DSGVO

Wieso DSGVO?

DSGVO – was bedeutet dies für Ihr Unternehmen?

Die DSGVO (Hier die Verordnung) tritt europaweit am 25.05.2018 in Kraft. Viele Unternehmen sind sich unsicher: was bedeutet dies konkret und hat diese neue Verordnung auch Auswirkungen auf mein Unternehmen? Was muss beachtet werden?
Herr H. ist Inhaber einer Firma für die Herstellung hochwertiger Möbel. Vor 30 Jahren hat er eine kleine Polsterei von seinem Vater übernommen und diese seitdem Schritt für Schritt weiter ausgebaut. Heute besitzt H. Niederlassungen in mehreren europäischen Ländern, auch Übersee in den USA wurde kürzlich eine Produktionsstätte eröffnet.
Der Vertrieb findet sowohl über Wiederverkäufer als auch im Direktverkauf direkt von der Fabrik aus statt.
Wichtigste Grundlage für den Erfolg des Unternehmens ist die Qualität. Noch heute hält sich Herr H. jeden Tag mehrere Stunden in der Produktion des Stammwerkes auf.
Und auch die Kundenbindung wird bei H. großgeschrieben. Regelmäßig werden Gewinnspiele veranstaltet, Kunden erhalten Geburtstagsgrüße oder eine Gratulation zu besonderen Ereignissen wie etwa zur Silbernen oder – wenn auch selten – Goldenen Hochzeit.
Kürzlich startete H. eine sehr erfolgreiche Aktion, in welcher Kinder selbstgemachte Fotos der von H. verkauften Einrichtungsgegenstände über eine spezielle Webseite hochladen und veröffentlichten konnten, die schönsten Fotos wurden prämiert.

Viele Fragen zur DSGVO…

Anfang Juni 2018 trifft in dem Stammwerk, welches zugleich die Hauptverwaltung ist, nun ein Schreiben mit einem für H. sehr ungewöhnlichen Inhalt ein.
Die Absenderin des Schreibens, Frau Petersen aus Hamburg, bezieht sich auf Art. 15 DSGVO (Datenschutzgrundverordnung) und bittet um Auskunft darüber,

  • Welche personenbezogenen Daten über sie gespeichert sind
  • Zu welchem Zweck diese Daten gespeichert sind
  • Welche Kategorien von Daten gespeichert sind
  • An welche Empfänger die Daten weitergegeben wurden bzw. weitergegeben werden sollen
  • Über welchen Zeitraum die Daten gespeichert werden sollen und welches die Kriterien für eine Löschung der Daten sind
  • Über die Herkunft der personenbezogenen Daten
  • Ob die vorhandenen personenbezogenen Daten zur Entscheidungsfindung („Profiling“) verwendet werden und nach welcher Logik dies geschieht
  • Ob die personenbezogenen Daten an ein Drittland übermittelt wurden und welche geeigneten Garantien es diesbezüglich auf Einhaltung des Datenschutzes gibt

Frau Petersen bittet um die kostenfreie Übermittlung der angefragten Informationen.
Ferner fordert Frau Petersen H. dazu auf, sämtliche ihrer personenbezogenen Daten zu löschen und ihr dieses zu bestätigen – wobei sie sich auf Art. 17 der DSGVO bezieht.

… welche beantwortet werden müssen: es drohen drastische Bußgelder

Der Firma H. ist es nun dringend geraten, entsprechende Anfrage ernst zu nehmen und die geforderte Antwort innerhalb von 4 Wochen (in Ausnahmefällen innerhalb von 3 Monaten) zu geben.
Die sich H. hieraus stellende Aufgabe kann, je nach der Struktur der Datenverarbeitung, von einfach zu erledigen bis „fast“ unmöglich erscheinen. Zudem drohen bei einer Nichteinhaltung der DSGVO drastische Bußgelder, welche bis zu 20 Millionen € bzw. 4% des weltweiten Jahresumsatzes gehen können.

Welche Daten sind betroffen?

Zunächst einmal sind personenbezogene Daten „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen“. Im genannten Fall sind dies beispielsweise Name, Anschrift, Familienstand, Geburtstag, die Bestell- und Zahlungshistorie jedoch auch die von den Kindern hochgeladenen Fotos, wenn hierauf das Umfeld des Kindes erkennbar ist.
Relativ einfach ist die Anfrage zu beantworten, wenn es lediglich ein einziges zentrales IT-System gibt, welches zudem eine entsprechende Funktion zur Verfügung stellt. In der Praxis jedoch dürfte dieser Idealzustand eher die Ausnahme sein.
In den meisten Firmen dürften entsprechende Daten über mehrere Systeme verstreut sein, wozu noch zahlreiche, von den jeweiligen Mitarbeitern selber erstellte, Excel-Dateien oder Access-Datenbanken kommen.
Übrigens handelt es sich auch bei protokollierten IP-Adressen um personenbezogene Daten, da hiermit – zumindest während eines gewissen Zeitraums hinweg – eine Rückverfolgung bis hin zum Inhaber des zu der IP-Adresse gehörenden Anschlusses möglich ist.

