Gerade für kleinere Unternehmen ist die Datenschutzgrundverordnung eine Herausforderung. Denn sie sind keine Datenschutzprofis, haben aber ständig mit Daten zu tun, etwa von Kunden oder Mitarbeitern. Betroffen von der Verordnung sind alle, die personenbezogene Daten verarbeiten. Das sind vor allem Unternehmen, Selbstständige und Behörden, aber auch die Mitgliederverwaltung eines Vereins fällt unter die DSGVO. Große Unternehmen wie Facebook und Google sind Direktvermarktern, Hofcafés und Urlaubsanbietern gleichgestellt. Außen vor bleiben Privatpersonen, vorausgesetzt sie nutzen die Daten für persönliche und familiäre Zwecke.
Personenbezogene Daten
Im Fokus der Datenschutzgrundverordnung stehen die personenbezogenen Daten. Hierzu zählen unter anderem Name, E-Mail-Adressen, Adressen, Geburtsdaten, Ausweisnummer, Autokennzeichen, Steuernummer und IP-Adresse. Auch sensible Daten wie religiöse Überzeugungen und Informationen über den Gesundheitszustand gehören dazu. Die Verordnung spricht in diesem Zusammenhang von unterschiedlichen Datenkategorien. Dabei ist es egal, ob die Daten elektronisch gespeichert oder in Papierform abgelegt werden.
Oberster Grundsatz früher und heute: Jede Verarbeitung personenbezogener Daten ist verboten. Es sei denn, es findet sich eine Rechtfertigung. Der Friseur, der ein Terminbuch führt, braucht jetzt die Genehmigung des Kunden, dass er den Namen aufschreiben darf. Ebenso wie der Betrieb, der Daten speichert für die Zusammenstellung der Abokisten oder die Buchung der Ferienwohnung. Nach der DSGVO müssen Daten nach Zweckerfüllung gelöscht werden. Beispiel: Bewerbungsunterlagen müssen weg, wenn die Stelle vergeben ist. Wenn ein Kunde keine Werbung mehr haben möchte, werden seine Daten nicht gehortet. Wer das rigoros einhält, geht so den "Karteileichen" an den Kragen.
Verarbeitungsverzeichnis
Neu ist: Im Verzeichnis von Verarbeitungstätigkeiten wird aufgeschrieben, wie die fraglichen Daten verarbeitet werden, wer darauf Zugriff hat und wie die Daten geschützt und gesichert werden. Dieses Verzeichnis muss nicht offengelegt werden. Nur die Aufsichtsbehörde muss es sehen, wenn sie danach fragt. Jedes Bundesland hat seine eigene Datenschutzaufsichtsbehörde. Elektronisch oder handschriftlich? Wie das Verzeichnis aussieht, ist egal. Wichtig ist, dass Änderungen nachvollzogen werden können. Im Klartext: Hat sich ein Verantwortlicher geändert, schreibt man keinen neuen Zettel, sondern streicht ihn durch und ergänzt den neuen Namen. So sieht man, was sich geändert hat. Die Verzeichnisse müssen zwei Jahre aufbewahrt werden.
Dieser Arbeitsaufwand mag auf den ersten Blick lästig sein. Doch eine solche Übersicht ist hilfreich und eine echte Qualitätskontrolle für den Betrieb. Eine solche Art von "Dateninventur" ermöglicht einen aktuellen und gepflegten Datenbestand. Es spart Suchzeiten, wenn alle Daten up to date sind und klar ist, wer was wann zu tun hat.
Erlaubnisvorbehalt
Wer Newsletter oder Werbung per E-Mail verschickt, sollte das "Prinzip des Verbotes mit Erlaubnisvorbehalt" kennen. Im Klartext steckt dahinter: Jeder, der Mails bekommt, muss das genehmigen. Der Kunde ist König und muss zustimmen, dass seine Daten dafür gespeichert werden dürfen. Da das Unternehmen das beweisen muss, geht das nur schriftlich. Entscheidend bei der Einwilligung ist die eindeutig bestätigende Handlung. Soll heißen: Wer eine Einwilligung haben möchte, muss klar, deutlich und konkret sagen, wofür. Außerdem muss der Kunde informiert werden, dass er die Einwilligung jederzeit schriftlich grundlos widerrufen kann. Wer sich die Erlaubnis online holen möchte, muss das Opt-in-Verfahren beachten. Dahinter steckt das aktive Ankreuzen. Das "Stehenlassen" eines Häkchens (Opt-on-Verfahren) ist nicht erlaubt. Der Kunde muss selbst aktiv den Haken setzen, nach dem Motto "Ja, ich will".
