Am 25. Mai 2018 tritt die umfassendste Änderung in Sachen Datenschutz in Kraft, die es in mehr als zwei Jahrzehnten gegeben hat. Die Datenschutz-Grundverordnung besteht aus elf Kapiteln mit 91 Artikeln, welche die Anforderungen und Regeln beschreiben, mit denen Unternehmen ab sofort die persönlichen Daten von Individuen schützen sollen.
Die Verordnung verfolgt an sich ein lohnenswertes Ziel: Privatpersonen sollen wieder Herr über ihre Daten werden. Unternehmen sollen nicht länger wahllos Informationen sammeln und speichern. Gleichzeitig bedeutet die neue Verordnung umfangreiche Änderungen für Unternehmen. Gerade kleinere Firmen und Einzelunternehmer sind mit der Frage überfordert, ob sie die DSGVO überhaupt betrifft und wie genau sie vorgehen müssen, um den neuen Anforderungen zu genügen.
An dieser Stelle soll daher ein übersichtlicher Aktionsplan dabei helfen, Licht ins Dunkel der neuen Verordnung zu bringen. Vorab muss eine Frage grundsätzlich beantwortet werden.
Jedes Unternehmen, egal ob Großkonzern oder Einzelunternehmer, ist von der Verordnung betroffen, sofern es Geschäfte mit Kunden in der EU macht oder personenbezogene Daten von EU-Bürgern verarbeitet. Das Unternehmen muss dabei nicht einmal einen Firmensitz innerhalb der EU haben. Ihr Unternehmen ist betroffen, sofern Sie eine der folgenden Fragen mit „Ja“ beantworten können:
Bislang bewegten Unternehmen sich zumindest in einem rechtlich grauen Bereich, wenn sie ihre Datenverarbeitung außerhalb der Europäischen Union durchführten. Gerade große Dienstleister Software-Hersteller nutzten dieses Schlupfloch, das mit der DSGVO 2018 geschlossen wird.
Einige Ausnahmen gibt es jedoch weiterhin. Firmen mit weniger als 250 Mitarbeitern stellen voraussichtlich ein geringeres Risiko hinsichtlich des Datenschutzes dar als große Konzerne. Sie müssen daher gemäß Artikel 30 der Verordnung kein Verzeichnis der Verarbeitungstätigkeiten führen, sofern die Verarbeitung kein Risiko für „die Rechte und Freiheiten der betroffenen Personen“ birgt oder regelmäßig erfolgt. Werden besonders sensible Daten verarbeitet, muss das Unternehmen dennoch das Verfahrensverzeichnis anlegen.
Ab sofort dürfen Daten von Individuen nur noch dann erfasst und gespeichert werden, wenn der Betroffene dem ausdrücklich zugestimmt hat. Personenbezogene Daten sind dabei alle Informationen, mit denen ein Individuum eindeutig bestimmt werden kann. Das umfasst offensichtliche Fälle wie den Namen, das Geburtsdatum oder die Telefonnummer, aber auch Angaben wie die IP-Adresse eines Webseiten-Besuchers.
Grundsätzlich gilt: Je weniger Daten, desto besser. Fragen Sie sich bei allen Angaben, ob sie unbedingt notwendig sein. Das Geburtsdatum mag zur Altersprüfung sinnvoll sein, für die Anmeldung zu einem Newsletter ist es in den meisten Fällen überflüssig. Zusätzlich muss der Betroffene zustimmen, bevor seine Daten gespeichert werden. Sie sind dafür verantwortlich, Nutzer über die Speicherung ihrer Daten zu informieren. Das gilt auch dann, wenn die Daten über einen Drittanbieter erhoben werden. Die Zustimmung der Betroffenen muss rechtssicher dokumentiert werden. Ein Benutzer darf der Speicherung seiner Daten jederzeit widersprechen und die Löschung der Information verlangen. Sie haben dieser Anforderungen Folge zu leisten und die Daten des Nutzers auch tatsächlich zu löschen.
