Nur wenige Monate der vergangenen zwei Jahre vergingen, ohne dass es nicht mindestens einen handfesten und eklatanten Daten-Skandal gab. Facebook, Ebay, Sony und auch die deutschen Ministerien wurden Opfer von Attacken, bei denen Daten gestohlen wurden. Doch auch abseits dieser illegalen Methoden florierte der Handel mit gekauften Daten. Grundlage sowohl der Attacken als auch des Datenhandels sind größtenteils veraltete Gesetze und Vorschriften, in denen die digitalen Räume keineswegs geregelt ist.
Innerhalb der Europäischen Union galten verschiedene Rechtsvorschriften über die Verarbeitung von Daten. In Deutschland heißt diese Vorschrift Bundesdatenschutzgesetz (BDSG), in dem eine Vielzahl verschiedenen Paragrafen den Unternehmen vorschreibt, welche Daten wann, wie und vor allem wo zu verarbeiten sind. Doch die Anforderungen für den Datenschutz haben sich in den vergangenen Jahren, besonders geprägt durch die Digitalisierung, stark verändert. Die DSGVO ist nun die Gesetzgebung, die einerseits die europäischen Verordnungen ablöst und zudem andererseits an das heutige, digitale Zeitalter angepasst ist.
Wer sich besonders in den letzten Wochen und Monaten über das Thema informiert hat, wird an allen Ecken und Enden über thematisch relevante Artikel und Aussagen gestoßen sein. Der Datenschutz ist im unternehmerischen Umfeld ein wichtiges Thema, weshalb es bei einer Nichteinhaltung hier zu entsprechenden Wettbewerbsverzerrungen kommen kann, die per Abmahnung abgestraft werden können. Das ist insofern nichts Neues, als das bereits der „alte" Datenschutz wettbewerbsrechtlich relevant war. Die Überarbeitung der vorhandenen Vorschriften und die Anpassung an unser digitales Umfeld erfordern logischerweise ein umfassenderes Regelwerk. Mitunter fehlende Vorsicht als auch Regelungen haben in der Vergangenheit zu den bekannten Datenlecken geführt, die nun geschlossen werden sollen.
Datenschutz sollte für keinen Unternehmer ein komplett neues Feld sein. Wer bisher den Datenschutz in seinen Prozessen gemäß dem BDSG berücksichtigt hat, wird mit der DSGVO keine bahnbrechenden Neuerungen fürchten müssen. Dennoch befreit diese bisherige Arbeitsweise natürlich den Unternehmer nicht davon, sich mit den neuen Regelungen zu beschäftigen. Lediglich der Aufwand für die Anpassungen wird sehr wahrscheinlich weitaus geringer ausfallen im Vergleich zu einem kompletten Neustart.
Die DSGVO ist vor allem eine europaweit gültige Fassung, die die jeweilige nationalen Vorschrift weitestgehend ersetzt. Zudem ist sie auch für diejenigen Unternehmen gültig, die auf ohne hiesigen Geschäftssitz auf europäischem Boden agieren und Daten verarbeiten. Dabei folgt das Gesamtwerk DSGVO dem Grundsatz der Datenschutzprinzipien. Die Erhebung von Daten ist nur dann erlaubt, wenn es ein sogenannter Erlaubnistatbestand ist. Dieser liegt vor, wenn derjenige der Erhebung seiner Daten ausdrücklich zustimmt. Diese Zustimmung begrenzt sich per sé auf den Zweck der Datenverwendung. Eine anderweitige Verarbeitung ist ohne weitere Zustimmung verboten.
Die DSGVO ist wie bereits erwähnt keine neue Verordnung, die grundlegend neue Dinge regelt. Vielmehr ist sie eine Erweiterung der bereits bestehenden Datenschutzbestimmungen und harmonisiert diese über die Landesgrenzen der Europäischen Union hinweg. Für Einzelunternehmer und kleine Unternehmen ergibt sich besonders die Pflicht auf die Verarbeitung der personenbezogenen Daten zu achten. Aufgrund der Unternehmensstruktur wird hier vielfach mit einer größeren Anzahl verschiedener Software- und Cloud-Lösungen gearbeitet. In größeren Unternehmen sind ganzheitlichen CRM-Systeme insofern einfacher datenschutzrechtlich abzusichern, da es sich um ein eigenständiges System handelt. Bei der Auswahl von Applikationen jedoch ist es zwingend erforderlich die nachgelagerte Verarbeitung der Daten zu kennen. So ist beispielsweise bei Cloud-Speichern die grundlegende Frage nach dem Server-Standort sowie dem garantierten Zugriff auf die Daten vorrangig zu beantworten, bevor mit dem Dienst gearbeitet wird.
Ab einer Mitarbeiteranzahl von neun, die regelmäßig mit der Datenverarbeitung beschäftigt sind, schreibt die DSGVO einen Datenschutzbeauftragten vor. Unterhalb dieser Mitarbeitergrenze, die sich auf Köpfe bezieht, kann die Funktion vom Geschäftsführer und Unternehmer selbst übernommen werden. Dabei ist der Kenntnisstand der beauftragten Person jeweils mit den Schulungen der einschlägig bekannten Bildungsinstitute wie beispielsweise der zuständigen IHK stetig aktuell zu halten.