Klar geregelt ist, dass Kundendaten nur zweckgebunden eingesetzt werden dürfen. Hat Kunde XY seine E-Mail-Adresse für den Newsletter zur Verfügung gestellt, darf er keine Werbung für das Hoffest bekommen. Übrigens: Werbung mit der Post ist noch erlaubt. Allerdings nur, wenn eine Kontaktmöglichkeit angegeben ist, sodass der Kunde die Post abmelden kann.
Sofortmaßnahmen
So sind Sie bei der Umsetzung der Datenschutzgrundverordnung (DSGVO) auf der sicheren Seite:
- Starten Sie die Dateninventur und verschaffen sich einen Überblick: Welche Daten haben Sie? Werden die Daten überhaupt gebraucht? Wer ist verantwortlich und kümmert sich?
- Erstellen Sie ein Verarbeitungsverzeichnis. Auf den Internetseiten der Aufsichtsbehörden gibt es brauchbare Checklisten.
- Überprüfen Sie, ob Sie alle Einwilligungserklärungen für den Versand von Newslettern haben. Sind Ihre Kunden ausreichend informiert? Erklären Sie Ihren Kunden, wofür Sie die Daten brauchen und wie lange sie gespeichert werden.
- Geben Sie Daten weiter? Etwa an einen Auftragsverarbeiter, der Ihre Kataloge auf den Postweg bringt.
- Ist Ihre Internetseite in Sachen Datenschutz sauber? Sie brauchen eine wasserdichte Datenschutzerklärung.
- Stimmt Ihr IT-Sicherheitskonzept? Was tun Sie im Falle einer Datenpanne? Auch hier helfen Checklisten.
- Denken Sie daran: Ihre Kunden können jederzeit Infos anfordern darüber, welche Daten bei Ihnen gespeichert sind. Sie müssen damit rechnen und gewappnet sein. Wie lange brauchen Sie, um Daten zu löschen oder Auskunft zu geben? Üben Sie den Ernstfall. Ähnlich wie bei einer Feuerwehrübung.
Auftragsverarbeitung
Nicht alle Unternehmen kommen ohne fremde Hilfe aus, wenn es zum Beispiel um den Versand von Katalogen, die Lohnbuchhaltung oder die Wartung der EDV geht. Sobald Fremde im Spiel sind, schlägt die DSGVO gnadenlos zu. Die Rede ist dann von der Auftragsverarbeitung. Bei einer Datenpanne haftet das Unternehmen, nicht der Auftragsverarbeiter. Wer darf was wie und wie lange speichern? Wer darf was wie löschen? Was passiert mit den Daten, wenn der Auftrag erledigt ist. Diese Fragen sind im Vorfeld vertraglich zu regeln.
Sicherheitskonzept
Eigentlich selbstverständlich, aber in der DSGVO extra gefordert: Jedes Unternehmen muss ein Sicherheitskonzept in petto haben – und zwar schriftlich. Hieraus geht hervor, was im Falle eines Problems getan wird. Die Verordnung fordert die "Vertraulichkeit, die Integrität und die Verfügbarkeit der Systeme und Dienste, die im Zusammenhang mit der Verarbeitung stehen".
Bei Vertraulichkeit geht es darum, die Daten vor Unbefugten zu verbergen. Beim Öffnen einer Kundenkartei darf kein Kunde über die Schulter blicken. Ist niemand am Computer, muss der Bildschirm gesperrt werden. Bei Windows geht das mit der Windows-Taste + L. Bei Mac braucht man drei Tasten: Ctrl + Shift + Eject. Bei einer Mail an mehrere Empfänger gehören die E-Mail-Adressen unter BCC (Blind Carbon Copy), damit nicht jeder jede Adresse zu sehen bekommt. Hinter Integrität steht, dass Daten nicht manipuliert werden dürfen, weder absichtlich noch aus Versehen. Die Daten müssen jederzeit verfügbar sein.
Einige Vorgaben kann man selbst einhalten, hier hilft der gesunde Menschenverstand. Klare Richtlinien sorgen bei allen Mitarbeitenden für sichere Passwörter. Wer darf welche Daten sehen? Muss der Praktikant Zugriff haben auf die komplette Kundendatei? Ein sicherer Weg ist, wenn unterschiedlichen Personen unterschiedliche Zugriffsrechte zustehen. Manchmal muss ein IT-Fachmann her: Dafür ein Budget einplanen. Datensicherheit ist Chefsache. Denn der Unternehmensleitende steht dafür gerade, dass nichts mit den Daten passiert. Ein Datenschutzbeauftragter ist dann nötig, wenn mehr als zehn Personen ständig damit beschäftigt sind, personenbezogene Daten zu verarbeiten. Kleine Betriebe sind hier nicht in der Pflicht.
