Herzlich Willkommen

Wichtige Informationen zur DS-GVO

Angela Block
Datenschutzbeauftragte

Das betrifft mich nicht – oder doch?

Aber natürlich: Die Datenschutz Grundverordnung (DS-GVO) erhebt seit dem 25. Mai 2018 den Datenschutz zu einem Grundrecht. Dies betrifft somit erst einmal jeden Bürger der EU.

Aber betrifft es mein Unternehmen?

In aller Regel: Ja! Betroffen ist jedes Unternehmen, jeder Verein und jede Behörde, die mit Daten von Personen in der EU zu tun haben. Im Gesetz klingt das etwas sperrig:

Die Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. (Artikel 2 Absatz 1).

Im ersten Moment werden sich die meisten hier nicht wiederfinden. Ein Blick in die gesetzliche Definition (Artikel 4) ändert das schnell:

  • „personenbezogene Daten“: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person ([…] „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem
    o Namen
    o Kennnummer (z.B. Personalnummer, Kfz-Kennzeichen)
    o Standortdaten (Anschrift)
    o Online-Kennung (z.B. Email-Adresse, IP-Adresse, MAC-Adresse) oder
    o einem oder mehreren besonderen Merkmalen identifiziert werden kann […]
  • „Verarbeitung“ Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung
  • „Dateisystem“ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird

Was bedeutet das für mich?

Zum einen weitreichende Informationspflichten: Das Unternehmen muss die betroffene Person informieren über u.a. Kontaktdaten des Verantwortlichen, Zweck der Datenverarbeitung, Rechtsgrundlage, Empfänger der Daten, Speicherdauer, sowie seine Rechte auf Auskunft, Berichtigung, Löschung, Widerspruch, Beschwerde bei einer Aufsichtsbehörde u.v.m.

Und natürlich die Einhaltung der o.g. Rechte des Betroffenen wie das Recht auf Auskunft (zusätzlich zu den o.g. Angaben sind auch Kopien der gespeicherten Daten zur Verfügung zu stellen)auf Löschung (dabei zu beachten sind rechtliche Pflichten, die der Löschung entgegenstehen) und auf Berichtigung der Daten. Die Antwort hat in leicht verständlicher Form und innerhalb von einem Monat zu erfolgen.

Werden Daten Personen außerhalb des Unternehmens zugänglich gemacht (z.B. Steuerberater, Lohnbüro, IT-Dienstleister, aber auch Cloud-Anbieter), so sind Verträge mit diesen Geschäftspartnern zu schließen, die die Einhaltung des Datenschutzes sicherstellen.

Um die Einhaltung des Gesetzes sicherzustellen, sind diverse Nachweise zu führen und auf Verlangen der Aufsichtsbehörde vorzulegen. Hierzu zählen o.g. Verträge, aber es ist auch ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Darüber hinaus sind alle technischen und organisatorischen Maßnahmen, die der Einhaltung dieser Vorschriften dienen, zu dokumentieren. Hier gibt es leider keine Erleichterungen für kleine Unternehmen. Die im Artikel 30 Absatz 5 aufgeführte Erleichterung greift nach allgemeiner Meinung der Aufsichtsbehörden nicht.

Mit einer einmaligen Aktion ist es hier auch nicht getan: Es muss festgelegt werden, in welchem Zyklus (mindestens alle 12 Monate) alle Prozesse und Dokumentationen auf ihre Aktualität geprüft werden (Audit). Ändert sich ein Prozess, muss dieses auch direkt in die Dokumentation einfließen.

Brauche ich einen Datenschutzbeauftragten?

Laut Bundesdatenschutzgesetz ist ein Datenschutzbeauftragter erst ab 20 Mitarbeitern oder vorliegen bestimmter Kriterien erforderlich. Ohne fachliche Unterstützung stehen Sie aber alleine vor der Herausforderung, den Anforderungen des Gesetzes gerecht zu werden.

Und wenn ich nichts tue? Ist ja auch bis jetzt nichts passiert…

Schlechte Idee! Die DS-GVO sieht für jede betroffene Person das Recht vor, sich bei der Aufsichtsbehörde zu beschweren, sollte ihre Anfrage bei einem Unternehmen nicht hinreichend oder fristgerecht beantwortet werden. Die Aufsichtsbehörde ist damit verpflichtet, das Unternehmen zu prüfen und bei Verstößen, auch fehlenden Dokumentationen, Bußgelder zu verhängen. Das Gesetz gibt die Höhe folgendermaßen vor: wirksam, verhältnismäßig und abschreckend.

Es wird sich schon keiner beschweren? Haben Sie schon einmal einem Mitarbeiter gekündigt oder einen Bewerber abgelehnt? Oder vielleicht auch nur einen Kunden verärgert?

Wer mal nachschauen möchte, ob denn tatsächlich Strafen verhängt werden und wie die Behörden die Dinge beurteilen kann das ganz aktuell hier tun: http://www.enforcementtracker.com. Und auch „klein“ ist kein Argument: Von Privatperson über GbR bis hin zu Delivery Hero ist hier bereits alles vertreten.

Was kann ich für Sie tun?

Als zertifizierte Fachkraft für Datenschutz berate und unterstütze ich Sie bei der Einhaltung Ihrer gesetzlichen Datenschutz-Pflichten.

  • Dazu gehört zuerst die Bestandsaufnahme und gemeinsame Bewertung des Status quo.
  • Ich berate Sie bei den notwendigen Schritten und zeige Möglichkeiten auf, den gesetzlichen Anforderungen gerecht zu werden.
  • Ich unterstütze bei der Erstellung der notwendigen Dokumentationen und Verträge.
  • Ich schule Ihre Mitarbeiter.
  • Als externer Datenschutzbeauftragter übernehme ich die Kommunikation mit betroffenen Personen sowie der Aufsichtsbehörde.

Geht das nicht auch mit eigenem Personal?

Natürlich können Sie auch einen internen Datenschutzbeauftragten benennen. Der Gesetzgeber hat allerdings einige Voraussetzungen definiert:

  • Berufliche Qualifikation und Fachwissen als Voraussetzung: Der Mitarbeiter muss im Datenschutz geschult sein und ständig auf dem Laufenden bleiben. Auch IT-Grundwissen ist für die Beurteilung der technischen Maßnahmen notwendig.
  • Kein Interessenkonflikt: Geschäftsleitung und IT-Verantwortliche scheiden aus, weil sie die von ihnen selbst eingeführten Maßnahmen und Regelungen kontrollieren müssten.
  • Restriktiver Kündigungsschutz vergleichbar mit einem Betriebsrat.

Angela Block

rb bürotechnik GmbH & Co. KG
Gladbacher Str. 3, 40764 Langenfeld
dsb@rb-buerotechnik.de
Tel 02173- 269 42 49