Vor der Datenschutzverordnung sind nicht alle Informationen gleich. Viele Firmen fragen lediglich eine E-Mail-Adresse und Kontaktdaten ihrer Kunden ab. Damit stellen sie sicher, den jeweiligen Kunden erreichen oder gezielt Informationen an ihn übermitteln zu können. Dennoch sollten Sie prüfen, ob Sie auch sensible Daten erheben. Fragen Sie beispielsweise Daten zur gesundheitlichen Verfassung oder der finanziellen Situation von Personen ab? Nutzen Sie einen Dienstleister, der die Bonität Ihrer Kunden prüft? Dann verarbeiten Sie sensible Daten, die im Rahmen des Datenschutzes besondere Beachtung benötigen.
Gleiches gilt für Ihre Mitarbeiter. Bestimmte Abteilungen wie etwa die Buchhaltung verarbeiten regelmäßig sensible Daten. Es empfiehlt sich, den Prozess genauer zu durchleuchten, den neue Kunden durchlaufen. Welche Daten werden zu welchem Zeitpunkt von wem erhoben? Welche Dienstleister kommen zum Zug und welche Informationen erheben sie? Stellen Sie sicher, dass wirklich nur die Informationen abgefragt werden, die für den jeweiligen Vorgang absolut notwendig sind. Weiterhin ist jetzt ein guter Zeitpunkt, alle System und Dienstleister auf ihre Sicherheit zu prüfen.
Viele Unternehmen stehen auch nach dem 25. Mai noch vor der Entscheidung, ob sie einen externen Datenschutzbeauftragten einstellen müssen oder nicht. Rechtlich gesehen müsste die entsprechende Person bereits längst tätig sein. Prüfen Sie daher möglichst umgehend, ob Ihr Unternehmen einen externen Dienstleister für diese Aufgabe einstellen sollte, oder ob einer der Mitarbeiter diese Tätigkeit übernehmen kann. Kleine Unternehmen müssen nur dann auf eine externe Kraft zurückgreifen, wenn mehr als zehn Mitarbeiter regelmäßig personenbezogene Daten verarbeiten. Ist die Firma größer oder aber werden regelmäßig sensible Daten verarbeitet (siehe Punkt 3), sollte ein professioneller Dienstleister beauftragt werden.
Greift die Firma auf einen internen Mitarbeiter zurück, sollte dringend geklärt werden, welche Aufgaben er zu übernehmen hat. Denn der Datenschutzbeauftragte ist mit dafür verantwortlich, dass die DSGVO umgesetzt wird und wird bei Problemen zum ersten Ansprechpartner für Kollegen wie auch für Beschwerden von außen. Sie sollten also nicht einfach jemanden zum Verantwortlichen benennen, sondern dafür Sorge tragen, dass die Person eine gezielte Schulung durch einen professionellen Dienstleister erhält. Schließlich wird Ihr neuer Datenschutzbeauftragter beispielsweise auch alle Mitarbeiter im Unternehmen inklusive der Chefetage in Sachen Datenschutz schulen müssen. Darüber hinaus sollte der Mitarbeiter genügend Zeit bekommen, seine Aufgabe tatsächlich umzusetzen. Gerade bei der ersten Umsetzung der neuen Verordnung kann sich das vorübergehend zu einem Vollzeitjob ausweiten.
Datensparsamkeit ist einer der Pfeiler der Datenschutz-Grundverordnung. Wie bereits erwähnt, sollten Sie nur die Daten sammeln, die Sie für Ihre Geschäftsprozesse tatsächlich benötigen. Standardmäßig muss der Datenschutz stets im Blick behalten werden. Wie sichern Sie die Daten Ihrer Kunden gegen Missbrauch oder Angriffe von außen? Haben Sie eine Datenschutzerklärung auf Ihrer Webseite, die Ihre Kunden über die Verwendung ihrer Daten, die Möglichkeit zur Löschung und Anonymisierung aufklärt?
