Serie: Datenschutz – Höchste Zeit zum Handeln
Einige Unternehmen, die sich schon an die bislang geltenden Richtlinien gehalten haben, müssen mit Hinblick auf den 25. Mai nur noch an ein paar Stellschräubchen drehen und Anpassungen vornehmen. „Manche fangen aber auch bei null an“, hat Prof. Dieter Kugelmann, oberster Datenschützer in Rheinland-Pfalz, beobachtet. Gerade diesen wird geraten, das Thema nicht auszusitzen, sondern erste Maßnahmen zu treffen. Denn bei möglichen Sanktionen – und es stehen Bußgelder von bis zu 4 Prozent des Jahresumsatzes eines Unternehmens im Raum – werde „Bemühen“ eher positiv bewertet.
Die wichtigsten Stichworte:
Zulässigkeit der Datenverarbeitung: Im Klartext: Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist grundsätzlich verboten – es sei denn, der Betroffene hat ausdrücklich „durch eine eindeutig bestätigende Handlung“ eingewilligt. Ausnahmen: Die Nutzung der Daten sind zur Erfüllung eines Vertrages nötig – wer Steine für einen Hausbau liefern soll, muss die Adresse der Baustelle und den Namen eines Ansprechpartners wissen. Auch okay ist, wenn die Daten – wie bei der Aufbewahrung von Rechnungen – zur Erfüllung rechtlicher Verpflichtungen benötigt werden oder sie zur Wahrung des berechtigten Interesses des Unternehmens oder eines Dritten erforderlich sind. Die Daten dürfen generell nur für vorher vereinbarte Zwecke genutzt werden.
Rechte der Betroffenen: Werden personenbezogene Daten erhoben, muss die betroffene Person darüber informiert werden, ebenso wie über die Art und Weise ihrer Verarbeitung. Dies kann zum Beispiel über die Datenschutzerklärung der Internetseite erfolgen. Der Betroffene hat außerdem das Recht, innerhalb eines Monats Auskunft darüber zu bekommen, ob und welche Daten ein Unternehmen über ihn führt, sowie unter Umständen eine Korrektur oder Löschung zu verlangen, der Verarbeitung zu widersprechen, sie einschränken zu lassen oder die gebündelten Daten zu erhalten, um sie zum Beispiel an einen neuen Vertragspartner weiterzugeben.
Dokumentationspflichten und Verarbeitungstätigkeiten: Die Unternehmen müssen nachweisen können, dass sie die datenschutzrechtlichen Vorgaben einhalten. Dafür sollten sie alle relevanten Vorgänge im Umgang mit personenbezogenen Daten in einem Verzeichnis der Verarbeitungstätigkeiten sorgfältig dokumentieren. Das Verzeichnis, das immer auf dem aktuellsten Stand gehalten werden muss, ist nicht öffentlich. Es dient lediglich der eigenen Qualitätskontrolle und gegebenenfalls auch der Vorlage bei der Aufsichtsbehörde, falls es notwendig wird.
Auftragsverarbeitung: In der Regel arbeiten Unternehmen mit unterschiedlichen Dienstleistern und Partnern zusammen, die Zugriff auf Kunden- oder Mitarbeiterdaten haben und diese im Auftrag verarbeiten. Mit jedem dieser Partner sollte ein Vertrag geschlossen werden, der die Konditionen im Umgang mit diesen Daten genau regelt – wie Vertraulichkeit, Datensicherheit – und auch umfangreiche Kontrollrechte einräumt.
Technischer Datenschutz: Auch die bisherige Rechtslage regelte schon, dass technische Vorkehrungen getroffen werden müssen, um Datensicherheit zu gewährleisten und Missbrauch zu verhindern. Dafür gibt es konkrete Anforderungen, die auch technische und organisatorische Maßnahmen wie zum Beispiel Zugangskontrollen, Speicherkontrollen oder Wiederherstellbarkeit vorsehen, aber auch ganz klassische Maßnahmen wie Alarmanlagen oder Chipkarten, abschließbare Schränke oder Sicherheitsschlösser.
Melden von Datenpannen: Laut der neuen Datenschutzverordnung müssen Datenpannen binnen 72 Stunden nach Bekanntwerden der Aufsichtsbehörde gemeldet werden. Darunter fallen nahezu alle Fälle, bei denen der Schutz von personenbezogenen Daten verletzt wurde, auch wenn der Person kein direkter Schaden entstanden ist. Experten raten, der strengen Meldepflicht zu entsprechen und besser einmal zu viel zu melden als einmal zu wenig.
Datenschutzbeauftragter: Zwar ist grundsätzlich jeweils die Leitung eines Unternehmens dafür zuständig, dass Regeln eingehalten werden. Doch muss – je nach Größe des Unternehmen und Art der verarbeiteten Daten (immer bei sensiblen Gesundheitsdaten) – für die interne Kontrolle ein Datenschutzbeauftragter benannt werden. Er ist auch Ansprechpartner der Kunden und Datenschutzbehörden bei Fragen zum Umgang mit personenbezogenen Daten. Er kann intern oder extern festgelegt werden. Es ist aber darauf zu achten, dass es zu keinem Interessenskonflikt kommt, er kann deshalb nicht zur Geschäftsführung gehören oder beispielsweise IT-Chef sein.
Beschäftigtenschutz: Der sensible Umgang mit Daten bezieht sich nicht nur auf Informationen über Kunden und Geschäftspartner, auch mit Daten von Mitarbeitern muss respektvoll umgegangen werden. So muss auf jeden Fall ein Mitarbeiter erst einwilligen, bevor sein Bild auf der Internetseite des Unternehmens gezeigt wird. Es sei denn, es gehört zum Beispiel als Mitarbeiter einer Pressestelle zum Inhalt des Arbeitsverhältnisses.
Haftung/Sanktionen: Verstöße gegen den Datenschutz können ernsthafte Konsequenzen haben. Das gilt sowohl für Geldbußen (bis zu 40 Millionen Euro) als auch für Schmerzensgeld und Schadensersatz. Dabei wird im Alltag oft eher unbewusst gegen die Maßgaben verstoßen. Ist zum Beispiel im Dienstplan, der im Betrieb öffentlich aushängt, vermerkt, wer wann krank war, ist das im Sinne des Datenschutzes nicht zulässig. Vorsicht auch bei E-Mails. Wer die Adressen per großem Verteiler öffentlich macht, kann gegen Regeln des Datenschutzes verstoßen.
Regina Theunissen
Seriöse Unterstützung, Information und Hilfe bekommen Interessierte bei vielen Berufsverbänden oder Kammern und auf den Internetseiten der Datenschutzbeauftragten der Länder. Im nächsten Teil unserer Serie berichten wir, was das neue Datenschutzrecht für Vereine bedeutet. Am 14. Mai können Sie zwischen 14 und 16 Uhr zudem bei einer Telefonaktion unserer Zeitung Ihre Fragen an Experten richten.