Zeitschrift B&B Agrar

DSGVO: So geht Datenschutz heute

Hilfestellung fĂŒr kleine Unternehmen

Hand mit Schloss (symbolisch)
Foto: peshkova/stock.adobe.com

Seit dem 25. Mai gilt in ganz Europa die Datenschutzgrundverordnung (DSGVO). Nicht alle Vorschriften sind neu. Es gelten aber jetzt verschÀrfte Dokumentations- und Rechenschaftspflichten.

Artikel als PDF herunterladen

Gerade fĂŒr kleinere Unternehmen ist die Datenschutzgrundverordnung eine Herausforderung. Denn sie sind keine Datenschutzprofis, haben aber stĂ€ndig mit Daten zu tun, etwa von Kunden oder Mitarbeitern. Betroffen von der Verordnung sind alle, die personenbezogene Daten verarbeiten. Das sind vor allem Unternehmen, SelbststĂ€ndige und Behörden, aber auch die Mitgliederverwaltung eines Vereins fĂ€llt unter die DSGVO. Große Unternehmen wie Facebook und Google sind Direktvermarktern, HofcafĂ©s und Urlaubsanbietern gleichgestellt. Außen vor bleiben Privatpersonen, vorausgesetzt sie nutzen die Daten fĂŒr persönliche und familiĂ€re Zwecke.

Personenbezogene Daten

Im Fokus der Datenschutzgrundverordnung stehen die personenbezogenen Daten. Hierzu zĂ€hlen unter anderem Name, E-Mail-Adressen, Adressen, Geburtsdaten, Ausweisnummer, Autokennzeichen, Steuernummer und IP-Adresse. Auch sensible Daten wie religiöse Überzeugungen und Informationen ĂŒber den Gesundheitszustand gehören dazu. Die Verordnung spricht in diesem Zusammenhang von unterschiedlichen Datenkategorien. Dabei ist es egal, ob die Daten elektronisch gespeichert oder in Papierform abgelegt werden.

Oberster Grundsatz frĂŒher und heute: Jede Verarbeitung personenbezogener Daten ist verboten. Es sei denn, es findet sich eine Rechtfertigung. Der Friseur, der ein Terminbuch fĂŒhrt, braucht jetzt die Genehmigung des Kunden, dass er den Namen aufschreiben darf. Ebenso wie der Betrieb, der Daten speichert fĂŒr die Zusammenstellung der Abokisten oder die Buchung der Ferienwohnung. Nach der DSGVO mĂŒssen Daten nach ZweckerfĂŒllung gelöscht werden. Beispiel: Bewerbungsunterlagen mĂŒssen weg, wenn die Stelle vergeben ist. Wenn ein Kunde keine Werbung mehr haben möchte, werden seine Daten nicht gehortet. Wer das rigoros einhĂ€lt, geht so den "Karteileichen" an den Kragen.

Verarbeitungsverzeichnis

Menschen in einem Hofcafé
Unter die neue Datenschutzgrundverordnung fallen auch landwirtschaftliche Betriebe, die beispielsweise "nur" ein Hofcafé betreiben. Foto: landpixel.de

Neu ist: Im Verzeichnis von VerarbeitungstĂ€tigkeiten wird aufgeschrieben, wie die fraglichen Daten verarbeitet werden, wer darauf Zugriff hat und wie die Daten geschĂŒtzt und gesichert werden. Dieses Verzeichnis muss nicht offengelegt werden. Nur die Aufsichtsbehörde muss es sehen, wenn sie danach fragt. Jedes Bundesland hat seine eigene Datenschutzaufsichtsbehörde. Elektronisch oder handschriftlich? Wie das Verzeichnis aussieht, ist egal. Wichtig ist, dass Änderungen nachvollzogen werden können. Im Klartext: Hat sich ein Verantwortlicher geĂ€ndert, schreibt man keinen neuen Zettel, sondern streicht ihn durch und ergĂ€nzt den neuen Namen. So sieht man, was sich geĂ€ndert hat. Die Verzeichnisse mĂŒssen zwei Jahre aufbewahrt werden.

Dieser Arbeitsaufwand mag auf den ersten Blick lĂ€stig sein. Doch eine solche Übersicht ist hilfreich und eine echte QualitĂ€tskontrolle fĂŒr den Betrieb. Eine solche Art von "Dateninventur" ermöglicht einen aktuellen und gepflegten Datenbestand. Es spart Suchzeiten, wenn alle Daten up to date sind und klar ist, wer was wann zu tun hat.

Erlaubnisvorbehalt

Wer Newsletter oder Werbung per E-Mail verschickt, sollte das "Prinzip des Verbotes mit Erlaubnisvorbehalt" kennen. Im Klartext steckt dahinter: Jeder, der Mails bekommt, muss das genehmigen. Der Kunde ist König und muss zustimmen, dass seine Daten dafĂŒr gespeichert werden dĂŒrfen. Da das Unternehmen das beweisen muss, geht das nur schriftlich. Entscheidend bei der Einwilligung ist die eindeutig bestĂ€tigende Handlung. Soll heißen: Wer eine Einwilligung haben möchte, muss klar, deutlich und konkret sagen, wofĂŒr. Außerdem muss der Kunde informiert werden, dass er die Einwilligung jederzeit schriftlich grundlos widerrufen kann. Wer sich die Erlaubnis online holen möchte, muss das Opt-in-Verfahren beachten. Dahinter steckt das aktive Ankreuzen. Das "Stehenlassen" eines HĂ€kchens (Opt-on-Verfahren) ist nicht erlaubt. Der Kunde muss selbst aktiv den Haken setzen, nach dem Motto "Ja, ich will".

