung der Kirchensteuer benötigt wird. Dadurch benötigt die Übermittlung dieser sensiblen Daten weitere Schutzmaßnahmen und wahrscheinlich auch eine Risikofolgenabschätzung.
  • Auftragsverarbeiter benötigen ein Verarbeitungsverzeichnis: Der Auftraggeber muss über den Dienstleister informiert werden und der Verarbeitung zustimmen. Durch das nun ebenfalls zu führende Verarbeitungsverzeichnis sind auch seine Tätigkeiten und der Schutz dieser festgeschrieben. Der Verarbeiter muss sicherstellen, dass der Auftragsverarbeiter das gleiche Sicherheitsniveau wie er selbst hat.
  • Technische und Organisatorische Maßnahmen (TOM’s): Um die Sicherheit von sensiblen Daten zu gewährleisten, müssen die dazu dienenden Maßnahmen dokumentiert und regelmäßig evaluiert werden. Bspw. sollten Updates über ein Patchmanagement eingespielt werden, sodass immer die aktuelle Version des Virenschutzprogramms und des Betriebssystems eingesetzt werden. Was die TOM’s noch beinhalten, lesen Sie in meinem zugehörigen Artikel: DSGVO: Mit TOM durch Dick und Dünn – Warum wir technische und organisatorische Maßnahmen hassen und lieben zugleich
  • One-Stop-Shop: Es gibt immer nur einen Ansprechpartner. Bspw. meldet ein bayrischer Kunde seiner Landesdatenschutzbehörde, dass ein Berliner Unternehmen seine Daten missbräuchlich verwendet und diese trotz Untersagung weiterverkauft. So wendet sich die bayrische an die Berliner Behörde um den Vorfall zu untersuchen. Der berliner Landesschützer kontrolliert das Unternehmen und informiert den Kollegen in Bayern, der widerrum den Kunden in Kenntnis setzt. Dieses Prinzip gilt auch für Drittländer.
  • Marktortprinzip: Die DSGVO gilt auch für Unternehmen mit nicht EU-Sitz, deren Angebot sich an Personen in der EU richtet. Ziel sind hier gleiche Wettbewerbsbedingungen, so wäre es bspw. nicht notwendig, dass Google einen Standort in der EU hat.
  • Hochsetzen des Alters für Datenverarbeitung: Minderjährigen unter 16 und Kindern soll es erschwert werden, Dienste, wie Facebook oder Instagram, ohne Einwilligung des Erziehungsberechtigten zu verwenden.
  • Rechte des Datenschutzbeauftragten: Diese werden, wie oben bereits beschrieben, durch die neue Verordnung deutlich verstärkt.
  • Zustimmungs- und Widerrufsrecht: Eigentlich ist dies keine Neuerfindung, bereits im Wettbewerbsrecht ist es untersagt Altkunden oder Datenbestände unbekannter Herkunft zu bewerben. Verstärkt sind nun die Zweckbindung und die transparente Nutzung. Dies bedeutet, dass bestehende Kunden darüber informiert, welche Daten verarbeitet werden, und sie können der Verarbeitung widersprechen, um Daten zu löschen oder einzuschränken. So ist bei einem bestehenden Vertrag mit monatlicher Abbuchung eine Löschung nicht möglich, weil der Vertrag einen berechtigten Zweck darstellt und die Rechnung zudem 10 Jahre aufbewahrt werden muss. Dadurch ist lediglich eine Einschränkung der Daten über ein Berechtigungskonzept möglich. Auch bei neuen Interessenten, welche sich bspw. per E-Mail melden, kann davon ausgegangen werden, dass sie einer Datenverarbeitung zustimmen. Auch hier muss eine Information mit Widerrufsrecht erfolgen. Kontaktdaten, welche keinen berechtigten Zweck haben, sollten nach einer Prüfung des Zahlungsverkehrs aus der Datenbank entfernt oder eingeschränkt werden. Ein Beispiel: Sie haben drei Bewerber für eine Stelle, Einer erhält Fahrtkosten zurückerstattet, der Zweite die Stelle und der Dritte eine Absage. Bei Letzteren muss lediglich die Widerspruchsfrist abgewartet werden, dann können seine Daten gelöscht werden. Beim Ersten müssen die Bewerbungsdaten gelöscht, aber die Nachweise für die Fahrtkosten aufbewahrt werden. Beim Bewerber, der die Stelle erhält, sollten die Bewerbungsdaten aufbewahrt werden, um Qualifikationen nachweisen zu können.
  • Bestärkung der Rechte des Betroffenen: Wie schon im vorherigen Punkt angedeutet, bekommt der Dateneigentümer mehr Transparenz über die Verwendung seiner Informationen und die Möglichkeit diese Löschen oder Einschränken zu lassen.

Was ist nun zu tun?

Die wenigsten Unternehmen fangen an dieser Stelle mit „Nichts“ an. Um eine Ordnung im Unternehmen zu haben, wurden Prozesse, Abläufe und Dienstanweisungen entwickelt. Diese werden auf den Einsatz von personenbezogenen Daten geprüft und im Verarbeitungsverzeichnis eingetragen. Vorlagen bietet u.a. die bayrische Landesdatenschutzbehörde oder die Bitkom an.

Herausfordernder sind die technischen und organisatorischen Maßnahmen, welche mind. die Kriterien Verfügbarkeit, Vertraulichkeit und Integrität abbilden sollen. Hier muss Ihnen Ihr IT-Leiter oder Dienstleister Rede und Antwort stehen.

Gehen Sie Ihren Datenbestand durch und überlegen Sie, ob es wirklich notwendig ist, dessen Lieblingsfarbe und Lieblingstier zu speichern. Natürlich ist dies nach der Einwilligung des Kunden weiterhin möglich. Alte nicht mehr benötigte Daten sollten Sie nach Prüfung der Fristen löschen. Wenn der Interessent bereits vor 10 Jahren keine handgefertigten Rosa Fußkettchen für Katzen wollte, braucht er oder sie diese vermutlich jetzt auch nicht mehr. Informieren Sie Ihre bestehenden Kunden darüber, welche personenbezogenen Daten Sie von Ihnen haben und räumen Sie ein Widerspruchsrecht ein. Einschränkungen können Sie dann bspw. in einem CRM-System über die Rechte im Datensatz abbilden. Prüfen Sie in diesem Zusammenhang auch Ihre allgemeinen Geschäftsbedingungen und Ihre Webseite.

Beratung, welche weiteren Anpassungen speziell für Ihr Unternehmen notwendig sind, erhalten Sie von Ihrem Datenschutzbeauftragter, Anwalt oder externen Einrichtungen (z.B. Verbände, Vereine, externe Datenschutzbeauftragte).

Fazit

Es besteht Handlungsbedarf bei den Unternehmen und Behörden, wobei sich der Aufwand je nach bestehenden Dokumentationen in Grenzen hält. Am Ende wird jetzt viel auf Verdacht und eigenen Interpretationen hin gemacht, weil einige Artikel uneindeutig sind und unterstützende Dokumentationen und Interpretation von den Landesdatenschutzbehörden fehlen. Eine Art Sicherheit wird es erst mit den ersten Gerichtsurteile geben.