Warum das ganze? Diese Frage hören wir immer wieder. Denn der oder die Fragende haben Erfahrung aus der Umsetzung von Rechtsvorschriften und sich eventuell durch die eine oder andere Zertifizierung gearbeitet. Immer bedeutet das, Schulungen, Papieraufwand, Einsatz unzähliger Arbeitsstunden sowie Einkauf externen Fachwissens. Es kamen neue Ordner mit entsprechend viel Papier dazu, mit unter sogar neue Software und die fade Frage, ob das Arbeiten nun effizienter sei. Jedoch trugen diese Dinge nachhaltig zum Unternehmenserhalt und Unternehmenserfolg bei. Nach Arbeitssicherheit, Umwelt und Datensicherheit kommt nun etwas neues: Datenschutz im europäischen Maßstab.
Doch diesmal trifft es nicht nur die fortschrittlichen Digitalisierer oder diejenigen, die sich einen Wettbewerbsvorteil aus einer Zertifizierung versprechen. Nein diesmal sind alle Unternehmen ab 10 Mitarbeiter betroffen, die in Europa geschäftlich unterwegs sind – egal wo sie sitzen und egal mit welcher Größe sie im Markt sind oder erst einsteigen.
Alle Unternehmen müssen Auskunft geben können, wie mit personenbezogenen Daten umgegangen wird. Das umfasst alle Prozesse, Technik und Personen die mit Erfassung, Verarbeitung und Speicherung in Verbindung stehen. Zum einen sind es die Wege die die Daten bei Erfassung und Verarbeitung nehmen, die Stellen mit Datenzugriff als auch die Speicherorte. Zum anderen sind es die Maßnahmen zur Sicherung und Abwehr von Missbrauch. Klingt das für Sie nach viel Aufwand? Auf jeden Fall zeichnen sich prozessgebundene und hoch automatisierte Arbeiten hier aus. Denn der Analyseaufwand wird mit jedem standardisierten Prozess der Arbeit geringer.
Doch was umfasst „Personenbezogene Daten“? Alle Daten die Rückschluss auf reale Personen zulassen oder amtlich gesagt: Es sind alle „Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.“ Das kann ein Name sein, eine E-Mail Adresse, das Kfz-Kennzeichen aber auch Aufzeichnungen über Interessen, Arbeitsergebnisse und Arbeitszeiten, Pausen sowie Urlaub. Die DSGVO ist dafür geschaffen, personenbezogene Daten vor Missbrauch zu schützen. Und welch Unternehmen mit Angestellten hat keine E-Mailadressen, Mitarbeiter- und Kundenadressen bis hin zu Kalkulationen und Auftragsdaten?
Die DSGVO betrifft alle Organisationen deren Daten und Datenverarbeitung sowie Datenspeicherung, Rückschluss auf Personen zulassen. Dabei sind papiergebundene Angaben (Visitenkarte, Berichte, Protokolle) ebenso wie elektronisch gespeicherte Daten (Excel-Liste, Datenbank, CRM, MIS …) und Daten die in Shop- bzw. Fremdsystemen erfasst, verarbeitet oder gespeichert werden, betroffen.
Eine weitere Frage die geklärt werden muss, betrifft den Verantwortlichen für die protokollierenden Arbeiten wie für die Durchsetzung von Schutzmaßnahmen. Unternehmen ab 10 Mitarbeiter müssen einen eigenen Datenschutzbeauftragten bestellen und der entsprechenden Landesstelle gegenüber benennen. Für alle kleineren Unternehmen wird es verpflichtend, wenn sie personenbezogene Daten mit Computern verarbeiten, die Profile oder Rückschlüsse auf Persönlichkeitsmerkmale zulassen. Das dürfte z.B. bei Versand und Auswertung von Mailings, Gewinnspielen etc. bereits der Fall sein. Besonders dann, wenn Persönlichkeitsmerkmale erhoben werden, die mit der Gesundheit oder dem Sozialverhalten zu tun haben.
Wer in Zukunft Werbung machen will, benötigt dazu die ausdrückliche Genehmigung des Empfängers. Dazu reicht es nicht mehr aus, dass eine Person bzw. ein Unternehmen schon mal Kunde war. Ausnahmen gibt es nur, wenn damit zu rechnen ist, das die beworbene Leistung / Produkt dringend benötigt werden. Dafür gibt es allerdings nicht viele „als berechtigt anzunehmende“ Gründe. Alle anderen haben die Zusendung von Newsletter, Gruß- und Werbemails im Vorfeld schriftlich zu bestätigen. Erst dann darf versendet werden.
Was ist aber nun ein Datenschutzbeauftragter? Zum Datenschutzbeauftragter darf bestellt werden, wer die fachlichen Fähigkeiten zur Erfüllung seiner Aufgaben besitzt und zuverlässig ist. Fachkenntnisse betreffen das Datenschutzrecht sowie sonstigen relevanten Rechtsvorschriften. Weiterhin müssen grundlegende IT-Kenntnisse sowie betriebswirtschaftliche Kompetenzen vorhanden sein. Betriebliche Verfahrensabläufe und die Betriebsorganisation (besonders die Datenverarbeitungsprozessen) müssen erkannt und beurteilt werden können.
Datenschutzbeauftragter des Unternehmens kann ein Mitarbeiter / Mitarbeiterin sein oder auch ein externer Dienstleister werden. Es darf niemand aus der Geschäftsleitung sein oder derjenige, der die IT im Unternehmen betreut. Die Person muss befähigt werden (geschult) und in der Lage sein, die Prozesse zu erkennen und Maßnahmen zum Schutz der Daten durchzusetzen. Das bedeutet, der Datenschutzbeauftragte bekommt auch eine Weisungsberechtigung im Unternehmen. Er oder sie selbst werden für ihre Arbeit nicht vom Gesetzgeber zur Rechnenschaft gezogen oder strafverfolgt, da sie nur im Auftrag der Geschäftsführung tätig sind. Womit dann auch klar sein sollte, dass die Geschäftsleitung vollumfänglich gerichtbar gemacht wird. Und die Strafmasse sind mit Strafen „bis zu 10 Mill. Euro bzw. max. zwei Prozent des weltweiten Umsatz“ (und im Wiederholungsfall doppelt so hoch) keine Bagatelle die aus der sprichwörtlichen Portokasse beglichen wird. Doch dazu muss es ja erst garnicht kommen, Sie haben es jetzt noch in der Hand, die entsprechenden Vorbereitungen zu treffen.
Das Expertenteam aus Berlin, hält für den rechtssicheren Umgang mit der DSVGO geeignete Software bereit. Auch kann bei der Prozessaufnahme sowie die Konzeption von Schutzmaßnahmen externe Hilfe vermittelt werden. Anderseits ist es die richtige Zeit, zu hinterfragen, ob die Datenerhebung und Umgang mit Daten im Salesprozess noch dem Stand der Zeit entspricht. Hier ein geeignetes Businessmodelle zu erarbeiten und die Prozesse an die Erfordernisse anzupassen sind Teil der Leistung.
Berlin, 08. Januar 2018
Ralf Hasford | Moderator und Berater
Partner bei Fels oder Brandung Berlin