Die Tagesschau berichtet vom „Chaos Datenschutz“ aufgrund der am 25.05.2018 in Kraft getretenen Datenschutzgrundverordnung (DSGVO). Auch eine Studie des Bundesverbandes Informationswirtschaft, Telekommunikation und neue Medien e. V (Bitkom), auf die sich die Tagesschau beruft, solle dies beweisen. Demnach haben nur 5% der 500 befragten Unternehmen Angaben gemacht, nach denen sie die DSGVO vollständig umsetzen konnten. Insbesondere, so wird Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung zitiert, sei die DSGVO aufgrund unklarer Vorschriften ein „Fass ohne Boden”.
Aber ist das so? Der Auffassung der Verfasserin zur Folge sind die Anforderungen der DSGVO durch klare gezielte Maßnahmen rechtskonform und kosteneffizient umzusetzen.
Regulatorische Vorgaben der Datenschutzgrundverordnung einhalten
Die erste Aufgabe, die sich viele Unternehmen stellen: Nach außen rechtskonform auftreten. Ein legitimes Ziel. Datenschutzerklärung und Bestellprozess sollten compliant sein. Hierbei sind Gesetzeslage und Rechtsprechung zu beachten. Hat man jedoch die wesentlichen Fallstricke im Blick, kann man hier mit einiger gezielter Genauig- und Ehrlichkeit in Hinblick auf die eigenen datenschutzrelevanten Prozesse ohne größeren Aufwand eine rechtskonforme Erklärung verfassen oder durch Spezialisten verfassen lassen. Eine rechtlich saubere Einbindung der Datenschutzerklärung sollte dann kein größeres Task mehr sein.
Transparenz schaffen und notwendige Dokumentationen vorhalten
Aber wie sieht es aus, wenn doch einmal die Aufsichtsbehörden anklopfen? Im ersten Schritt wirkt es verwirrend. Im zweiten ist es ganz einfach. Verfahrensverzeichnis (Art. 30 DSGVO) und Liste der technischen und organisatorischen Maßnahmen (Art. 32 DSGVO) müssen vorgehalten werden. Aber was verbirgt sich dahinter? Eine dezidierte Auflistung sämtlicher Verarbeitungsvorgänge und eine klare Darstellung der zum Zwecke von Datenschutz und Datensicherheit getroffenen Maßnahmen. Bestandteil des Verarbeitungsverzeichnisses ist auch ein valides Löschungskonzept – einfach zu beantworten durch so genannte „W-Fragen“ (Wann werden wessen Daten warum gelöscht?).
Eine zeitnahe Einbindung in jedes neue Projekt vorausgesetzt, dürfte es keine allzu große Schwierigkeit für einen erfahrenen Datenschutzbeauftragten sein, diese Pflichten für Ihr Unternehmen zu erfüllen.
Geschäftspartner einbinden
Was verbirgt sich hinter diesem leidigen Thema „Auftragsverarbeitung“? Verarbeitet eine dritte Person in Ihrem Namen personenbezogene Daten (bspw. ein E-Mail-Versender, ein Handelsvertreter, ein Werbepartner), so ist ein Vertrag über die Auftragsverarbeitung (Art. 28 DSGVO) zu schließen. Das Gesetz definiert hier ziemlich genau die Inhalte, die es zu regeln gilt. Mit dem Vertrag zur Auftragsverarbeitung versenden Sie Ihre Liste der technischen und organisatorischen Maßnahmen (TOM) – vorausgesetzt Sie bleiben die verantwortliche Stelle und somit der Auftraggeber.
Betroffene nach Datenschutzgrundverordnung richtig informieren
Der Datenschutzbeauftragte des Unternehmens ist verpflichtet, die von der Datenverarbeitung betroffenen Personen umfassend zu informieren. Dem ist nicht nur durch eine hinreichende Datenschutzerklärung Genüge getan. Vielmehr stehen dem Betroffenen weitreichende Auskunftsansprüche zu. Widerspricht der Betroffene der Datenverarbeitung (und ist sie nicht mehr zur Vertragserfüllung erforderlich) sind seine Daten zu sperren oder sogar zu löschen (Art. 13 DSGVO) – vorbehaltlich steuer- und handelsrechtlicher Aufbewahrungsfristen.
Zweckgerichteter Umgang mit Kundendaten
Was Kundendaten angeht, hat sich das Unternehmen streng an das Gebot der Zweckbindung zu halten (Art. 5 Abs. 1 lit. b). Dies bedeutet, personenbezogene Daten dürfen ausschließlich zu dem Zweck verwendet werden, zu dem sie erhoben wurden. Hier empfiehlt sich eine klare Dokumentation von Erhebungszweck und Verwendung. Dies kann insbesondere im Verfahrensverzeichnis erfolgen (s.o.). Für jede über den Verwendungszweck hinausgehende Verwendung der Daten – wie beispielsweise der Verwendung eines Newsletters – ist die gesonderte Einwilligung des Kunden einzuholen.
Sensibler Umgang mit Mitarbeiterdaten
Last but not least steht der korrekte Umgang mit Daten von Mitarbeitern und sonstigen Beschäftigten im Fokus. Geregelt werden die Anforderungen insbesondere im Bundesdatenschutzgesetz (§ 26 BDSG). Hier empfiehlt es sich, Arbeitsverträge in Bezug auf den Datenschutz zu überprüfen. Außerdem ist für jede Verwendung der Daten, die über das zur Durchführung des Arbeitsverhältnisses Notwendige hinausgeht, die ausdrückliche Einwilligung des jeweiligen Mitarbeiters einzuholen. Dies gilt beispielsweise für die Verwendung seines Fotos auf der Internetpräsenz oder in Social Media Auftritten.