H+H Info

Guten Tag,

ab 25.05.18 ist die seit 2016 geltende neue Datenschutzgrundverordnung (DSGVO) in allen EU-Mitgliedsstaaten anwendbar. Sie betrifft alle Unternehmen, die innerhalb der EU personenbezogene Daten verarbeiten. Es gibt keine Schwellenwerte, die die Gültigkeit einschränken. Unabhängig von der Größe, Mitarbeiterzahl oder des Umsatzes, gilt die DSGVO für DAX-Konzerne genauso wie für den Klein(st)unternehmer mit und ohne Mitarbeiter.

Der DSGVO unterliegen ausschließlich personenbezogene Daten. Sie hat das Ziel, die Privatsphäre des Einzelnen zu schützen. Demnach sind Kunden-, Lieferanten- und Mitarbeiterdaten betroffen. Im Unternehmen ist deshalb auf die Bereiche EDV, Vertrieb, Einkauf und Personalabteilung ein besonderes Augenmerk zu richten. Die Unternehmensdaten selber sind nicht geschützt. Zu den personenbezogenen Daten gehören neben den allgemeinen Personaldaten (Name, Geburtsdatum und -ort, Postanschrift, E-Mail-Adresse und Rufnummern usw.) auch Kennnummern für Steuer und Sozialversicherung, Konten- und Bankdaten, körperliche Merkmale (Geschlecht, Haut-, Haar- und Augenfarbe usw.). Ebenfalls personenbezogen sind Daten über Besitz und Vermögen, Werturteile wie Zeugnisse aller Art, Kundendaten (Bestellungen, Adressdaten, Kontodaten oder Online-Daten wie IP-Adresse, Standortdaten usw.).

Für die besonderen personenbezogenen Daten (rassische, ethnische Herkunft, politische Ansichten, religiöse und philosophische Überzeugung, Gewerkschaftszugehörigkeit, Angaben über Gesundheit und zur Sexualität) gelten zur Sammlung und Verarbeitung Vorschriften, die wesentlich strenger sind.

Oberster Grundsatz des alten wie des neuen Datenschutzrechtes ist das Verbotsprinzip, nach dem die Verarbeitung personenbezogener Daten verboten ist. Es sei denn, der Zweck der Datenspeicherung ist gerechtfertigt. Das ist zum Beispiel der Fall, wenn ein Vertrag mit der betreffenden Person existiert. Beispiel: Ein Unternehmer darf die Adressdaten des Kunden an ein Logistikunternehmen weitergeben, damit die Warenlieferung erfolgen kann. Dabei darf die Datenspeicherung nur so erfolgen, wie dies für die Vertragserfüllung notwendig ist.

Von der Vielzahl der komplexen Inhalte sind für kleine Unternehmen vor allem folgende relevant:

Recht auf Vergessen/Löschung
Auf Verlangen des Kunden sind die Daten zu löschen, wenn der Zweck, für den die Daten gespeichert wurden, nicht mehr besteht. Das Gleiche gilt, wenn die Einwilligung zur Datenspeicherung widerrufen wird oder die personenbezogenen Daten unrechtmäßig verarbeitet wurden.

Auskunftsrecht
Der Kunde kann, wie in der bisherigen Verordnung auch, jederzeit Auskunft darüber verlangen, welche Daten von ihm gespeichert und wie diese verarbeitet werden. Diese Auskunft muss unverzüglich erfolgen, spätestens jedoch innerhalb eines Monats. Deshalb muss in jedem Unternehmen ein Prozess geschaffen werden, der den Auskunftsansprüchen gerecht wird.  Das Computermagazin c’t hat dazu einen Fragebogen herausgebracht, mit Fragen, die ab dem 25. Mai an Firmen gestellt werden können. Unter dem Titel „Die c’t-Fassung von Framstags freundlichem Folterfragebogen“ hat ‘heise online‘ das Ganze seinen Lesern zum Download bereitgestellt.

Meldepflicht
Datenpannen (Hacker-Angriffe, Verlust von Datenträgern oder mobilen Endgeräten usw.) müssen nach dem neuen Recht innerhalb von 72 Stunden der Behörde – unter Umständen auch den Betroffenen – gemeldet werden. Deshalb sollte jedes Unternehmen über einen internen Prozess verfügen, der im Falle von Datenlecks zum Einsatz kommt.

Sind personenbezogene Daten in aufbewahrungspflichtigen Dokumenten enthalten (Rechnungen = 10 Jahre, E-Mails = 6 Jahre), dürfen diese gespeichert bleiben. Die Löschungspflicht wird insoweit bis zum Ende der Aufbewahrungspflicht ausgesetzt.

Unternehmen, bei denen mehr als 10 Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, sollten einen Datenschutzbeauftragten vorweisen können. Unternehmen mit mehr als 20 Mitarbeitern benötigen zwingend einen Datenschutzbeauftragten. Ein geeigneter Mitarbeiter muss entsprechend ausgebildet bzw. geschult werden.

Bei Verstößen gegen die DSGVO ist prinzipiell der Inhaber oder Geschäftsführer des Unternehmens und nicht der Datenschutzbeauftragte oder Leiter der EDV verantwortlich.

Verstöße gegen die DSGVO werden erheblich schärfer bestraft. Bisher waren Bußgelder von maximal  € 300.000 vorgesehen (in der Praxis tatsächlich € 5.000 bis € 10.000 Euro). Der Höchstbetrag beträgt nun bis vier Prozent des Jahresumsatzes maximal € 20.000.000.

Bei nicht fristgerechter Umsetzung der DSGVO werden Prüfer nicht sofort von umfassenden Strafmaßnahmen Gebrauch machen. Wer nachweisen kann, dass bereits im Unternehmen an der Umsetzung der DSGVO gearbeitet wird, kann auf Nachsicht und Unterstützung seitens der Behörden hoffen. Experten warnen jedoch bereits davor, dass die Abmahnanwälte schon in den Startlöchern stehen.

Eine gute Zeit wünscht Ihnen

Barbara Schwamborn