Am 25. Mai läutet die EU-Datenschutzgrundverordnung (DSGVO) eine neue Datenschutz-Ära ein. Dann müssen Unternehmen aktiv nachweisen, dass ihr Datenschutz funktioniert, sie technisch und organisatorisch alles tun, um einen Datenschutzverstoß zu verhindern, Interessen und Ein¬willigungen dokumentieren und vieles mehr. [...]
Handwerker, kleine Gewerbetreibende, Arztpraxen, Apotheken: Die DSGVO nimmt ausnahmslos alle Unternehmen, die Daten erfassen und speichern, in die Pflicht, ihre Datenverwaltung anzupassen. Denn auch sie erfassen Mitarbeiterdaten, speichern Kundendaten, posten Fotos ihrer Arbeiten beim Kunden in Sozialen Netzwerken und geben Daten unter Umständen an Dritte weiter, beispielsweise wenn Rechnungen von einem Software-as-a-Service-Dienst in der Cloud bearbeitet werden. Damit gelten auch Kleinstunternehmen, Freelancer, Freiberufler und kleine Mittelständler als datenverarbeitende Unternehmen und sind von der DSGVO betroffen.
Allerdings ist mit der DSGVO ist ein gewaltiges Regelwerk entstanden. Kleinen und mittleren Unternehmen (KMU) fällt es besonderes schwer, diese neuen Regeln umzusetzen, denn hier treffen oft knappes Budget, wenig Personal und mangelndes Fachwissen aufeinander. Dessen ist sich auch der Gesetzgeber bewusst und hat in der DSGVO Entlastungen für kleine und mittlere Unternehmen (KMU) vorgesehen. Zudem stehen KMU viele Angebote zur Verfügung: Beratungen, Schulungen und spezielle Tools helfen ihnen bei der Umsetzung der DSGVO.
Immerhin: Wer bisher schon datenschutzkonform agiert hat, auf den kommen wenige praktische Änderungen zu, denn die DSGVO orientiert sich stark am österreichischen Datenschutzgesetz (DSG). Dennoch müssen auch KMU Anpassungen vornehmen – und die beginnen mit einer Einwilligungserklärung.
Einwilligungserklärung
Als Faustregel gilt ab 25. Mai: Unternehmen müssen für jede Datennutzung eine Einwilligungserklärung der betreffenden Person einholen. Zum Beispiel, wenn sie Werbung per E-Mail versenden oder Telefon-Marketing betreiben wollen. Es ist sinnvoll die Einwilligungen in einer geeigneten Dokumentation anzulegen, in der später auch vermerkt werden kann, ob und von wem eine einmal erteilte Einwilligungserklärung widerrufen wurde.
Ausnahmen gelten, wenn die Datenverarbeitung zur Auftragserfüllung erforderlich ist. Darunter fällt die Adressverarbeitung des Kunden, wenn ein Auftrag vor Ort ausgeführt wird. Ebenfalls muss keine Einwilligungserklärung eingeholt werden, wenn die Daten zur Durchführung vorvertraglicher Maßnahmen verarbeitet werden, beispielsweise wenn der Kunde einen Kostenvoranschlag per E-Mail anfordert. Ohne Einwilligung dürfen auch Daten verarbeitet werden, die Arbeitgeber zur Erfüllung ihrer Pflichten benötigen, zum Beispiel um Sozialabgaben und Lohnsteuer an die Finanzbehörden und Krankenkassen zu melden.
Neue Informations- und Dokumentationspflichten
Mit der DSGVO kommen unter anderem Informationspflichten auf Unternehmen zu, die greifen, wenn sie eine eben erwähnte Einwilligungserklärung einholen: Dann muss die betroffene Person schriftlich darüber informieren werden, was mit den erhobenen Daten zum Zeitpunkt der Datenerhebung geschieht.
Neu ist auch das Auskunftsrecht: Natürliche Personen dürfen Auskunft über ihre gespeicherten Daten, den Zweck der Datenspeicherung und etwaige Datenweitergaben einholen. Idealerweise bewältigen Unternehmen diese Aufgabe, indem sie Auskünfte über personenbezogene Daten per Knopfdruck generieren. Die im Unternehmen verwendete Software kann beispielsweise so programmiert werden, dass Auskunftsfunktionen integriert und geeignete Daten gekennzeichnet sind. Übrigens: Eine Auskunft muss unverzüglich erfolgen – die Höchstdauer ist mit einem Monat angesetzt. Ist der Datenbestand sehr groß, wie es beispielsweise bei Sozialen Netzwerken der Fall ist, können Betroffene gebeten werden, die Auskunft auf bestimmte Datenarten oder Verarbeitungsverfahren zu reduzieren. Kosten dürfen dem Betroffenen höchstens bei Missbrauch des Auskunftsrechts in Rechnung gestellt werden.
