Weitere Artikel
ANZEIGE
DSVGO

Schikane oder Chance?

Die kurz als DSGVO bezeichnete Verordnung stellt die wichtigste Veränderung der EU-Datenschutzgesetze in über 20 Jahren dar und geht in vielen Bereichen weit über die Bestimmungen des derzeitigen Bundesdatenschutzgesetzes hinaus.

So schreibt die DSGVO beispielsweise europaweit die Bestellung von Datenschutzbeauftragten vor, sofern im Unternehmen mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind. Aber auch der grundsätzliche Umgang mit in elektronischer Form gespeicherten personenbezogenen Informationen über Geschäftspartner wird sich durch die DSGVO verändern. Aber welche Informationen sind „personenbezogen“?

„Im Sinne der DSGVO Art. 4 Absatz 1 bezeichnet der Ausdruck ,personenbezogene Daten‘ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person […] beziehen“; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Durch diese Definition wird häufig schon die simple Speicherung einer E-Mail zu personenbezogenen Daten, weil anhand der E-Mail-Adresse nachvollziehbar ist, dass die Person zum betreffenden Zeitpunkt Mitarbeiter der absendenden Firma war. Zum Schutz der Verbraucher stattet die DSGVO natürliche Personen mit besonderen Rechten im Hinblick auf den Umgang mit ihren Daten aus:

  • Informationsrecht (Art. 13 & 14 DSGVO) Bereits bei erstmaliger Speicherung eines Personendatensatzes muss die Person grundsätzlich über die Speicherung ihrer Daten informiert werden.
  • Auskunfts- und Widerspruchsrecht (Art. 15 & 21 DSGVO) Jede natürliche Person hat das Recht, auf Anfrage vollumfänglich zu erfahren, ob über diese Person Daten gespeichert sind und wenn ja, zu welchem Zweck und mit welchem Ablaufdatum.
  • Recht auf Berichtigung, Löschung und Einschränkung (Art. 16, 17 & 18 DSGVO) Sofern personenbezogene Daten gespeichert wurden, hat die betreffende Person das Recht, dass diese ggf. berichtigt, vervollständigt oder teilweise bzw. vollständig gelöscht werden.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Alternativ kann eine Person verlangen, dass sie betreffende Daten in elektronischer Form „in einem strukturierten, gängigen und maschinenlesbaren Format“ zur Verfügung gestellt werden.

Eine klare Handlungsempfehlung vom Gesetzgeber zur rechtlichen Sicherstellung der DSGVO-Grundsätze gibt es bisher nicht. Einmal mehr stehen nun also die Unternehmer vor der Herausforderung, eine Gesetzgebung umzusetzen, ohne dass der rechtliche Rahmen vollständig abgesteckt ist. Je intensiver man sich mit dem Thema DSGVO beschäftigt, desto deutlicher wird: Viele Fragen sind noch im Unklaren. Selbst Rechtsexperten fühlen sich außerstande, klare und verbindliche Aussagen zu treffen. Im Detail werden viele Antworten wahrscheinlich erst bei ersten „vermeintlichen“ Verstößen durch Gerichte entschieden und die Gesetzgebung anschließend „feinjustiert“.

Bei Verstößen drohen empfindliche Strafen

Klar formuliert ist aber bereits, dass Unternehmen bei Verstößen empfindliche Strafen drohen. Die maximale Geldbuße beträgt bis zu 20 Millionen Euro oder bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr; je nachdem, welcher Wert der höhere ist. Eine Strafe kann also schnell zu einer existenziellen Bedrohung für ein Unternehmen werden. Gemäß Art. 83 & 84 DSGVO ist die Höhe der Strafe auch davon abhängig, in welcher Weise die Sicherung der Daten und die Einhaltung der Rechte Betroffener in einem Unternehmen organisatorisch und technisch umgesetzt wurden. Was das auch immer für die Höhe der Strafe konkret bedeutet, eines ist ganz sicher: Unternehmen, die sich mit dem Thema überhaupt nicht auseinandersetzen und keinerlei Vorkehrungen treffen, werden im Vergehensfall eher nicht mit einer Milderung des Urteils rechnen können.

Wie muss ich mich also als Unternehmer oder als Führungskraft eines Unternehmens verhalten, um die Einhaltung der DSGVO im Unternehmen sicherzustellen? Zunächst müssen unbedingt organisatorische Maßnahmen durch Arbeits- und Verfahrensanweisungen ausgearbeitet werden, um eine klare Definition und einen unternehmensweit einheitlichen Umgang mit personenbezogenen Daten an allen Stellen des Unternehmens vorzuschreiben. Leider fehlt es aber anschließend häufig an geeigneten technischen Hilfsmitteln, um diese Anweisungen wirksam umzusetzen. Wie soll man die Auskunft über alle personenbezogenen Daten eines Betroffenen und deren Löschung sicherstellen, wenn diese Informationen kreuz und quer im Unternehmen verteilt sind?!

Nach unserer Erfahrung wird die Ablage von personenbezogenen Informationen häufig in Outlook, Excel und Dateiordnern organisiert – oftmals sogar auf den einzelnen Arbeitsplätzen. Eine solche Struktur macht die Einhaltung der DSGVO nahezu unmöglich und öffnet Tür und Tor für Verstöße. Nur durch eine zentrale Ablage und Kategorisierung aller kontaktbezogenen Informationen lassen sich DSGVO-konforme Arbeitsanweisungen auch effektiv umsetzen. Dabei sollte bedacht werden, dass diese Informationen nicht nur durch Korrespondenz entstehen. Jede Notiz und Wiedervorlage, aber auch die Ergebnisdokumentation jedes Termins oder Telefonats enthält in der Regel personenbezogene Informationen zu dem Ansprechpartner.

Aufbewahrungspflichtige Informationen dürfen keinesfalls gelöscht werden

Folglich müssen alle Mitarbeiter, die Verarbeiter personenbezogener Informationen sind, in der Lage sein, die Informationen nicht nur zentral und strukturiert abzulegen, sondern diese vielmehr auch noch zu kategorisieren. Sofern eine Information nämlich eine aufbewahrungspflichtige Relevanz beinhaltet, was im Bereich der Rechnungslegung für alle mit der Rechnung in Verbindung stehenden Informationen gilt, unterliegt sie wiederum der Aufbewahrungspflicht und darf demnach trotz des Rechts auf Berichtigung, Löschung und Einschränkung nicht gelöscht oder verändert werden.

Die DSGVO ist zum Schutz von Verbrauchern entstanden und ist ein komplexes Regelwerk. Die Umsetzung stellt Unternehmen vor die besondere Herausforderung, auch Informationen über Geschäftspartner gezielt und organisiert zu speichern, um die Rechte der dort beschäftigten Personen sicherzustellen. Genau darin liegt auch eine Chance für jedes Unternehmen! Wichtige Informationen zum richtigen Zeitpunkt an der richtigen Stelle zur Verfügung zu haben und dadurch insgesamt informierter und kompetenter mit seinen Geschäftspartnern kommunizieren zu können, ist nicht nur die Grundlage zur Erfüllung der DSGVO, sondern auch ein Wettbewerbsvorteil. Die DSGVO kann damit zum Auslöser für individuelle Kommunikationsstrategien mit Geschäftspartnern werden.

Der Artikel erschien in der Ausgabe 02.18 von DIE WIRTSCHAFT.

(Boris Hose)


 


 

DSGVO
Person
Recht
Geschäftsjahr
Strafe
Verstößen
Sicherung
Gesetzgeber
Löschung
Einhaltung
Umgang
Form

Passende Artikel suchen

Finden Sie weitere Artikel zum Thema "DSGVO" - jetzt Suche starten:

Kommentar abgeben

Bei einer Antwort möchte ich per E-Mail benachrichtigt werden

 
 

 

Entdecken Sie business-on.de: