Weitere Artikel
  • 03.04.2018, 15:09 Uhr
  • |
  • Münster / Münsterland
173. Treffen XING MS

Neues EU-Datenschutzrecht: Neue Spielregeln bringen viel Arbeit mit sich

In Deutschland mussten sich Unternehmen bislang nach dem Bundesdatenschutzgesetz (BDSG) richten. Künftig gilt aber die Europäische Datenschutzgrundverordnung (kurz: EU DSGVO).

Sie wurde bereits 2016 vom EU Parlament verabschiedet und tritt am 25. Mai 2018 in Kraft - da läuft die zweijährige Übergangsfrist ab. Etliche Prozesse müssen in den Unternehmen überprüft und angepasst werden. Was ist zu tun?

„Die Politik akademisiert immer mehr Gesetze“

Auf dem 173. Treffen der XING Ambassador Community Münster im „Freiraum“ im Aposto Münster informierte Rechtsanwalt Dr. Karsten Felske die mehr als 70 XINGler pointiert darüber, was sich vor allem im Umgang mit den Kunden ändert und worauf man unbedingt achten sollte. Dabei nimmt er kein Blatt vor den Mund, spricht klare Worte. „Bis zum 25. Mai schaffen die Menschen die Umsetzung des Datenschutzrechtes nicht mehr - von der Algarve bis nach Warschau.“ Darauf erwidert eine Frau aus dem XING-Publikum: „Dann können wir ja schon gehen!“ Und Felske versteht ihren Einwand: „Die Politik akademisiert immer mehr Gesetze. Das ist alles entgegen des gesundes Menschenverstandes.“ Große Zustimmung im Saal. Aber Rechtsanwalt Felske macht aber gleichzeitig auch jedem letzten Zweifler klar: „Wir müssen da jetzt alle durch.“ Keiner könne davor seine Augen verschließen.

Datenschutzbeauftragter ab zehn Mitarbeiter unerlässlich

Auch wenn sich viele der Paragraphen an deutsches Recht anlehnen, gibt es eine Reihe wichtiger Änderungen. Ab dem 25. Mai müssen alle Unternehmen, Vereine und Institutionen, die in irgendeiner Weise personenbezogene Daten von Mitarbeitern, Kunden, Mitgliedern gespeichert haben, die Regeln und die neuen Formalien der EU-DSGVO beachten. „Ab zehn Mitarbeiter braucht man einen Datenschutzbeauftragten“, macht Dr. Karsten Felske klar. Datenschutzbeauftragter kann entweder ein eigener Mitarbeiter sein oder ein externer Beauftragter. Interne Mitarbeiter sollten selbst nicht Mitglied der Geschäftsleitung sein und auch nicht Leiter der IT. Der interne oder externe Datenschutzbeauftragte muss dem Landesdatenschutzbeauftragten namentlich genannt werden. „Aber: Den Namen des Datenschutzbeauftragten am besten nicht als Email-Adresse anlegen“, empfiehlt Felske. Besser sei es die Adresse „[email protected]“ zu verwenden. „Bei uns in der Handwerkskammer heißt die Emailadresse `[email protected]`“, sagt Felske. „Diesen Datenschutzbeauftragen nehmen wir alle“ heißt es aus dem Auditorium. Großes Gelächter folgt.

Was sind personenbezogene Daten?

Felske ist Justitiar bei der Handwerkskammer Münster. Dort achtet er seit langem auf die Einhaltung des Datenschutzes. Zunächst informiert er die Mitglieder der XING Ambassador Community Münster darüber, was eigentlich personenbezogene Daten sind. „Darunter versteht man alle Informationen, mit denen man ein Individuum identifizieren kann, also direkt durch Name, Bild, Telefonnummer und Adresse und indirekt durch Nutzername, Profilbild, IP-Adresse, oder Cookie-ID.“