Im Fall der Fälle ist eine schnelle Reaktion gefragt. Erhalten Sie die Aufforderung von Betroffenen, ihre Daten zu löschen, müssen Sie umgehend reagieren können. Schaffen Sie einen klaren Prozess hierfür und geben Sie Kunden die Möglichkeit, aktiv mit Ihnen in Kontakt zu treten. Daten auf Anfrage löschen zu müssen ist nun ohnehin nicht zu vermeiden. Mit einer klaren Anleitung sorgen Sie zumindest dafür, dass Ihre Kunden sich ernst genommen fühlen.
Möglicherweise haben Sie die Vorgaben der Datenschutz-Verordnung bereits umgesetzt. Das schützt Ihr Unternehmen leider nicht vor Hackern. Selbst Firmen, die den neuesten Stand an Sicherheitsmechanismen verwenden, werden Opfer von Angriffen durch Dritte. Setzen Sie die neue Verordnung konsequent um, dann zeigen Sie jedoch zumindest, dass Sie personenbezogene Daten und deren Verwendung ernst nehmen. Sie wissen, welche Daten Sie sammeln und verwerten. Sie sorgen dafür, dass vor der Erhebung von Daten das Einverständnis des Betroffenen eingeholt wird. Daten nutzen Sie sparsam, sichern sie so gut wie möglich vor Angriffen und gewähren das Recht auf Löschung.
Mit diesen Maßnahmen haben Sie auch im Fall einer Datenpanne schon einen Trumpf auf der Hand. Darüber hinaus müssen Sie in einer solchen Situation umgehend die Datenschutzaufsichtsbehörde informieren. Die Frist hierfür beträgt 72 Stunden. Analysieren Sie zudem sofort das Sicherheitsrisiko. Wurden Zugangsdaten Ihrer Kunden oder sensible Daten gehackt? Je nach Schwere des Vorfalls müssen Sie die Betroffenen ebenfalls umgehend informieren. Gehen Sie im Fall der Fälle proaktiv an die Sache heran: warten Sie nicht, bis etwas nach außen sickert. Schaffen Sie so schnell wie möglich Klarheit für Ihre Kunden. Informieren Sie und zeigen Sie auf, wie Daten gesichert und geändert werden können. Zeigen Sie Verantwortung, statt nur abzuwarten.
Wie sie sehen, spielen viele der oben genannten Punkte in die technische Gestaltung Ihrer Webseite mit ein. Neben dem bislang schon verpflichtenden Impressum müssen Sie nun auch eine Datenschutzerklärung auf Ihrer Homepage zur Verfügung stellen. Darüber hinaus gibt es noch eine Reihe weiterer Punkte, mit denen Sie Ihre Web-Präsenz entsprechend der neuen Vorgaben gestalten und so gleichzeitig das Risiko von Abmahnungen verkleinern.
Verwenden Sie Cookies? Viele Anbieter sind sich darüber nicht im Klaren. Alle gängigen Browser bieten kostenfreie Tools, mit denen Sie diese Frage beantworten können. Auch die Webseiten-Betreiber selbst sind oft überrascht, mit wie vielen Anbietern ihre Homepage im Verborgenen kommuniziert. Setzen Sie unbedingt einen Cookie-Hinweis, der Ihre Besucher direkt beim ersten Seitenaufruf informiert, dass Daten von ihnen gespeichert werden. Sie müssen der Speicherung aktiv zustimmen, dürfen sie aber auch ablehnen. In diesem Fall dürfen Sie natürlich keine Cookies für diesen Benutzer mehr setzen.
Wenn Sie einen Newsletter anbieten, müssen Sie ab sofort zweifach das Einverständnis Ihrer Abonnenten abfragen. Dieses Verfahren nennt sich Double-Opt-In. Viele Newsletter-Dienstleister bieten es bereits seit einer Weile standardmäßig an. Nutzen Sie einen Dienstleister, wird er Ihnen hierzu Auskunft geben. Grundsätzlich müssen neue Abonnenten direkt bei der Anmeldung aktiv bestätigen, dass ihre Daten gespeichert werden dürfen. Beispielsweise müssen sie ein Häkchen setzen, es darf nicht von Haus aus gesetzt sein. Anschließend senden Sie eine Rückmeldung an die neu aufgenommene E-Mail-Adresse. Erst, wenn der zukünftige Abonnent die erneute Anfrage per E-Mail bestätigt, etwa über Klicken eines Links, dürfen Sie ihn tatsächlich in Ihre Liste aufnehmen. Das Einverständnis darf jederzeit widerrufen werden, Sie müssen die Daten des Nutzers dann löschen.
Unabhängig von der neuen Grundverordnung sollten Sie prüfen, ob Ihre Webseite eine sichere Verbindung verwendet. Ist sie über eine Adresse mit „https“ am Anfang erreichbar, ist das der Fall. Ist sie nur über „http“ erreichbar, benötigen Sie ein sogenanntes SSL-Zertifikat. Dies wird meistens von der Stelle ausgestellt, die auch Ihre Webseite hostet, mitunter auch vom Domain-Provider. Mit dem Zertifikat können sich Dritte nicht mehr als Anbieter Ihrer Webseite ausgeben, es lohnt sich also nicht nur für die Sicherheit Ihrer Kunden, sondern dient auch Ihrem eigenen Ruf.
Bereits vor Einführung der DSGVO 2018 waren Unternehmen angehalten, im Sinne des Bundesdatenschutzgesetzes eine Liste ihrer technischen und organisatorischen Maßnahmen zum Datenschutz zu pflegen. Kurz TOM genannt, gewinnt diese Liste nun nochmals an Bedeutung. Bei einer Prüfung durch Aufsichtsbehörden, aber auch im Falle von Anfragen durch Kunden, Lieferanten oder die Presse sollten Sie klar belegen können, wie Sie personenbezogene Daten technisch und organisatorisch schützen. Die Liste ist Teil des Verzeichnisses der Verarbeitungstätigkeiten (kurz Verarbeitungsverzeichnis) aus Punkt 1. Dennoch lohnt sich hier ein separater Blick.
Sie müssen Daten nämlich nicht nur im Netz sichern. Wie sieht es etwa mit der Zugangskontrolle zu Ihrem Firmengebäude aus? Können Mitarbeiter Daten anderer Abteilungen einsehen und ist das unbedingt notwendig? Wie stellen Sie sicher, dass nicht mehr benötigte Akten nicht einfach in der öffentlichen Papiertonne landen, sondern vernichtet werden? Im Netz existiert eine Fülle an TOM-Vorlagen, die teils sogar kostenfrei genutzt werden können. Einerseits sollten Sie eine solche Liste ohnehin führen und aktuell halten, andererseits können Vorlagen auch auf bislang nicht beachtete Bereiche hinweisen.
Die neue Datenschutzverordnung trägt hoffentlich dazu bei, den Datenschutz für Privatpersonen in der EU deutlich zu erhöhen. Gleichzeitig bringt sie leider einen enormen Mehraufwand mit sich, der gerade kleine Firmen und Einzelunternehmer vor große Probleme stellt. Zudem werden Verstöße zukünftig teilweise mit empfindlichen Geldstrafen belegt. Sehen Sie die zusätzlichen Aufgaben nicht als unfaire Sanktion von oben, sondern nutzen Sie sie als Chance. Sie sind nun gezwungen, Ihren Umgang mit Daten kritisch zu überdenken. Gleichzeitig bieten Ihnen Datensparsamkeit und eine DSGVO-konforme Präsenz im Netz aber auch einen Wettbewerbs-Vorteil. Nie waren Konsumenten kritischer als jetzt, wenn es um ihre persönlichen Daten geht. Zeigen Sie, dass Sie sich mit den Vorgaben auseinandersetzen und Ihre Kunden ernst nehmen. Informieren Sie proaktiv und lassen Sie Ihre Besucher wissen, dass Sie auch in Sachen Datenschutz auf der Höhe der Zeit sind.
