Tecart BG dunkel

DSGVO: Gut zu wissen – Top 10 Fragen und Antworten für Ihren Datenschutz

In weniger als einem Monat ist die Übergangszeit für die Umstellung auf die neue EU-Datenschutzgrundverordnung beendet. Bei der Überarbeitung unserer Prozesse sind einige spannende Fragen zum Umgang mit Kunden- und Mitarbeiterdaten aufgetaucht, deren Antworten wir kurz für Sie zusammengefasst haben. Hier folgt unsere Top 10.

Allgemein:

1. Wann wird von persönlichen (schützenswerten) Daten gesprochen?

Jedes Unternehmen mit Mitarbeitern und / oder Kunden hat personenbezogene Daten. Dies stellt alle Daten dar, mit denen Rückschlüsse auf die Person getroffen werden kann. Zum Beispiel ist durch den Amtstitel „Bundeskanzlerin“ sofort erschließbar, dass es sich um Frau Merkel handelt, da es bisher nur acht männliche Bundeskanzler gab. Weniger problematisch ist es, wenn Sie den Amtstitel genderkonform gestalten. In diesem Fall gibt es keinen eindeutigen Rückschluss auf eine einzelne Person.

Besonders schützenswerte Daten sind Informationen zu rassische und ethnische Herkunft, religiöse oder weltanschauliche Überzeugungen, politische Meinungen, Gewerkschaftszugehörigkeit, Gesundheitsdaten, Sexualleben, sexuelle Orientierung, genetische und biometrische Daten (neu).

2. Was ist das Verarbeitungsverzeichnis?

Bisher musste ein öffentliches Verarbeitungsverzeichnis geführt werden, welches meist nur aus einem oder zwei Prozessen bestand, bspw. Kunden- und Personaldatenverarbeitung. Nun müssen diese Verarbeitungen ausdifferenziert werden. Zum Beispiel im Personalbereich, muss nun jeweils ein Vorgang für Bewerbung, Lohnzahlung, Kündigung, Abwesenheitszeiten und Qualifizierung beschrieben werden. Neben der Nennung des Verantwortlichen und den Datenschutzbeauftragten, müssen Zweck der Bearbeitung (Gehaltszahlung der Mitarbeiter), betroffene Personen- und Datenkategorien (Mitarbeiter| Stamm-, Gesundheits- und Gehaltsdaten, Empfängerkategorien (intern: Personalabteilung| extern: Steuerbüro, Bank, Finanzamt), Übermittlung in Drittländer, Löschfristen (10 Jahre Aufbewahrung nach Vertragsende) und Maßnahmen zur Sicherheit der Verarbeitung (Ende-zu-Ende-Verschlüsselung, regelmäßige Datensicherung) beschrieben sein. Beachten Sie weiterhin, dass das Verarbeitungsverzeichnis nur von Aufsichtsbehörden eingesehen werden muss. Eine Veröffentlichung oder zur Verfügungstellung an Ihre Kunden, kann Ihre Firmengeheimnisse offenlegen.

3. Darf die Dokumentation auch elektronisch erfolgen?

Ja. Aber beachten Sie, dass Versionierungen möglich sein müssen und nachvollzogen werden können.

4. Was bedeutet One-Stop-Shop?

Zukünftig haben Verantwortliche und Betroffene nur noch einen Ansprechpartner. Zum Beispiel kann ein Datenschutzvorfall im eigenen Bundesland der Aufsichtsbehörde gemeldet werden, obwohl das Unternehmen in einem anderen Bundesland ansässig ist. In diesem Fall kooperieren beide Aufsichtsbehörden und Kunden. Unternehmen haben jeweils nur den eigenen Landesdatenschützer als Ansprechpartner. Dies gilt auch grenzüberschreitend.

Löschfristen:

5. Wie lange müssen personenbezogene Daten aufbewahrt werden?

Dies ist abhängig vom Zweck und Nutzung. Rechnungsdaten müssen der gesetzlichen Frist entsprechend bspw. zehn Jahre gespeichert werden. Wenn Sie die Rechnungsdaten mit einem Passwort verschlüsseln, müssen Sie dieses auch für zehn Jahre geschützt ablegen. Gleiches gilt für Nachweise für Gerichtsverfahren. Bewerbungsdaten müssen bspw. zwei Monate nach Verfahrensende gelöscht werden, außer es wurden Reisekosten erstattet. Auch hier gilt wieder die Frist von zehn Jahren. Beachten Sie bitte auch die Fristen für die Aufbewahrung von Gesundheitsdaten.