Schon bislang gilt, dass Betroffene bei der Datenerhebung darüber zu belehren sind, was mit ihren Daten wann und wo geschieht. Anders kann eine Einwilligung auch nicht wirksam sein. Ab dem 25. Mai wird es aber so sein, dass der Gesetzgeber genau vorgibt, welche Angaben die Belehrung enthalten muss. Beispielsweise muss der Zweck der Datenspeicherung genau angegeben werden, genauso wie Hinweise zur Dauer der Speicherung und das Recht auf Widerspruch. Eins ist klar: Die Texte mit den Pflichtangaben bei Verträgen und auf den Internetseiten werden damit länger. Die neuen Regeln verlangen, dass Personendaten jederzeit elektronisch lesbar herausgegeben werden können, wenn der Betroffene das verlangt. Die schriftliche Auskunft reicht also nicht mehr aus.

Viele Fragen - viele Antworten

Selten gibt es während eines Vortrages so viele Fragen aus dem Plenum zwischendurch, die Zuhörer sind voll dabei, wollen wissen, was zu tun ist beim Schriftverkehr, auf der eigenen Homepage oder welche Firmen eigentlich betroffen sind. Manch Ein-Frau- beziehungsweise Ein-Mann-Betrieb wähnt sich noch in Sicherheit, bis Karsten Felske unmissverständlich klarmacht: „Das neue Datenschutzrecht betrifft alle Betriebe jeder Branche und Größe.“ Uups, das saß! Nun kräftig Luft holen. Und konstruktiv weiterdenken: „Wie soll man nun effektiv vorgehen“ fragen einige XINGler. Dr. Felske hat da einige Tipps parat.

Erster Schritt: Verfahrensbeschreibungen erstellen

Unternehmen sollten, die wesentlichen Datenverarbeitungen (zum Beispiel Kundendaten oder Mitarbeiterdaten) in sogenannten Verfahrensbeschreibungen verschriftlichen. Auf die Weise ist sichergestellt, dass die Datenströme ordnungsgemäß dokumentiert werden. Die Dokumentation ist wichtig. Felske betont dies ausdrücklich. Denn künftig muss nicht die Datenschutzaufsicht einen Verstoß nachweisen, sondern das betreffende Unternehmen muss dokumentieren können, dass es alle notwendigen Maßnahmen für den Datenschutz ergriffen hat. Zu den entscheidenden Neuerungen der DSGVO gehört auch, dass sowohl die Unternehmen und ihre Kunden, wie auch die Unternehmen und ihre Dienstleister und natürlich auch die Unternehmen selbst für sich, sie alle müssen Rechenschaft darüber ablegen, welche Daten erhoben werden, zu welchem Zweck und wie letztlich personenbezogene Daten in den Systemen der Firmen hin- und herfließen.

Zweiter Schritt: Einwilligungserklärungen überprüfen und einholen

Einwilligungen müssen dokumentiert sein und bei der Erteilung der Einwilligung muss der Kunde darauf hingewiesen worden sein, dass seine Einwilligung freiwillig und jederzeit widerruflich ist. Hat die Belehrung in der Vergangenheit gefehlt, ist die Einwilligung unwirksam und muss neu eingeholt werden. Zukünftig müssen also Unternehmen ihre Kunden sehr viel detaillierter darüber informieren, welche Daten sie wie, auf welcher Grundlage und zu welchem Zweck verarbeiten. Ein XINGler fragt: „Ein Kunde bestellt etwas über meinen Web-Shop. Kann ich das Daten-Einverständnis vom Kunden auch digital einholen? Klare Antwort des Referenten: „Ja!“

