DATENSCHUTZVERORDNUNG: WAS IST ZU TUN?

Seitenbetreiber müssen alle Daten dokumentieren, die sie speichern (Symbolfoto: RuhrkanalNEWS)

Hattingen– In weniger als einem Monat läuft auch die letzte Übergangsfrist zur Umsetzung der „Datenschutz-Grundverordnung“ (kurz: DSGVO ) aus. Das heißt, nach zwei Jahren müssen alle Unternehmen die Vorschriften dieser Verordnung umgesetzt haben. Während das für Konzerne und mittelständische Unternehmen zu einer aufwendigen Sache mutierte, ist es bei kleineren Betrieben innerhalb weniger Stunden umgesetzt. „Man muss es nur spätestens jetzt angehen und darf sich nicht von den zahlreichen, schwer verständlichen Texten der Verordnung abschrecken lassen“, sagt der Hattinger EDV-Berater Arno Beier. „Die meisten Vorschriften und vor allem die Beschreibung der richtigen Umsetzung findet man online.“

ANZEIGE
ANZEIGE
ANZEIGE
ANZEIGE
ANZEIGE
ANZEIGE
ANZEIGE
ANZEIGE
ANZEIGE
ANZEIGE
ANZEIGE

Die Intention der DSGVO ist klar. Die Daten von Kunden und Mitarbeitern eines Unternehmens sollen bestmöglich geschützt werden. Die Unternehmen müssen also dafür sorgen, dass möglichst wenig Menschen auf persönliche Daten zugriff haben. „Das ist auch vernünftig“, so die Einschätzung Arno Beiers. „Doch der Teufel steckt im Detail, denn oft wissen Unternehmen gar nicht, welche Daten sie besitzen.“ Das beschreibt er an einem ganz alltäglichen und üblichen Beispiel.

Der Hattinger EDV-Berater Arno Beier (Foto: Arno Beier)

Der Hattinger EDV-Berater Arno Beier (Foto: Arno Beier)

„Ein Vertriebsmitarbeiter hat in seinem Mobiltelefon nicht nur die Kontaktdaten seines Ansprechpartners gespeichert, sondern auch den Namen der Gattin, die Anzahl der Kinder und vielleicht das Hobby des Kunden. Alles Dinge, die es ihm leichter machen, wenn es darum geht bei einem Geschäftsessen auch mal über Dinge zu sprechen, die nichts mit dem Beruf zu tun haben.“ Von diesen gespeicherten Daten weiß das Unternehmen aber unter Umständen nichts, denn der Vertriebsmitarbeiter hat sie nur auf seinem Diensttelefon und seinem eigenen Laptop gespeichert. Juristisch betrachtet sind es aber personenbezogene Daten des Unternehmens, die unter die DSGVO fallen.

Doch auch intern hat ein Unternehmen viele persönliche Daten gespeichert. In der Personalabteilung und der Lohnbuchhaltung sind Bankverbindungen hinterlegt, Geburtsdaten und Adressen. Daneben gibt es Beurteilungen und vielleicht Unterlagen über Krankheiten. Hier ist der Umgang mit den Daten und die Regelung wer darauf Zugriff hat, einfach festzulegen. „Man muss es aber festlegen und genau dokumentieren“, so Beier.

Personenbezogene Daten sind übrigens ebenfalls die IP-Adressen die über Firmenhomepages erhoben werden. Auch Plugins können kritisch werden, da beispielsweise die Links zu sozialen Netzwerken (der „Teilen-Knopf“), unter Umständen Daten erfassen, ohne dass die Besucher der Seite sie angeklickt haben. Auch der Hoster der Seite, also der Anbieter auf dessen Servern die Seite gespeichert ist, erhebt im Hintergrunde Daten, auf die der Seiteninhaber keinerlei Einfluss hat. „Dennoch muss man darauf hinweisen“, erklärt der EDV-Berater.

Auch im Zahlungsverkehr muss alles sicher gespeichert und dokumentiert werden (Symbolfoto: RuhrkanalNEWS)

Auch im Zahlungsverkehr muss alles sicher gespeichert und dokumentiert werden (Symbolfoto: RuhrkanalNEWS)

Auch kleine Unternehmen müssen handeln

Schwierig wird es bei Fotos und Videos, wenn beispielsweise eine Gastwirtin eine Veranstaltung organisiert und anschließend einige stimmungsvolle Fotos auf ihre Homepage setzt. Dann muss sie auf Verlangen der Behörden die schriftliche Einverständniserklärung jeder abgebildeten Person vorlegen können. Die schriftlichen Einverständniserklärungen können nachträglich jederzeit widerrufen werden. Ob diese Vorschrift auch für Medien gilt, die journalistisch berichten, ist nicht klar. Die Bundesregierung hätte ausdrücklich entsprechende Ausnahmegenehmigung in die nationale Umsetzung der Verordnung schreiben können, hat es aber nicht gemacht. „Diese Frage werden die zuständigen Gerichte klären,“ begründete nach Informationen mehrere Nachrichtenagenturen ein Regierungssprecher diese Weigerung.

Ob die jeweiligen Unternehmen einen Datenschutzbeauftragten nennen müssen, hängt vom Einzelfall ab. Dass sich ausnahmslos jedes Unternehmen mit der DSGVO beschäftigen und sie umsetzen muss, ist dagegen sicher. „Ich habe aus öffentlich zugänglichen Quellen zusammengetragen, was kleine Unternehmen machen müssen und so einen Arbeitsablauf dargestellt. Dieser ist an verschiedene Branchen angepasst“, sagt EDV-Berater Arno Beier. „Wer mir seine, Mailadresse zukommen lässt dem sende ich kostenlos die entsprechenden Unterlagen zu.“ Und zusätzlich, das sagt der Hattinger ganz deutlich, kann er auch bei der Umsetzung der DSGVO oder anderen EDV-Fragen helfen, das wäre dann allerdings kostenpflichtig.