Serie: Datenschutz – Höchste Zeit zum Handeln

Von Regina Theunissen
Mit der EU-Datenschutzgrundverordnung gelten bald neue Regeln für Unternehmen im Umgang mit Kundendaten.
Mit der EU-Datenschutzgrundverordnung gelten bald neue Regeln für Unternehmen im Umgang mit Kundendaten. Foto: Adobe Stock

Berater, Anwälte, Wirtschaftsprüfer und Seminarveranstalter haben gerade Hochkonjunktur. Diejenigen unter ihnen, die sich mit der neuen europäischen Datenschutzgrundverordnung gut auskennen, können sich vor Anfragen kaum noch retten. Je näher der entscheidende Stichtag rückt, desto mehr steigt die Nachfrage. „Das Thema ist im Handwerk angekommen“, sagt Susanne Terhorst, Leiterin der Abteilung Recht bei der Handwerkskammer Koblenz, deren Infoveranstaltung unter dem Motto „Höchste Zeit zum Handeln“ steht. Bis zum Inkrafttreten des neuen Rechts am 25. Mai haben sie und ihre Kollegen von Kammern und Verbänden schon einige Tausend Betroffene im Land geschult.

Lesezeit: 4 Minuten
Anzeige
Als die Verordnung vor mehr als zwei Jahren in Brüssel erarbeitet wurde, haben zwar Lobbyisten und Kritiker dort ihre Stimmen erhoben, aber im Land hat es kaum jemand so richtig wahrgenommen. Jetzt aber ist sie in aller Munde – vom kleinen Friseur bis zum Chef des großen Industrieunternehmens. Denn jeder, der mit personenbezogenen Daten zu tun hat, fällt unter die Verordnung – auch wenn er seine Kundeninformationen nur in einem Karteikasten sortiert. Und: Unter „personenbezogenen Daten“ versteht man nicht nur Namen und Adressen, sondern von Finanzen bis zur IP-Adresse alle Daten, die Rückschlüsse auf eine Person zulassen. Und es geht nicht nur um Daten von Kunden, sondern zudem um die von Geschäftspartnern, Mitarbeitern und/oder auch Bewerbern.

Einige Unternehmen, die sich schon an die bislang geltenden Richtlinien gehalten haben, müssen mit Hinblick auf den 25. Mai nur noch an ein paar Stellschräubchen drehen und Anpassungen vornehmen. „Manche fangen aber auch bei null an“, hat Prof. Dieter Kugelmann, oberster Datenschützer in Rheinland-Pfalz, beobachtet. Gerade diesen wird geraten, das Thema nicht auszusitzen, sondern erste Maßnahmen zu treffen. Denn bei möglichen Sanktionen – und es stehen Bußgelder von bis zu 4 Prozent des Jahresumsatzes eines Unternehmens im Raum – werde „Bemühen“ eher positiv bewertet.

Die wichtigsten Stichworte:

Zulässigkeit der Datenverarbeitung: Im Klartext: Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist grundsätzlich verboten – es sei denn, der Betroffene hat ausdrücklich „durch eine eindeutig bestätigende Handlung“ eingewilligt. Ausnahmen: Die Nutzung der Daten sind zur Erfüllung eines Vertrages nötig – wer Steine für einen Hausbau liefern soll, muss die Adresse der Baustelle und den Namen eines Ansprechpartners wissen. Auch okay ist, wenn die Daten – wie bei der Aufbewahrung von Rechnungen – zur Erfüllung rechtlicher Verpflichtungen benötigt werden oder sie zur Wahrung des berechtigten Interesses des Unternehmens oder eines Dritten erforderlich sind. Die Daten dürfen generell nur für vorher vereinbarte Zwecke genutzt werden.