Verzeichnis von Verarbeitungstätigkeiten
Wo personenbezogene Daten verarbeitet werden, müssen Datenverarbeitungsprozesse in einem „Verzeichnis von Verarbeitungstätigkeiten“ dokumentiert werden. Darin wird aufgeführt, welche personenbezogenen Daten im Unternehmen verarbeitet und wofür sie benutzt werden. In das Verfahrensverzeichnis gehören unter anderem Namen sowie Kontaktdaten des für die Verarbeitung Verantwortlichen sowie die des Datenschutzbeauftragten. Daneben ist anzugeben, wer von der Datenverarbeitung betroffen ist, und wer die Empfänger sind, denen gegenüber die Daten offengelegt werden.
Sonderregelung für KMU
Unternehmen sollten prüfen, ob ihr Betrieb überhaupt von dieser Regelung betroffen ist: Unternehmen mit weniger als 250 Angestellten sind nicht verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten zu führen, wenn:
- die Datenverarbeitung nicht nur gelegentlich erfolgt.
- die vorgenommene Datenverarbeitung kein Risiko für die Rechte und Freiheiten betroffener Personen birgt.
- die Datenverarbeitung keine besonderen Datenkategorien oder die Verarbeitung von personenbezogenen Daten über Straftaten oder strafrechtliche Verurteilungen einschließt.
Zwar erfahren KMU hier eine gewisse Erleichterung. In den seltensten Fällen dürfte die aber einschlägig sein. Denn nach DSGVO sind nur Unternehmen von der Pflicht befreit, wenn die Verarbeitung von Daten nicht nur gelegentlich erfolgt. In der Praxis ist es aber wohl Ansichts- oder Auslegungssache, was „gelegentlich“ ist und was nicht. Zudem dürften es selbst in Kleinstbetrieben regelmäßige Datenverarbeitungsvorgänge geben.
Office-Anwendungen: Für Dokumentationspflichten ungeeignet
Trotz dieser Entlastung unterliegen auch KMU umfassenden Dokumentationspflichten. Es macht Sinn, sich bei der Dokumentation an den Vorgaben von Artikel 30 zu orientieren. Dabei allerdings auf gängige Office-Anwendungen zu setzen, ist nicht ratsam. Denn mit diesen Office-Anwendungen werden Informationen an mehreren Stellen im Unternehmen gepflegt, anstatt eine zentrale Basis zu schaffen. Informationen sind somit schon nach kurzer Zeit nicht mehr aktuell. Wer mit der Datenschutz-Dokumentation beginnt, sollte deshalb eine Software–Lösung wählen, die dieses Problem klärt. Ideal ist eine Software, die die Vorgehensweisen selbst dokumentiert und die ohne großen Berateraufwand von den verschiedenen Mitarbeitern im Unternehmen bedient werden kann. Drei Merkmale sind für eine solche Software–Lösung wesentlich: Die Software schafft eine strukturierte Vorgehensweise, sodass die Umsetzung dadurch erleichtert wird. Darüber hinaus generiert die Software Überblick auf Knopfdruck, um schnell Berichte über spezielle Informationen erstellen zu lassen.
Schulungen und Verhaltensregeln der Branchenverbände
KMU sollten darüber hinaus auch in den Bereichen Schulung und Aufklärung gesonderte Maßnahmen ergreifen. In der DSGVO heißt es dazu: „Auf die Öffentlichkeit ausgerichtete Sensibilisierungsmaßnahmen der Aufsichtsbehörden sollten spezifische Maßnahmen einschließen, die sich an die Verantwortlichen und die Auftragsverarbeiter, einschließlich Kleinstunternehmen sowie kleiner und mittlerer Unternehmen, und an natürliche Personen, insbesondere im Bildungsbereich, richten.“
Beratungen, Schulungen, spezielle Tools: Vor allem für KMU finden sich Angebote, die bei der Umsetzung der DSGVO helfen. Die Wirtschaftskammer Wien beispielsweise veranstaltet kostenfreie
Workshops, in denen Rechte und Pflichten von Betroffenen und Unternehmern im Umgang mit personenbezogenen Daten erläutert werden. Unternehmen können sich auch von externen, zertifizierten Datenschutzbeauftragten an die Hand nehmen lassen. Diese Experten analysieren die Situation im Unternehmen vor Ort und erstellen einen detaillierten Umsetzungsplan. Die PSW GROUP Consulting (www.psw-consulting.de) beispielsweise eruiert mittels Ist-Aufnahme, wo ein Unternehmen im Bereich Datenschutz überhaupt steht. Dadurch werden Datenschutz-relevante Stärken und Schwächen im Unternehmen identifiziert und konkrete Handlungsempfehlungen aufgezeigt. Auch die Handwerksinnungen unterstützen mit Seminaren, speziellen Leitfäden und Best-Practice-Anleitungen.
*Christian Heutger ist Geschäftsführer der PSW GROUP.
Be the first to comment