Ab Mai gilt die DSGVO: Warum es gut ist, jetzt den Datenschutz unter die Lupe zu nehmen

Mit der zunehmenden Digitalisierung erfasst, verarbeitet und speichert jedes Unternehmen automatisch eine Menge an Daten. Ohne Datenerfassung kommen weder große Internetunternehmen noch kleine Handwerksbetriebe aus. Ab dem 25. Mai 2018 gilt europaweit eine neue Datenschutz-Grundverordnung (DSGVO). Das verändert auch einige bisher geltende Vorgaben in Deutschland. Wir haben die wichtigsten Informationen für Sie zusammengefasst.


Wer Datenverarbeitung sagt, muss auch Datenschutz sagen

Als Bestatter, als Bestatterin ist man angetreten, um Menschen im Abschied zu begleiten und Angehörige zu unterstützen, die Bestattung zu organisieren. Computertechnik einzurichten und sich stundenlang mit Internetseiten und Datenschutzfragen in Bezug auf Kunden und Mitarbeiter zu beschäftigen, empfinden viele als lästige Notwendigkeit. Alles Technische soll funktionieren, mit möglichst wenig Aufwand.

Doch keiner, der ein Unternehmen führt, kommt um die neue Datenschutzverordnung herum. Wer in einem Mitgliedsland der EU ein Unternehmen betreibt, ist von den neuen Regelungen betroffen. Mit der Speicherung von Daten ist die Frage verbunden, wie diese Daten zu schützen sind. Datenschutzkonform zu handeln, war schon immer ein wichtiger Grundsatz. Durch die geänderten Vorgaben wird der Datenschutz erneut eine Herausforderung für Betriebe.

Was ist die Datenschutz-Grundverordnung

Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union. Mit ihr wird die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen neu geregelt und EU-weit vereinheitlicht. Zum einen geht es um den Schutz personenbezogener Daten innerhalb der EU, zum anderen um den freien Austausch von Daten innerhalb des Europäischen Binnenmarktes. Im Mai tritt nun diese Verordnung in Kraft. Wer sich nicht darauf einstellt, riskiert im Streitfall hohe Bußgelder.
Beim Datenschutz geht es nicht um die Daten an sich, sondern um die betroffenen Personen. Sie haben ein Recht auf Auskunft, welche Daten gespeichert sind und ein Recht auf Löschung. Das Prinzip der Datensparsamkeit gilt bereits im Vorfeld.

Manche kritisieren, dass das Schutzniveau für persönliche Daten insgesamt zu hoch sei. Datenschützer halten dagegen, dass die Verordnung weiterhin die massenhafte Speicherung von personenbezogene Daten nicht eindämme. Grundsätzlich begrüßen aber Wirtschaft und Verbraucherschutz, dass es nun einheitliche Regelungen innerhalb der EU gibt.

Die Checkliste für Ihr Unternehmen - Was zu tun ist

  • Risikoanalyse durchführen: Wo steht Ihr Unternehmen im Sachen Datenschutz? Welche Maßnahmen sind bereits getroffen, wo besteht Nachholbedarf? Kein Betrieb sollte diese Analyse auf die lange Bank schieben. Die neue DSGVO führt den Datenschutz nicht ein, sie verändert nur einige Regelungen. Jetzt ist der beste Zeitpunkt, das Thema zu prüfen und sich rechtzeitig Unterstützung zu holen.

  • Je nach Unternehmensgröße muss ein Datenschutzbeauftragter benannt sein: Wenn im Unternehmen personenbezogene Daten per EDV erfasst werden, muss ein Datenschutzbeauftragter benannt werden, sobald der Betrieb mehr als neun Mitarbeiter hat, die personenbezogene Daten verarbeiten, ob angestellt oder Freelancer spielt keine Rolle. Bei weniger Personen, kann der Geschäftsführer selbst den Datenschutz übernehmen. Ausnahme: wer Daten mit besonderen Schutzrechten wie ethnischer Herkunft, sexueller Orientierung, Gesundheit oder politischer Einstellung erfasst, braucht auch bei kleinerer Betriebsgröße einen Datenschutzbeauftragten.

  • Verzeichnis der Datenverarbeitung anlegen: Im Grunde reicht eine einfache Tabelle, in die eingetragen wird wann, wie und warum im Unternehmen Daten erhoben werden. Spalten können sein: Wer ist verantwortlich, was ist der Zweck der Datenerhebung, wer ist betroffen, wer kann auf die Daten zugreifen, wo werden die Daten gespeichert (eigener Server, Standort Deutschland oder Drittstaat?), welche Datenkategorien werden erfasst, gibt es eine Löschfrist, auf welche Weise hat der Betroffene der Datenspeicherung zugestimmt (z.B. Checkbox im Internetformular, Unterschrift unter Vertrag). Dieses Verzeichnis ist sowohl für Kundendaten als auch für die internen Daten des Unternehmens, wie Personaldaten, Lohnbuchhaltung, Bewerbungsdaten etc. zu erstellen. Der Weg der Daten von der Erhebung über die Speicherung bis hin zur Nutzung ist zu dokumentieren.

  • Die Verantwortlichen im Unternehmen müssen Auskunft geben können: Sollte ein Kunde, ein Mitarbeiter oder ein Datenschutzbeauftragter Auskunft verlangen, sollten Fragen kompetent und umfassend beantwortet werden können. Wie werden Kunden über die Datenverarbeitung informiert? Wie reagieren Mitarbeiter, wenn Kunden danach fragen? Wenn ein Kunde will, dass seine Daten gelöscht werden, wer ist dafür verantwortlich? Was ist zu tun, falls es zu einem Datenleck kommt? Wie werden Mitarbeiter geschult, dass sie die Regelungen kennen? Sinnvoll ist es, diese Fragen in einem Handbuch zu dokumentieren.

  • Wenn nötig, eine Datenschutz-Folgenabschätzung durchführen: Mit der EU-Datenschutz-Grundverordnung wird ein neues Instrument eingeführt: die Datenschutz-Folgenabschätzung. Mit ihr müssen sich Unternehmen befassen, die mit „besonderen Arten von personenbezogenen Daten“ hantieren. Damit sind Datenkategorien gemeint wie rassische und ethnische Herkunft (z.B. Hautfarbe), politische Meinungen (z.B. Parteimitgliedschaft), Sexualleben (z.B. Homosexualität), religiöse Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit (z.B. Erkrankungen). Mit einer Datenschutz-Folgenabschätzung sollen die Risiken für die Persönlichkeitsrechte der betroffenen Personen erkannt und geeignete Schutzmaßnahmen getroffen werden. Schon eine Notiz über die Gewerkschaftsmitgliedschaft eines Ehepartners oder einen gleichgeschlechtlichen Lebensgefährten, um beispielsweise eine Traueransprache persönlicher zu gestalten, kann ausreichen. Bisher gibt es noch keine Liste der Datenschutzbehörden, welche Formen der Datenverarbeitung diese Folgenabschätzung notwendig machen.

  • Am besten alles aufschreiben: Sinnvoll ist es, alle Maßnahmen in Sachen Datenschutz im Unternehmen in eine Liste einzutragen: Welche Seminare zu diesem Thema wurden besucht? Welche Software wird eingesetzt, um Datensicherheit zu gewährleisten? Welche Verträge mit Dienstleistern gibt es? Im Zweifelsfall kann so nachgewiesen werden, wie ernst es dem Unternehmen mit dem Datenschutz ist.

Weitere hilfreiche Informationen, sowie Musterverträge und Leitfäden für Unternehmen hat der BITKOM bereitgestellt.