Rechte der Betroffenen: Werden personenbezogene Daten erhoben, muss die betroffene Person darüber informiert werden, ebenso wie über die Art und Weise ihrer Verarbeitung. Dies kann zum Beispiel über die Datenschutzerklärung der Internetseite erfolgen. Der Betroffene hat außerdem das Recht, innerhalb eines Monats Auskunft darüber zu bekommen, ob und welche Daten ein Unternehmen über ihn führt, sowie unter Umständen eine Korrektur oder Löschung zu verlangen, der Verarbeitung zu widersprechen, sie einschränken zu lassen oder die gebündelten Daten zu erhalten, um sie zum Beispiel an einen neuen Vertragspartner weiterzugeben.

Dokumentationspflichten und Verarbeitungstätigkeiten: Die Unternehmen müssen nachweisen können, dass sie die datenschutzrechtlichen Vorgaben einhalten. Dafür sollten sie alle relevanten Vorgänge im Umgang mit personenbezogenen Daten in einem Verzeichnis der Verarbeitungstätigkeiten sorgfältig dokumentieren. Das Verzeichnis, das immer auf dem aktuellsten Stand gehalten werden muss, ist nicht öffentlich. Es dient lediglich der eigenen Qualitätskontrolle und gegebenenfalls auch der Vorlage bei der Aufsichtsbehörde, falls es notwendig wird.

Auftragsverarbeitung: In der Regel arbeiten Unternehmen mit unterschiedlichen Dienstleistern und Partnern zusammen, die Zugriff auf Kunden- oder Mitarbeiterdaten haben und diese im Auftrag verarbeiten. Mit jedem dieser Partner sollte ein Vertrag geschlossen werden, der die Konditionen im Umgang mit diesen Daten genau regelt – wie Vertraulichkeit, Datensicherheit – und auch umfangreiche Kontrollrechte einräumt.

Technischer Datenschutz: Auch die bisherige Rechtslage regelte schon, dass technische Vorkehrungen getroffen werden müssen, um Datensicherheit zu gewährleisten und Missbrauch zu verhindern. Dafür gibt es konkrete Anforderungen, die auch technische und organisatorische Maßnahmen wie zum Beispiel Zugangskontrollen, Speicherkontrollen oder Wiederherstellbarkeit vorsehen, aber auch ganz klassische Maßnahmen wie Alarmanlagen oder Chipkarten, abschließbare Schränke oder Sicherheitsschlösser.

Melden von Datenpannen: Laut der neuen Datenschutzverordnung müssen Datenpannen binnen 72 Stunden nach Bekanntwerden der Aufsichtsbehörde gemeldet werden. Darunter fallen nahezu alle Fälle, bei denen der Schutz von personenbezogenen Daten verletzt wurde, auch wenn der Person kein direkter Schaden entstanden ist. Experten raten, der strengen Meldepflicht zu entsprechen und besser einmal zu viel zu melden als einmal zu wenig.

Datenschutzbeauftragter: Zwar ist grundsätzlich jeweils die Leitung eines Unternehmens dafür zuständig, dass Regeln eingehalten werden. Doch muss – je nach Größe des Unternehmen und Art der verarbeiteten Daten (immer bei sensiblen Gesundheitsdaten) – für die interne Kontrolle ein Datenschutzbeauftragter benannt werden. Er ist auch Ansprechpartner der Kunden und Datenschutzbehörden bei Fragen zum Umgang mit personenbezogenen Daten. Er kann intern oder extern festgelegt werden. Es ist aber darauf zu achten, dass es zu keinem Interessenskonflikt kommt, er kann deshalb nicht zur Geschäftsführung gehören oder beispielsweise IT-Chef sein.

Beschäftigtenschutz: Der sensible Umgang mit Daten bezieht sich nicht nur auf Informationen über Kunden und Geschäftspartner, auch mit Daten von Mitarbeitern muss respektvoll umgegangen werden. So muss auf jeden Fall ein Mitarbeiter erst einwilligen, bevor sein Bild auf der Internetseite des Unternehmens gezeigt wird. Es sei denn, es gehört zum Beispiel als Mitarbeiter einer Pressestelle zum Inhalt des Arbeitsverhältnisses.

