Am 25. Mai tritt die neue Europäische Datenschutz-Grundverordnung in Kraft. Um was es dabei geht, das ist allerdings nur den Wenigsten so richtig klar. „ Ein Großteil der Unternehmen ist darauf nicht vorbereitet, sagt Thomas Biermann vom IT-Dienstleister DATEV in Nürnberg. Bei einer Infoveranstaltung der Handwerkskammer für Oberfranken zum neuen Datenschutzrecht in Coburg und tags darauf in Selb gab Biermann mehreren hundert interessierten Handwerkern einen Überblick über die neuen Regeln, die in allen Mitgliedsstaaten der Europäischen Union gelten werden.

Einen Nachtrag zu den Veranstaltungen mit einer Klärung der Fragen rum um den betrieblichen Datenschutzbeauftragten finden Sie hier!

„Es betrifft jeden Unternehmer“, sagte Biermann. Und zwar immer dann, wenn personenbezogene Daten erfasst und verarbeitet werden. Also praktisch immer, an sieben Tagen in  der Woche, an 24 Stunden am Tag. Egal ob Kundenbindungssysteme, Kreditwürdigkeitsauskünfte oder sonstige Unternehmen: alle sind an Daten interessiert. „Daten sind ein wichtiges Gut geworden“, so der Referent.

Ziel der neuen Europäischen Datenschutz-Grundverordnung sei es, eine einheitliche Rechtsordnung in der gesamten Europäischen Union zu schaffen. Damit wird das alte Bundesdatenschutzgesetz größtenteils abgelöst werden. Worum geht es? „Um alle Daten, die mich identifizierbar machen, nicht nur um Adresse und Telefonnummer, auch um Bankverbindung, Kreditkartennummer, IP-Adresse bis hin zur Kreditwürdigkeit oder eventuellen Vorstrafen.“ Konkret soll die neue Verordnung vorgeben, wie Unternehmen mit Daten umzugehen haben. Wichtigster Punkt dabei: die Verarbeitung und Speicherung müssen künftig dokumentiert werden und dieses nachweisbar sein. Also auch, warum gerade diese Daten gespeichert und wofür sie genutzt werden. Bei sensiblen Daten wie etwa der Religion eines Mitarbeiters, müsse auch festgehalten werden, dass sie zum Beispiel für die Lohnabrechnung wichtig sind.

Um Adressen eines Kunden nutzen zu dürfen, und wenn es nur für Marketing- und Werbezwecke ist, benötige jeder Betrieb künftig die Einwilligung des Kunden, die natürlich jederzeit widerrufen werden kann. Selbst bei einem Preisausschreiben, das ein Unternehmen auf einer Messe veranstaltet, müsse künftig klar ersichtlich sein, zu welchem Zweck die erhobenen Daten genutzt werden und auch wieder gelöscht werden.

Doch damit noch lange nicht genug. Nach den Worten von DATEV-Referenten Biermann müssen sämtliche über ihn gespeicherten Daten einem Kunden künftig schnell und leicht zugänglich gemacht werden, wenn er danach fragt. Der Kunde habe nach der neuen Verordnung ein Auskunftsrecht, welche Daten ein Unternehmen von ihm besitzt. Das Unternehmen sei verpflichtet, dem Kunden Auskunft zu erteilen.

Höchststrafen bis zu zehn Millionen Euro

Überprüft werde dies künftig von den Landesdatenschutzbehörden, in Bayern also vom Bayerischen Landesamt für Datenschutzaufsicht (BayLDA), sagte Biermann. Bisher sei das Thema Datenschutz ein zahnloser Tiger gewesen, das soll sich jetzt ändern, denn künftig werde geprüft. Während die Höchststrafe bislang bei 300000 Euro gelegen habe, schreibe die Verordnung bei einem Verstoß gegen Auflagen künftig Höchststrafen bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Umsatzes, beim Verstoß gegen Rechte Betroffener sogar bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes vor. Wenn dies den Handwerker freilich kaum treffen werde, so gilt die Verordnung schon jetzt als scharfes Schwert. Ein Ziel sei es auch, die großen, weltweit agierenden Konzerne in Sachen Datenschutz zu erreichen.

Trotzdem sollten sich auch Handwerker um die Verordnung kümmern. Da gilt es zum Beispiel zunächst einen Datenschutzbeauftragten zu installieren, insofern mindestens zehn Beschäftigten personenbezogene Daten im Betrieb verarbeiten. „Eine genaue Betrachtung der Voraussetzungen und Umstände im Betrieb sollte jedes Unternehmen für sich prüfen“, so Biermann. Bei Unternehmen, die hochsensible Daten etwa aus dem medizinischen Bereich verarbeiten, reichen auch weniger betroffene Mitarbeiter aus, um einen Datenschutzbeauftragten zu benötigen.

Einer der ersten Schritte sollte es sein, eine Bestandaufnahme durchzuführen, welche Daten überhaupt verarbeitet werden und wer die Betroffenen sind. Ganz wichtig sei das sogenannte Verarbeitungsverzeichnis, in dem festgehalten werden soll, welche Daten das Unternehmen besitzt und wofür die Daten genutzt werden. In dieses Verzeichnis gehören alle Datenklassen von Kunden, Lieferanten, aus der Finanz- und Lohnbuchhaltung, aber auch aus der Mitarbeiterverwaltung bis hin zu Bewerberdaten.

Leitfaden zum Downloaden

Natürlich sei dies erstmal ein großer Aufwand für die Betriebe, so Biermann. Er riet den Handwerkern, die Verordnung als Chance zu sehen, Prozesse im Unternehmen zu analysieren und ggf. zu optimieren. Und Mitarbeiter zu sensibilisieren wie und mit welchen Daten umgegangen werden darf. Der Referent sagte auch, dass Prüfungen nicht nur nach dem Prinzip Zufall, sondern oftmals auf Verdachtsmeldungen hin stattfinden werden.

Für alles das gibt es nach den Worten von Hans-Karl Bauer, dem Leiter des HWK-Verwaltungssitzes Coburg eine ausführliche Handreichung mit zahlreichen Musterformularen. Der Leitfaden stehe auch auf den Internetseiten der Handwerkskammer zum Download bereit.

Coburg/Selb, 08. März 2018

 Ansprechpartner/in

 Downloads

 Informationen

Die HWK für Oberfranken hat die Frage nach der Notwendigkeit eines betrieblichen Datenschutzbeauftragten noch einmal mit dem Bayerischen Landesamt für Datenschutzaufsicht geklärt. Die Info dazu finden Sie hier

Das Bayerische Landesamt für Datenschutzaufsicht hat auf seiner Homepage www.lda.bayern.de für kleine Unternehmen zwölf neue Kurz-Informationen bereitgestellt.