6. Wenn mein Interessent oder Kunde die Löschung aller seiner persönlichen Daten wünscht, müssen dann auch E-Mails, Telefonnotizen und Termine mit diesem gelöscht werden?

Prüfen Sie als erstes, ob es noch einen berechtigten Zweck gibt und gewisse Fristen einzuhalten sind (s. Punkt 5). Wenn Beides nicht (mehr) gegeben ist, dann sollten Sie alle Daten löschen oder zumindest die Berechtigungen auf diesen Datensatz einschränken. Manche Informationen können aufgrund von Datensatzabhängigkeiten nicht aus der Datenbasis entfernt werden.

7. Wenn ein Mitarbeiter das Unternehmen verlässt und die Löschung aller seiner Daten wünscht, inwieweit müssen Korrespondenzen mit Lieferanten, Kunden und Partnern verändert werden?

Wenn diese Daten dem Unternehmenszweck dienen und ein berechtigter Grund vorliegt (z.B. bestehender Vertrag) müssen keine Korrespondenzen entfernt werden. Statt zu löschen, können die Daten auch eingeschränkt werden. Auch eine Pseudonymisierung und Anonymisierung der Mitarbeiterdaten ist möglich.

Akquisetätigkeiten:

8. Darf ich noch Kundendaten von einem Anbieter kaufen, vor Ort oder im Internet recherchieren und in mein CRM übernehmen und diesen kontaktieren?

Sie müssen nachweisen, woher Sie Ihre Daten bezogen haben und dass Sie eine Einverständniserklärung für die Kontaktaufnahme besitzen. Auch Altdaten (ehemalige Kunden und Interessenten) dürfen nicht wieder neu kontaktiert werden. Umwege, bspw. über die Zentraltelefonnummer und die Nennung der Position, sind genauso wenig erlaubt. Tatsache ist, dass dies keine wirklich neue Richtlinie ist (siehe unlauterer Wettbewerb). Besser ist die Kundendatenbank aufzuräumen und Neukundenakquise zu betreiben. Wenn Sie ein neuer Interessent anruft, bitten Sie ihn eine Mail mit seinen Kontaktdaten zu schicken. Dadurch haben Sie eine indirekte Zustimmung, dennoch müssen Sie eine Erklärung zu Ihrer Datenverarbeitung mit Widerrufsrecht zu senden.

9. Darf die Information zur Auftragsverarbeitung als Link in der Fußzeile der E-Mail stehen und stillschweigend angenommen werden?

Vorab möchte ich auf die geänderte Bezeichnung hinweisen. Die Bezeichnung als Vertrag zur Auftragsdatenverarbeitung (kurz: ADV) wird künftig in der DSGVO als Vertrag zur Auftragsverarbeitung (kurz AV-Vertrag o. AVV) bezeichnet.

Der Interessent bzw. Kunde muss widersprechen können und in einfacher Sprache verstehen, was Sie mit dessen Daten tun. Ich persönlich würde Ihnen nicht empfehlen, diese Daten in der Fußzeile oder anderweitig abzulegen. Dadurch könnte der Eindruck des Versteckens erweckt werden. Deswegen lieber eine schriftliche Information mit Widerrufshinweis bei Bestandskunden versenden und ein Zustimmungsbutton bei Neukunden integrieren.

10. Wie lange muss ich die Zustimmung zur Auftragsverarbeitung aufbewahren?

Eigentlich solange wie ein berechtigter Zweck existiert, z.B. der Vertrag aktiv ist. Es gibt unterschiedliche Ansichten, wie lange nach dem Vertragsende dieser aufbewahrt werden soll. Solange es kein eindeutiges Gerichtsurteil gibt, würde ich diese wie auch die Rechnungen 10 Jahre aufbewahren. Denken Sie daran, wenn Sie Rechnungsdaten mit einem Passwort verschlüsseln, müssen Sie dieses ebenfalls 10 Jahre aufbewahren.

Fazit

Momentan existiert viel Unsicherheit bei der Interpretation der Gesetze. Wir haben für uns versucht diese, so wie wir sie verstehen, umzusetzen. Eine gewisse Sicherheit wird es geben, sobald Black- und Whitelisten von den Aufsichtsbehörden und ab 25. Mai 2018 die ersten Gerichtsurteile veröffentlicht werden.