Haftung/Sanktionen: Verstöße gegen den Datenschutz können ernsthafte Konsequenzen haben. Das gilt sowohl für Geldbußen (bis zu 40 Millionen Euro) als auch für Schmerzensgeld und Schadensersatz. Dabei wird im Alltag oft eher unbewusst gegen die Maßgaben verstoßen. Ist zum Beispiel im Dienstplan, der im Betrieb öffentlich aushängt, vermerkt, wer wann krank war, ist das im Sinne des Datenschutzes nicht zulässig. Vorsicht auch bei E-Mails. Wer die Adressen per großem Verteiler öffentlich macht, kann gegen Regeln des Datenschutzes verstoßen.

Regina Theunissen

Seriöse Unterstützung, Information und Hilfe bekommen Interessierte bei vielen Berufsverbänden oder Kammern und auf den Internetseiten der Datenschutzbeauftragten der Länder. Im nächsten Teil unserer Serie berichten wir, was das neue Datenschutzrecht für Vereine bedeutet. Am 14. Mai können Sie zwischen 14 und 16 Uhr zudem bei einer Telefonaktion unserer Zeitung Ihre Fragen an Experten richten.

Das sollten Sie als Verantwortlicher in einem kleinen oder größeren Unternehmen prüfen

Wo anfangen und wo aufhören? Wer in seinem Betrieb – vom Ein-Mann-Unternehmen bis hin zum großen Industriebetrieb – die zahlreichen Anforderungen des Datenschutzrechts erfüllen will, sollte dabei möglichst strukturiert vorgehen:

1 Erklären Sie Datenschutz zur Chefsache, benennen Sie den Datenschutzbeauftragten und melden ihn der Aufsichtsbehörde.

2 Analysieren Sie die datenschutzrelevanten Vorgänge in Ihrem Betrieb: Welche personenbezogenen Daten werden dabei wie, wann und warum verarbeitet?

3 Legen Sie ein Verarbeitungsverzeichnis an, und prüfen Sie sorgfältig, welche dieser Verarbeitungsvorgänge datenschutzrechtlich problematisch sind (Stichwort: Auf welcher Rechtsgrundlage erfolgt die jeweilige Verarbeitung?).

4 Achten Sie auf eine datenschutzkonforme Gestaltung aller Verträge.

5 Schließen Sie klare Vereinbarungen mit allen Geschäftspartnern, die Zugriff auf personenbezogene Daten haben, zum Beispiel Beschäftigtendaten oder Kundendaten.

6 Holen Sie wirksame Einwilligungen von Ihren Kunden und Mitarbeitern ein.

7 Beachten Sie alle technischen Prozesse in Ihrem Unternehmen, treffen Sie ausreichende Vorkehrungen zur Datensicherheit.

8 Richten Sie Ihre unternehmensinterne Dokumentation und die sonstigen datenschutzrelevanten Prozesse darauf aus – gegebenenfalls müssen auch entsprechende technische Änderungen vorgenommen werden.

9 Checken Sie den Internet-auftritt Ihres Unternehmens, passen Sie die Datenschutzerklärung den Anforderungen entsprechend an. Achten Sie auf die Datenschutzrelevanz Ihres Onlineshops.

10 Stellen Sie sicher, dass Sie die übrigen Informationspflichten, das Auskunftsrecht, das Recht auf Berichtigung, Löschung oder Datenübertragbarkeit sowie das Recht auf Widerspruch vollständig und angemessen erfüllen können.

11 Beachten Sie die zahlreichen neuen Pflichten. Unterrichten Sie auch Ihre Mitarbeiter über die Neuerungen und verpflichten Sie diese zur Vertraulichkeit und zur Sorgfalt im Umgang mit allen personenbezogenen Daten.

12 Datenschutz ist ein dauernder Prozess: Halten Sie also auch künftig alle Änderungen der betrieblichen Abläufe mit Blick auf den Umgang mit personenbezogenen Daten nach.

Artikel zum Thema
Meistgelesene Artikel

Copyright © Rhein-Zeitung, 2018. Texte und Fotos von Rhein-Zeitung.de sind urheberrechtlich geschützt.