Übergangsfrist abgelaufen
Die neue Verordnung ist schon am 25.05.2016 in Kraft getreten, gilt aber auf Grund einer zweijährigen Übergangsfrist erst ab dem 25. Mai 2018. Vom Gesetzgeber war vorgesehen, dass die Unternehmen in dieser Zeit ihre internen Datenverarbeitungsprozesse auf Anpassungsbedarf überprüfen und bei Neuanschaffungen von Datensystemen darauf achten, dass diese die neuen Datenschutzregelungen bereits berücksichtigen. Nach Ablauf der Frist besteht jetzt akuter Handlungsbedarf.
Datenschutz betrifft alle
Der Anwendungsbereich der Verordnung ist sehr weit gefasst und umfaßt alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Geschützt werden alle in einem Unternehmen vorliegenden Mitarbeiter-, Kunden- und Lieferantendaten. Gewährleistet werden soll der Schutz dieser Daten als Bestandteil des Persönlichkeitsrechts einer jeden Person.
Zur Einhaltung und Dokumentation des Datenschutzes verpflichtet sind alle Unternehmen und Behörden, die personenbezogene Daten verarbeiten – also alle, selbst Ein-Personen-Unternehmen. Das Unternehmen oder die Institution ist verantwortlich für den Datenschutz und seine Beachtung. Dazu ist, abhängig von der Größe des Unternehmens und der Menge und der Qualität der Daten, ein Datenschutzmanagement notwendig. Ein Datenschutzbeauftragter wird aber erst zur Pflicht, wenn mindestens zehn Personen ständig mit der automatisierten Datenverarbeitung beschäftigt sind oder wenn bestimmte besondere Datenverarbeitungen vorgenommen werden, z. B. umfangereiche Gesundheitsdaten oder systematische und umfangreiche Überwachung. Aber auch in kleineren und mittleren Unternehmen muss ein Mindestmaß an Dokumentation vorhanden sein, um die Einhaltung des Datenschutzes nachweisen zu können.
Weitgehende Auskunftsrechte
Da die Verarbeitung personenbezogener Daten in das verfassungsrechtlich geschützte Persönlichkeitsrecht eingreift, ist eine Verarbeitung solcher Daten – wie auch bereits bisher - grundsätzlich verboten und darf nur erfolgen, wenn sie entweder gesetzlich erlaubt ist oder aber eine Einwilligung vorliegt. Die betroffene Person muss wissen, wer welche Daten für welchen Zweck verarbeitet. Deshalb gibt es umfangreiche Betroffenenrechte (z. B. Informationspflichten, Auskunftsrechte, Recht auf Berichtigung der Daten, Widerspruchsrecht). Das war grundsätzlich auch bisher schon so, die DS-GVO verlangt aber über die individuelle Auskunft hinaus, dass jedes Unternehmen einen Ablaufplan vorhält, der sicherstellt, dass eine Auskunft auch tatsächlich umfassend und fristgerecht erteilt werden kann. Auch der Nutzungsrahmen der Daten ist weiterhin eng. Informationen dürfen nur für die genannten Zwecke verarbeitet werden und auch nur die Daten, die für die Zweckerreichung wirklich notwendig sind. Die Grundregel heißt: „So viele Daten wie nötig aber so wenige wie möglich.“. Das bedeutet, dass nicht mehr benötigte Daten zeitnah zu löschen sind.
Videoüberwachung
Zu besonderer Vorsicht riet die Referentin beim Thema Videoüberwachung. Die Überwachung eines Außenbereiches mit nur einer Kamera und ohne Aufzeichnung ist datenschutzrechtlich noch relativ leicht darstellbar. Doch auch hier sind schon auf „Warnschildern“ Kunden und Mitarbeiter detailliert über Art und Umfang der Überwachung informieren Wer allerdings seine Kunden auf Schritt und Tritt überwacht, muss vorher eine Datenschutzfolgenabschätzung durchführen, detaillierte Anweisungen zum Umgang mit der Aufzeichnung regeln und – auch als kleinerer Betrieb – einen Datenschutzbeauftragen installieren. Ob eine solche Videoüberwachung notwendig ist, sollte also sorgsam geprüft werden.
Keine Angst vor Bußgeldern
Im Falle der Verletzung der Datenschutzpflichten sieht die Verordnung empfindliche Bußgelder vor: Bis zu 20 Mio. Euro oder 4 % des weltweiten Umsatzes können von den Aufsichtsbehörden verhängt werden. Die Bußgelder sollen – so Katrin Schweer – zwar weh tun, die Maximalbußgelder sind aber nur bei Großunternehmen zu erwarten, die mit großer krimineller Energie, vorsätzlich und in großem Umfang gegen die Regeln verstoßen. Beim ersten Bagatellverstoß eines kleineren Unternehmens sei zunächst mit Beanstandungen und Anweisungen der Aufsichtsbehörden zu rechnen mit dem Ziel der Herstellung eines „datenschutzgerechten Zustandes“. Ob darüber hinaus ein Bußgeld verhängt wird, hängt nicht nur davon ab, wie gravierend der Verstoß ist, sondern auch davon, ob das Unternehmen bei der Aufklärung mitwirkt und ob der Verstoß grob oder doch nur leicht fahrlässig verursacht wurde.
Insofern helfe, so Schweer, jeder Schritt, den ein Unternehmen im Datenschutz macht, das Bußgeldrisiko zu verringern.
Was ist zu tun?
Als erstes sollten die Unternehmen prüfen – so die Referentin – ob ein Datenschutzbeauftragter bestellt werden muss. Parallel sollte mit dem Aufbau des Verzeichnisses der Verarbeitungstätigkeiten begonnen und für jeden dieser Prozesse eine kurze Verfahrensbeschreibung erstellt werden. Ein nächster Schritt wäre die Zusammenstellung aller technischen und organisatorischen Maßnahmen zur Datensicherheit, die das Unternehmen nutzt und die Verpflichtung aller Mitarbeiter auf das Datengeheimnis. Zu formulieren sind auch Handlungsanweisungen zum Vorgehen bei Datenschutzverstößen, Datenübertragungen und Auskunftsverlangen. Vorliegen müssen auch Datenschutzerklärungen mit denen die Kunden über die Nutzung ihrer personenbezogenen Daten informiert werden, außerdem für freiwillige Verarbeitungen eine Dokumentation der Einwilligungen. Hilfreiche Informationen zu den Vorschriften erhält man über die Website der Landesdatenschutzbeauftragten www.lfd.niedersachsen.de. Die IHK stellt unter www.osnabrueck.ihk.de diverese Merkblätter und Vorlagen zur Verfügung.
Empfehlen Sie uns!