DSGVO: Was muss getan werden

Alleinig hierüber eine Übersicht zu erhalten, dürfte vielen Firmen recht schwer fallen.
Nachdem die Daten identifiziert wurden, müssen diese nun in einer für die anfragende Person verständlichen Form dokumentiert werden gemeinsam mit der Angabe, wofür genannte Daten verwendet werden. Auch diese Aufbereitung der Informationen stellt einen nicht zu unterschätzenden Aufwand dar, da die wenigsten Programme über eine solche Funktion verfügen dürften. Zudem dürfen auf der erstellten Dokumentation keine personenbezogenen Daten von Drittpersonen oder Informationen über vertrauliche betriebliche Abläufe erscheinen.
Ein nächster wichtiger Punkt der Anfrage ist die Angabe, wie lange entsprechende Daten vorgehalten werden sollen und wovon die Aufbewahrungsdauer abhängig ist. Die Erstellung entsprechender Richtlinien und deren dokumentierte(!) Einhaltung dürfte hier für jede mit personenbezogenen Daten arbeitende Firma unumgänglich sein.
Auch die Nachfrage über die Herkunft der Daten dürfte in vielen Fällen schwierig zu beantworten sein, da dies nur selten dokumentiert bzw. elektronisch erfasst sein dürfte.
Ebenso muss über die Weitergabe personenbezogener Daten Auskunft erteilt werden. An wen genau wurden welche Daten geliefert? Dies kann beispielsweise ein Steuerberater, eine externe Marketingagentur, ein Abrechnungsbüro oder eine Niederlassung im Ausland sein.
Zusätzlich wird dies kompliziert, wenn die Weitergabe der Daten an Organisationen in Nicht-EU Ländern erfolgt – in diesem Beispiel eine Niederlassung in den USA. Wie stellt die für die Daten verantwortliche Firma sicher, dass auch in Nicht-EU Ländern mindestens das in der DSGVO geforderte Datenschutzniveau eingehalten wird? Im Zweifelsfall müssen hier als Nachweis entsprechende Verträge mit der Nicht-EU Niederlassung vorliegen.
Das „Recht auf Vergessen“ (= das Recht auf Löschen der Daten) ist eine weitere wichtige Anforderung der DSGVO. Bieten die von einem Unternehmen genutzte Sofwareanwendungen eine entsprechend Funktionalität oder zumindest eine Funktion zur Anonymisierung? Was ist mit in Papierform vorliegenden Dokumenten? Alleinig diese Anforderung stellt viele Firmen vor eine große Herausforderung.
Ein weiteres „Fragezeichen“ ergibt sich aus dem oben genanten Fotowettbewerb, in welchem Kinder selbstgemachte Fotos einreichen können. Auch bei diesen Fotos kann es sich um personenbezogene Daten handeln, wenn diese dem einreichenden Kind zugeordnet werden können. Gemäß §8 DSGVO liegt jedoch das Mindestalter für eine Zustimmung zur Verarbeitung personenbezogener Daten bei 16 Lebensjahren. Liegt bei sämtlichen von jüngeren Kindern eingereichten Fotos eine Einverständniserklärung der Erziehungsberechtigten vor? Ist dies nicht der Fall, dürfen die Bilder nicht veröffentlicht werden.

Wo gilt die DSGVO?

Der Geltungsbereich der DSGVO ist sehr weit gefasst. Die Verordnung gilt für alle Firmen, wenn

  • die Firma in einem Staat der EU liegt bzw. eine dortige Niederlassung besitzt (Niederlassungsprinzip) oder
  • Daten von sich in der EU aufhaltenden Personen vorhält oder innerhalb der EU Güter vertreibt oder innerhalb der EU Dienstleistungen anbietet (Marktortprinzip) oder
  • die Datenverarbeitung in einem Drittstaat stattfindet, welcher sich zu einer Anwendung der DSGVO verpflichtet hat (Völkerrechtsprinzip)

Welche Folgen hat die DSGVO konkret für meine Firma?

Dies alles kann an dieser Stelle nicht mehr als einen kurzen Überblick darstellen.
Fakt ist jedoch, dass die DSGVO in der gesamten EU am 25.05.2018 in Kraft tritt und sich die Firmen ab diesem Zeitpunkt und ohne eine Übergangsfrist an die Verordnung zu halten haben.
Ein großer Fehler wäre es zu sagen „Schön und gut, mich selber betrifft dies jedoch nicht“ – dem ist nicht so. Personenbezogene Daten liegen in jeder Firma vor und seien es lediglich die Personaldaten und die Rechnungsadressen von Kunden. Falls noch nicht geschehen, sollte sich jede Firma, jeder Geschäftsführer und jede Geschäftsführerin einer Firma ein entsprechendes Konzept überlegen. Die Folgen bei Nichteinhaltung können drastisch sein und im schlimmsten Fall den Fortbestand der Firma in Frage stellen.

DSGVO speziell für kleine und mittlere Unternehmen

Falls Sie hierbei Unterstützung benötigen, wenden Sie sich gerne auch an uns – die Firma Laempe verfügt seit über 20 Jahren über große Erfahrungen in den Bereichen Datenschutz und Datensicherheit.

0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Feel free to contribute!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.