Klar geregelt ist, dass Kundendaten nur zweckgebunden eingesetzt werden dĂŒrfen. Hat Kunde XY seine E-Mail-Adresse fĂŒr den Newsletter zur VerfĂŒgung gestellt, darf er keine Werbung fĂŒr das Hoffest bekommen. Übrigens: Werbung mit der Post ist noch erlaubt. Allerdings nur, wenn eine Kontaktmöglichkeit angegeben ist, sodass der Kunde die Post abmelden kann.

Sofortmaßnahmen

So sind Sie bei der Umsetzung der Datenschutzgrundverordnung (DSGVO) auf der sicheren Seite:

  • Starten Sie die Dateninventur und verschaffen sich einen Überblick: Welche Daten haben Sie? Werden die Daten ĂŒberhaupt gebraucht? Wer ist verantwortlich und kĂŒmmert sich?
  • Erstellen Sie ein Verarbeitungsverzeichnis. Auf den Internetseiten der Aufsichtsbehörden gibt es brauchbare Checklisten.
  • ÜberprĂŒfen Sie, ob Sie alle EinwilligungserklĂ€rungen fĂŒr den Versand von Newslettern haben. Sind Ihre Kunden ausreichend informiert? ErklĂ€ren Sie Ihren Kunden, wofĂŒr Sie die Daten brauchen und wie lange sie gespeichert werden.
  • Geben Sie Daten weiter? Etwa an einen Auftragsverarbeiter, der Ihre Kataloge auf den Postweg bringt.
  • Ist Ihre Internetseite in Sachen Datenschutz sauber? Sie brauchen eine wasserdichte DatenschutzerklĂ€rung.
  • Stimmt Ihr IT-Sicherheitskonzept? Was tun Sie im Falle einer Datenpanne? Auch hier helfen Checklisten.
  • Denken Sie daran: Ihre Kunden können jederzeit Infos anfordern darĂŒber, welche Daten bei Ihnen gespeichert sind. Sie mĂŒssen damit rechnen und gewappnet sein. Wie lange brauchen Sie, um Daten zu löschen oder Auskunft zu geben? Üben Sie den Ernstfall. Ähnlich wie bei einer FeuerwehrĂŒbung.

Auftragsverarbeitung

Nicht alle Unternehmen kommen ohne fremde Hilfe aus, wenn es zum Beispiel um den Versand von Katalogen, die Lohnbuchhaltung oder die Wartung der EDV geht. Sobald Fremde im Spiel sind, schlÀgt die DSGVO gnadenlos zu. Die Rede ist dann von der Auftragsverarbeitung. Bei einer Datenpanne haftet das Unternehmen, nicht der Auftragsverarbeiter. Wer darf was wie und wie lange speichern? Wer darf was wie löschen? Was passiert mit den Daten, wenn der Auftrag erledigt ist. Diese Fragen sind im Vorfeld vertraglich zu regeln.

Sicherheitskonzept

Eigentlich selbstverstĂ€ndlich, aber in der DSGVO extra gefordert: Jedes Unternehmen muss ein Sicherheitskonzept in petto haben – und zwar schriftlich. Hieraus geht hervor, was im Falle eines Problems getan wird. Die Verordnung fordert die "Vertraulichkeit, die IntegritĂ€t und die VerfĂŒgbarkeit der Systeme und Dienste, die im Zusammenhang mit der Verarbeitung stehen".

Bei Vertraulichkeit geht es darum, die Daten vor Unbefugten zu verbergen. Beim Öffnen einer Kundenkartei darf kein Kunde ĂŒber die Schulter blicken. Ist niemand am Computer, muss der Bildschirm gesperrt werden. Bei Windows geht das mit der Windows-Taste + L. Bei Mac braucht man drei Tasten: Ctrl + Shift + Eject. Bei einer Mail an mehrere EmpfĂ€nger gehören die E-Mail-Adressen unter BCC (Blind Carbon Copy), damit nicht jeder jede Adresse zu sehen bekommt. Hinter IntegritĂ€t steht, dass Daten nicht manipuliert werden dĂŒrfen, weder absichtlich noch aus Versehen. Die Daten mĂŒssen jederzeit verfĂŒgbar sein.

Einige Vorgaben kann man selbst einhalten, hier hilft der gesunde Menschenverstand. Klare Richtlinien sorgen bei allen Mitarbeitenden fĂŒr sichere Passwörter. Wer darf welche Daten sehen? Muss der Praktikant Zugriff haben auf die komplette Kundendatei? Ein sicherer Weg ist, wenn unterschiedlichen Personen unterschiedliche Zugriffsrechte zustehen. Manchmal muss ein IT-Fachmann her: DafĂŒr ein Budget einplanen. Datensicherheit ist Chefsache. Denn der Unternehmensleitende steht dafĂŒr gerade, dass nichts mit den Daten passiert. Ein Datenschutzbeauftragter ist dann nötig, wenn mehr als zehn Personen stĂ€ndig damit beschĂ€ftigt sind, personenbezogene Daten zu verarbeiten. Kleine Betriebe sind hier nicht in der Pflicht.


Die Autorin

Anne Dirking

Anne Dirking

Landwirtschaftskammer Niedersachsen, Bezirksstelle Uelzen
 anne.dirking@lwk-niedersachsen.de