Ab dem 25. Mai gelten in der EU mit der DSGVO neue Regeln beim Datenschutz. Was Unternehmer jetzt wissen müssen.
Die Datenschutz-Grundverordnung regelt den Umgang mit personenbezogenen Daten neu – und bringt wichtige Veränderungen für Unternehmer. Bei Verstößen drohen Strafen von bis zu 20 Mio. Euro oder vier Prozent des weltweiten Jahresumsatzes. Das Problem: Nicht zu einem Datensünder zu werden ist gar nicht so einfach. Die DSGVO ist allgemein gehalten. Was für die einen gilt, können andere ignorieren. Zehn Dinge, auf die Sie in jedem Fall achten sollten:
1. Fühlen Sie sich in der Pflicht
Die DSGVO ist bewusst weit gefasst. Unter personenbezogene Daten fallen unter anderem Kundenadressen, Einzelgesprächsnachweise oder Gesundheitsakten. Selbst Kindergärten und Vereine sind deshalb von der DSGVO betroffen.
2. Stellen Sie sich drei Fragen
Experten empfehlen, sich drei Fragen zu stellen: Welche personenbezogenen Daten erhebt meine Firma? Wo werden sie verarbeitet? Und wie? Ein besonderes Augenmerk sollte man auf die Bereiche Personal, IT, Vertrieb, Marketing und Buchhaltung richten.
3. Dokumentieren Sie Ihren Umgang mit Daten
Ein Verzeichnis von Verarbeitungstätigkeiten (VvV) legt fest, wie mit Daten umgegangen wird. Das Führen eines VvV ist auch dann nötig, wenn personenbezogene Daten nur gelegentlich verarbeitet werden – unabhängig von der Größe des Betriebs.
4. Ernennen Sie einen Datenschutzbeauftragten
Das wird zur Pflicht, wenn mehr als zehn Mitarbeiter mit „personenbezogener Datenverarbeitung“ beschäftigt sind. Die Ernennung ist vergleichsweise einfach. Der Datenschutzbeauftragte trägt bei Verletzungen des Datenschutzes keine Haftung und unterliegt einem besonderen Kündigungsschutz.
5. Sie brauchen eine gute Datenschutzerklärung
Die Datenschutzerklärung auf der Firmen-Website ist für jeden Internetnutzer frei einsehbar: Entsprechend einfach können Abmahnbüros schlechte Erklärungen beanstanden. Wann eine Erklärung nicht schlecht ist? Wenn sie schnell erreichbar, vollständig und verständlich formuliert ist.
6. Denken Sie an Opt-outs
Was künftig im Internet erlaubt ist, hängt stark davon ab, wie die Website gebaut ist. Der Graubereich ist groß. So erheben einige Social Media Plug-ins automatisch Daten und leiten diese an Facebook, Twitter und Co. weiter – sogar dann, wenn der User sie nicht aktiv anklickt. Auch Analyse-Tools wie Google Analytics sind kritisch. Um unerwünschtes Tracking beim Surfen zu vermeiden, sollten Opt-outs eingerichtet werden.
7. Beziehen Sie Dienstleister und Zulieferer mit ein
Wer personenbezogene Daten an Dienstleister weitergibt, sollte regeln, wie sie diese verarbeiten. Ein Auftragsdatenverarbeitungsvertrag (AVV) kann zum Beispiel nötig werden, wenn Speditionen Ware ausliefern – und daher die Kundenadresse kennen müssen. Auch für Firmenwebsites auf externen Servern empfiehlt sich ein AVV.
8. Sie brauchen einen Notfallplan
Die DSGVO verpflichtet, eine Folgeabschätzung durchzuführen: Wie hoch ist das Risiko, dass ich aus Versehen sensible Daten veröffentliche? Ohnehin schadet es nicht, einen Notfallplan zu haben. Denn bei einem Daten-GAU bleiben nur 72 Stunden, ihn den Aufsichtsbehörden zu melden. Kleinere Pannen können auch begründet ad acta gelegt werden – ohne Meldung.
9. Räumen Sie Datenbanken regelmäßig auf
Manche Daten ändern sich, etwa Adressen. Andere werden überflüssig, so die von Kunden, die seit Jahren nichts mehr gekauft haben. Darum stehen Unternehmer in der Verantwortung, ihre Datenbanken regelmäßig zu aktualisieren. Eine Faustregel sagt: Unbenutzte Daten werden nach fünf Jahren gelöscht. Dies gilt natürlich nicht für Daten, die laut Gesetz länger aufbewahrt werden müssen – zum Beispiel Steuerdaten.
10. Machen Sie Datenschutz zum Wettbewerbsvorteil
Das Recht auf informationelle Selbstbestimmung ist ein Grundrecht. Wahrscheinlich werden die Aufsichtsbehörden bei Verstößen hart durchgreifen, um Exempel zu statuieren. Allerdings sind viele Details der DSGVO noch nicht geregelt. Kommentare und Gerichtsurteile könnten Unternehmer in den nächsten Jahren immer wieder zu Veränderungen ihrer Datenschutzrichtlinien zwingen. Das kann ein Wettbewerbsvorteil sein: Wer seine Firma stets an den neusten Vorgaben ausrichtet, hat gegenüber der Konkurrenz die Nase vorn.
Weblinks
- Mustervorlage für die VvV: https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Verfahrensregister/Inhalt/Verarbeitungstaetigkeiten/Verarbeitungstaetigkeiten.html
- Alles Wichtige zum Datenschutzbeauftragten: https://www.ihk-muenchen.de/de/Service/Recht-und-Steuern/Datenschutz/Die-EU-Datenschutz-Grundverordnung/Betrieblicher-Datenschutzbeauftragter/
- Musterdatenschutzerklärung: https://www.uni-muenster.de/Jura.itm/hoeren/lehre/materialien/musterdatenschutzerklaerung
Maximilian Gerl ist Absolvent der Deutschen Journalistenschule und schreibt als Autor für die Unternehmeredition.
www.maximilian-gerl.de