Grundlegend wichtig sind bei der Datenerhebung immer die Zweckbindung sowie die Datenminimierung. Die personenbezogenen Daten müssen für einen Vorgang vollumfänglich benötigt werden, um sie erheben zu dürfen. Zudem dürfen sie nach alter und neuer Datenschutzbestimmung für diesen Zweck verwendet werden. Eine anderweitige Verwendung ist nur nach einer erneuten Erlaubnis möglich. Zusätzlich wurde das Kopplungsverbot verschärft. Das bedeutet konkret, dass die Datenverarbeitung nur dann zulässig ist, wenn sie unabdingbar für eine Leistung ist.
Um der DSGVO vollständig zu entsprechend ist es notwendig ein sogenanntes Verarbeitungsverzeichnis anzulegen und aktuell zu halten. Dieses ergibt sich aus einer Prozessbeschreibung, in der die Erhebung von Daten vor allem funktional erklärt wird. Wann und wie werden welche Daten aus welchem Grund erhoben und verarbeitet? Wer diese Fragen mit Hilfe eines Workflows beschreiben kann ist auch in der Lage das Verarbeitungsverzeichnis anzulegen. Darin steht die Datenverarbeitung komprimiert beschrieben und für einen Datenschutzbeauftragten und ist für die Behörden sofort einsehbar und verständlich.
Daten werden aber nicht nur immer bei einem Rechtsgeschäft mit Kunden erhoben. Auch interne Daten bei der Lohnabrechnung beispielsweise oder dem Bewerberpool für die Besetzung einer Stelle unterliegen gleichermaßen den Vorschriften. Auch zu diesen Prozessen sind entsprechende Verzeichnisse der Verarbeitungstätigkeit anzulegen.
Das Recht auf „Vergessenwerden" stellt die Unternehmer vor eine Veränderung, die es so konkret vormals noch nicht in den Rechtsvorschriften gab. So ist im Unternehmen mit Hilfe von Prozessbeschreibungen nicht nur darzustellen, wie die Daten wo und zu welchem Zweck erhoben wurden, sondern auch, wie lange sie aufbewahrt werden und wann gelöscht werden. Auch an dieser Stelle ist die Erstellung von Prozesshandbüchern von Vorteil, da hieraus die Antworten sofort erkennbar sind. Und sollten Fragen offenbleiben, so können sie sofort bei der Erstellung beantwortet und der Prozess entsprechend angepasst werden.
Zusätzlich sieht die DSGVO vor, dass jeder Unternehmer als Datenverarbeiter Sorge dafür zu tragen hat, dass die Daten sicher gespeichert sind. Hierbei ist der jeweilige Datenschutzbeauftragte in der Pflicht die Anstrengungen der Unternehmen zu dokumentieren. Es wird zwar unmöglich sein alle Daten zu jederzeit absolut sicher zu verwalten, aber wer hier nicht die notwendigen Vorkehrungen trifft handelt fahrlässig.
Ende Mai wird die Übergangsfrist für die DSGVO enden. Ab dann ist vorrangig sie die bestimmende Vorschrift bei der Verarbeitung von Daten. Die Erweiterung der vorhandenen Gesetze bedeutet für viele Unternehmen insofern eine Veränderung, als dass das Thema „Datenschutz" eine höhere Priorität genießen muss. Letztlich dient dies zweifelsfrei demjenigen, der seine Daten in die Verarbeitung gibt und schütz ihn vor Missbrauch. Gleichzeitig schützt die DSGVO aber auch die Unternehmen. So werden nicht notwendige Verarbeitungsschritte untersagt ebenso wie die Löschung der Daten nach einer Frist oder auf Anfrage. Die hilft dabei den Datenbestand so gering wie möglich zu halten.
Die Darstellung der Prozesse innerhalb eines Unternehmens vermag zwar im ersten Moment aufwendig wirken. In letzter Konsequenz ermöglichen diese Aufzeichnungen dem Unternehmer aber einen umfassenden Einblick in die Prozesse und Risiken der Verarbeitung, die durch entsprechende Maßnahmen abgestellt werden können. So dienen Sie der Dokumentation, aber gleichermaßen auch dem Eigenschutz. Schützen Sie Ihre Kunden, Ihre Mitarbeiter, Ihr Unternehmen und sich selbst!
In Zusammenarbeit mit unserem Partner der One More Consulting bieten wir Ihnen einen EU DSGVO Quick Check an. Damit können Sie kurzfristig die nötigen Maßnahmen entweder selbst umsetzen oder einen externen Dienstleister oder uns mit der Umsetzung betreuen. Neben dieser Dienstleistung unterstützen unser Partner auch in den Fragen Compliance und Interne Revision. One More Consulting ist spezialisiert auf mittelständische Unternehmen, die demnächst den Gang an den Kapitalmarkt wagen.