Dritter Schritt: Datenzugriff- und Datensicherheit überprüfen und dokumentieren

Unternehmen sind nicht nur verpflichtet, darauf zu achten, ob Personendaten rechtmäßig erlangt und verarbeitet wurden. Sie sind auch verpflichtet, gängige Datenschutzstandards einzuhalten und das zu dokumentieren. Zu regeln sind beispielsweise Zugriffsrechte, Passwortschutz, Firewalls und Back-Ups gegen Datenverlust. Es genügt nicht, dass die Sicherheitsmaßnahmen vorhanden sind. Diese müssen auch entsprechend dokumentiert werden. Und sie müssen auf Anfrage der Datenschutzaufsicht ausgehändigt werden. „Was ist mit den IP-Adressen“, fragt ein XINGler? Karsten Felske rät: „Anonymisieren sie die letzten drei Ziffern.“ Wichtig sei es auch künftig auch, keine Sammelmails mehr zu verschicken mit großem bcc- oder ccc-Reader oder reinkopierten Mailkorrespondenzen. „Leiten Sie auch keine Mails weiter!“ Ein XINGler will wissen: „Muss ich denn eigentlich meinen Steuerberater namentlich dann benennen?“ Felske sagt klar „Nein“. Es reiche völlig, wenn man die Kategorie „Steuerberater“ auf die Datenliste miteintragen würde. „Und was ist mit den eigenen Homepages?“, fragt ein anderes Mitglied. Es dürfen nur die Daten verarbeitet werden, die für den bestimmten Verarbeitungszweck erforderlich sind. Daher gilt es zu überprüfen, welche Daten auf der eigenen Webseite erhoben werden und welche nicht.

Drakonische Strafen drohen

Karsten Felske warnt die Zuhörer davor, die Sache nicht ernst zu nehmen. „Es kann sehr teuer werden, wenn sie nach dem 25. Mai 2018 bei Datenschutzverstößen ertappt werden sollten.“ Ab diesem Zeitpunkt können die Aufsichtsbehörden bei Verstößen Bußgelder in Höhe von bis zu 20 Millionen Euro oder bis zu vier Prozent des Jahresumsatzes verhängen und Abmahnungen aussprechen, was wiederum hohe Abmahnkosten verursachen kann. Großes Raunen im Saal. Das Bewusstsein wird deutlicher, das nun jeder seine Hausaufgaben machen muss, das heißt: sehr kurzfristig seine Datenschutzbestimmungen überarbeiten und sogenannte Verzeichnisse für Verarbeitungstätigkeiten erstellen. Zwei Dienstleister brachten es auf den Punkt: „Das ist eine Menge Extra-Arbeit, die da auf uns zukommt.“ Und Felske ergänzt: „Alles was nach außen sichtbar ist, müssen sie deutlich machen.“

Wo kein Kläger, da kein Richter!

Am Ende weiß man viel, aber vieles macht auch unruhig und unsicher, weil man weiß: das neue Datenschutzgesetz bringt viel neue Arbeit. Nicht wenige XINGler fragen sich in den anschließenden Gesprächen: „Woher die Zeit dafür nehmen?“. Die Angst, etwas verkehrt zu machen ist, beschäftigt einige XINGler noch lange nach Vortragsende. Doch Referent Dr. Karsten Felske, der mittlerweile das Rednerpult verlassen hat und sich unter die Zuhörer mischt, weiß gut zu beruhigen: „Erstmal werden die großen Firmen gecheckt. Wer unter dem Radar bleibt, macht alles richtig.“ Eine Frau ergänzt: „Also meinen sie: Wo kein Kläger, da kein Richter?“ Volle Zustimmung bei Karsten Felske. Das Seufzen im Saal ist gut zu hören.

Rüdiger Vierhaus hat das Ganze wie immer in tollen Bildern festgehalten.

(Peter Sauer)


 


 

Dr. Karsten Felske
XING Ambassador Community Münster
Handwerkskammer Münster
Felske
Datenschutz
XINGler
Datenschutzbeauftragte
Interne Mitarbeiter
Kundendaten
Mai
Karsten Felske
Mitglied
Einwilligung
Dritter Schritt
Datenliste
Zuhör

Passende Artikel suchen

Finden Sie weitere Artikel zum Thema "Dr. Karsten Felske" - jetzt Suche starten:

Entdecken Sie business-on.de: