LOEBA TREUHAND GMBH

Die DS-GVO: einfach und konkret!

Hochrhein-Bodensee | 06.12.2018

Die DS-GVO: einfach und konkret! Foto: © limbi007 / depositphotos.com Die DS-GVO: einfach und konkret! Foto: © limbi007 / depositphotos.com

Lörrach: Die Europäische Datenschutz-Grundverordnung, kurz DS-GVO, ist seit Ende Mai 2018 in ganz Europa anzuwenden. Unübersehbar für jeden Internetuser, Kunden und auch für jedes Unternehmen. Doch viele Unternehmer sind verunsichert, wie sie nun praktisch mit der Verarbeitung von personenbezogenen Daten umgehen müssen?

Was müssen Unternehmer anpacken im neuen europäisierten Datenschutzrecht? Wie schützt man sich vor drohenden Abmahnungen und hohen Bußgeldern? Dr. Stefan Baum, Datenschutzbeauftragter der Kanzlei Loeba Treuhand aus Lörrach, die zum bundesweiten Netzwerk HLB Deutschland gehört, gibt Auskunft zu den wichtigsten Fragen und erklärt, was getan werden muss.

Wer und warum?

Grundsätzlich vorab: Die DS-GVO gilt ausnahmslos für alle Unternehmen und Selbstständigen, aber auch zum Beispiel für Vereine und Behörden. Also sind Großkonzerne ebenso betroffen wie kleine Handwerksbetriebe – europaweit. Durch das sogenannte Marktortprinzip gilt die DS-GVO zudem für Institutionen außerhalb der EU, wenn diese beispielsweise Waren oder Dienstleistungen in der EU anbieten. Die DS-GVO verfolgt den Grundgedanken der europäischen Harmonisierung. Der bisher existierende Flickenteppich im Datenschutzrecht sollte aufgelöst und gleiche Wettbewerbsbedingungen in der EU geschaffen werden.

Was und vor allen Dingen wie?

Welche sind aber nun die sogenannten „personenbezogenen Daten“, um die es geht? Daten sind personenbezogen, sobald sie sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Beispielsweise der Name, das Geburtsdatum oder die E-Mail-Adresse. Aber auch die IP-Adresse, die Steuernummer, das Autokennzeichen oder die Kontoverbindung gehören dazu.

Ein wesentliches Ziel der DS-GVO ist die Stärkung der Betroffenenrechte. Grundsätzlich sollen die Menschen selbst über die Verarbeitung ihrer Daten entscheiden können. Zudem sind Grundsätze wie Transparenz, Datenminimierung, Speicherbegrenzung und Vertraulichkeit fest verankert. Um dies durchzusetzen enthält die DS-GVO verschärfte Informations-, Dokumentations- und Rechenschaftspflichten, denen die Unternehmen unterliegen. „Bürgerinnen und Bürger sind nunmehr noch umfassender darüber aufzuklären, welche Daten von ihnen, zu welchen Zwecken und in welcher Art und Weise verarbeitet werden“, betont Baum.

Unternehmen müssen nach der DS-GVO ein sogenanntes „Verzeichnis von Verarbeitungstätigkeiten“ anlegen. „Dazu genügt in den meisten Fällen eine einfache Tabelle. In dieser wird dokumentiert, in welchen Prozessen Daten für festgelegte Zwecke im Unternehmen erhoben werden und wie weiter mit ihnen verfahren wird“, erklärt Baum. Bei kundenbezogenen Verarbeitungstätigkeiten können zum Beispiel der Name, die Adresse, die Telefonnummer sowie Abrechnungsdaten relevante Daten sein. Auch die intern verarbeiteten Daten der Mitarbeiter, also die Personaldaten oder Daten aus der Lohnbuchhaltung, werden in dem Verzeichnis erfasst.

Es ist also aufzunehmen, wozu personenbezogene Daten verarbeitet werden, wer darauf Zugriff hat und wie diese Daten geschützt werden.

Datenschutzbeauftragter?

Und dann die immer wieder gestellte Frage, ob nun jeder Betrieb einen Datenschutzbeauftragten braucht: „Nein“, ist hier die einfache Antwort. „In Deutschland ist ein Datenschutzbeauftragter zu bestellen, wenn mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind“, so Baum. Dabei sind alle Beschäftigten zu berücksichtigen, also auch Teilzeitkräfte, Auszubildende und Praktikanten. Die Anzahl der Köpfe ist entscheidend, nicht die Art des Beschäftigungsverhältnisses

Eine Bestellpflicht bestehe darüber hinaus dann, wenn Verarbeitungen durchgeführt werden, die ein hohes Risiko für die Betroffenen bergen, zum Beispiel bei umfangreichen Verarbeitungen von Gesundheitsdaten oder wenn Personen systematisch überwacht werden. Die Funktion des Datenschutzbeauftragten kann durch einen internen Mitarbeiter aber auch durch einen externen Experten wahrgenommen werden. Aus- und Fortbildungen, zum Beispiel bei den Industrie- und Handelskammern, müssen die Fachkunde des Datenschutzbeauftragten sicherstellen.

Aber Achtung: Auch wenn keine Bestellpflicht besteht, sind die übrigen Anforderungen aus der DS-GVO vollständig umzusetzen. Dies kann dann beispielsweise durch den Geschäftsführer übernommen werden.

Und die neue Datenschutzerklärung, wohin damit?

Zur Erfüllung der oben beschriebenen Informationspflichten ist unter anderem eine Datenschutzerklärung auf der Webseite zu hinterlegen, wenn personenbezogene Daten der Besucher verarbeitetet werden – und dies ist in der Regel der Fall. Sie muss für den Nutzer leicht auffindbar und aufrufbar sein. Dies kann durch Setzen eines Links in der Fußleiste gewährleistet werden.

Darüber hinaus müssen alle Personen, deren Daten im Unternehmen verarbeitet werden, also beispielsweise Kunden, Mitarbeiter und Bewerber, über die sie betreffende Verarbeitung informiert werden. Aber Vorsicht: „Die Datenschutzerklärung gehört nicht in die AGB! Sie dient der Information und ist keine Vertragsbedingung“, gibt Baum zu bedenken.

Bringt ein E-Mail-Disclaimer zur DS-GVO Rechtssicherheit?

Hier lautet die Antwort: „Jein“. Für die Erfüllung der umfangreichen Informationspflichten gegenüber verschiedenen Kategorien von betroffen Personen, z.B. Kunden, Lieferanten oder Bewerbern ist der E-Mail Disclaimer ungeeignet. Er kann jedoch dazu genutzt werden, um mit einem Link auf weiterführende Datenschutzhinweise zu verweisen. Dabei ist dann darauf zu achten, dass für die unterschiedlichen Kategorien von betroffenen Personen auch separate Datenschutzhinweise hinterlegt werden. „Zudem sollte die „Link-Lösung“ lediglich als ein Baustein von Mehreren zur Erfüllung der Informationspflichten gesehen werden, da ggf. auch Personen informiert werden müssen, zu denen kein E-Mail-Kontakt besteht“ so Baum abschließend.

V.i.S.d.P.: LOEBA TREUHAND GMBH