Donnerstag, 16. Januar 2020

Basiswissen Compliance für die Geschäftsleitung: Datenschutz

Sandra Leicht, Vorstand, FCH Gruppe AG

Von Compliance über Geldwäsche bis hin zu Datenschutz, Betrugsprävention und Forensic Fraud – wie viel Fachwissen braucht die Geschäftsleitung?

Im ersten Teil unserer Compliance-Reihe für die Geschäftsführung hatten wir über den „klassischen“ Compliance-Bereich und dessen Risiken gesprochen. Denn nach wie vor fühlen sich zahlreiche Unternehmen im mittelständischen Sektor nicht wirklich zuständig, wenn es um die Implementierung von Compliance-Vorgaben geht.

Ein anderes Bild haben wir im Bereich Datenschutz. Es ist angekommen: Datenschutzverstöße beinhalten nicht unerhebliche Risiken. Und zwar völlig unabhängig von der Branche oder der Größe des Unternehmens.

Aber lassen Sie uns das Thema heute gemeinsam unabhängig von der momentanen Panik um mögliche Strafzahlungen neutral beleuchten.

    

Wen „betrifft“ das Thema Datenschutz?

Dazu erst einmal eine Definition: Datenschutz ist der Schutz von personenbezogenen Daten vor Missbrauch, unberechtigter Einsicht oder Verwendung, Änderung oder Verfälschung.

„Personenbezogene Daten“ sind alle Informationen, die sich direkt oder indirekt auf eine natürliche Person („betroffene Person“) beziehen. Direkter Bezug wäre beispielsweise der Name im Adressbuch.

Ein indirekter Personenbezug kann z. B. durch die Zuordnung bisher nicht personenbezogener Daten zu einem Namen entstehen. Das wäre beispielsweise ein Geburtsdatum in Kombination mit dem Namen.

Somit werden auch die bis dahin nicht personenbezogenen Daten wie das Geburtsdatum zu personenbezogenen Daten und unterliegen dem Datenschutz.

BUCHTIPP

Göhrig/Maull/Petersen (Hrsg.), Managementleitfaden Datenschutz, 2019.

 

Sie sehen, „betroffen“ sind also erst einmal wir alle als natürliche Personen mit unserem Namen oder unserer Anschrift. Das heißt im Umkehrschluss aber auch, dass unser aller Daten geschützt werden sollen – und dass wir selbst die Erwartungshaltung an alle Marktteilnehmer haben, dass diese auch entsprechend sensibel mit unseren Daten umgehen. Diese Erwartungshaltung haben völlig branchenunabhängig auch Kunden und Interessenten an unsere Unternehmen.

An dieser Stelle bemühe ich gerne ein Arztbeispiel. Jeder von uns möchte, dass seine Krankengeschichte vertraulich behandelt wird. Dass beispielsweise:

  • keine Akten offen auf der Theke in der Praxis einsehbar sind
  • über die Krankheit nicht lautstark in der Praxis gesprochen wird
  • die Mitarbeiter der Praxis sich nicht nach Arbeitsende im privaten Bereich (zuhause am Abendbrottisch) über unsere Diagnose unterhalten.

Das sollte alles selbstverständlich sein und entspricht unserer Grunderwartungshaltung – und das alles ist Datenschutz.

Nun sprechen wir hier von besonders sensiblen Daten. Dennoch darf der Schutz unserer Daten natürlich nicht erst im sensiblen Bereich beginnen. Und deshalb sind alle Unternehmen bei der Einhaltung von datenschützenden Vorgaben gefragt.

Rechtliche Grundlagen

Erst einmal, bei der nun überall bekannten DSGVO handelt es sich um eine Verordnung – das heißt, dass wir als Mitgliedsland die Vorgaben direkt umgesetzt haben. Ausfüllen dürfen wir einige Bereiche, sogenannte Öffnungsklauseln, durch deutsche Gesetze, in diesem Fall vor allem das BDSG-neu.

Einzuhalten sind die Vorgaben aus der DSGVO seit dem 25.05.2018.

Weitere Vorgaben zum Datenschutz finden sich u. a. in:

  • EU Privacy-Richtlinie (geplant)
  • Telemediengesetz
  • Sozialgesetzbuch
  • Geldwäschegesetz
  • Strafgesetzbuch.

Das sind also doch einige Vorgaben, an die wir uns als Unternehmen uns zu halten haben.

Bzw.: Müssen wir das wirklich alle tun?

Für wen gelten die Vorgaben?

Schauen wir dazu in das neue BDSG, das uns eine konkrete Zahl liefert. „Gemäß § 38 Abs. 1 Satz 1 BDSG ist ergänzend zu den Vorgaben der DSGVO ein Datenschutzbeauftragter zu benennen, soweit in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.“

Cover130BERATUNGSTIPPS

Auslagerung Datenschutz.

Beratung Datenschutz.

 

Diese Schwelle kennen mittlerweile die meisten Unternehmer. Natürlich ist die Eingrenzung auf eine Mitarbeiteranzahl nicht abschließend. Es gibt weitere Kriterien, die auf dem Geschäftsmodell oder den verarbeiteten Daten beruhen, die einen DSB erfordern. Allerdings wissen diese betroffenen Unternehmen überwiegend bereits, dass die Verpflichtung besteht.

Unsicherheit besteht da eher im Handwerk und klassischen Mittelstand. Hier ist die Konkretisierung sicher zunächst erleichternd.

Doch Vorsicht, auch wenn kein DSB bestellt werden muss, heißt das nicht, dass die Vorgaben zum Datenschutz nicht einzuhalten sind. Es gibt den Unternehmen nur die Chance, selbst zu entscheiden, ob sie einen (internen oder externen) DSB benennen oder die Umsetzungen ohne DSB leisten möchten.

Hier bemühe ich zur Verdeutlichung gerne ein PKW-Beispiel:

Wer mit einem PKW am Straßenverkehr teilnimmt hat sich an die Straßenverkehrsordnung zu halten. Dabei ist es völlig irrelevant ob Sie einen Kleinwagen oder eine Limousine fahren, ob Sie ländlich oder in der Stadt unterwegs sind.

Sie können sich chauffieren lassen, es schmälert ggf. Ihr Risiko, wenn Sie nicht selbst fahren, sondern ein Profi das Steuer übernimmt – insbesondere dann, wenn Sie selbst unsicher steuern würden. Am Ende sind Sie aber der Halter des Fahrzeugs der auch haften kann.

Das entkräftet direkt die häufigsten Argumente zur mangelnden Umsetzung, „wir sind doch ein kleiner Betrieb“ und „wir sind doch sehr ländlich“.

Sie können als Unternehmer wie als Teilnehmer im Straßenverkehr auch Risiken in Kauf nehmen und sich zunächst auf den Standpunkt stellen, dass erst einmal jemand kommen muss, der Sie prüft.

Völlig richtig, aber wie mit dem unerwarteten Blitzer müssen Sie auch im Bereich Datenschutz damit rechnen, dass eine Prüfung/ein Prüfer Ihren Weg kreuzt.

Und abgesehen von den im Vergleich zum Knöllchen deutlich höheren Bußgeldern wollen wir doch im Straßenverkehr so wenig wie im Bereich Datenschutz einer anderen Person Schaden zufügen.

Was ist also zu tun?

Ihnen einen belastbaren Leitfaden zur rechtssicheren Umsetzung von Datenschutzvorgaben zu liefern, würde den Rahmen des Beitrags natürlich sprengen. Dennoch gibt es einige grundlegenden Themenebereiche, die Sie als Geschäftsführer gehört haben sollten. Deshalb setzen wir gezielt Schwerpunkte.

Kernbereiche im Tagesgeschäft

Wie gesagt, Sie müssen die Vorgaben des Datenschutzes komplett umsetzen. Betrachten wir die ersten Schritte risikoorientiert. Haben Sie Bereiche in Ihr Tagesgeschäft involviert, die mehr direkten Bezug zu natürlichen Personen haben als andere?

Interessenten

Nehmen wir Ihre Homepage. Wir sehen häufig, dass eine allgemeine Passage zum Datenschutz zu finden ist, die aber faktisch nichts mit der Funktionalität der Homepage zu tun hat. Hier ist das Risiko aufgrund der unbeschränkten Zugriffsmöglichkeiten nicht unerheblich. Stellen Sie sicher, dass Ihre Datenschutzhinweise zur Homepage passen.

Auch beim Thema Werbung sollte abgewogen werden, welcher Person auf welchem Weg Werbung zugehen soll. Hier haben wir außerdem nicht „nur“ die Vorgaben aus dem Datenschutz, sondern auch wie bisher das UWG zu beachten. Hat die Person eingewilligt oder haben wir als Unternehmen ein (dokumentiertes) berechtigtes Interesse sind Fragen, die Sie sich frühzeitig stellen sollten.

Kunden

Grundsätzlich handelt es sich bei der Verarbeitung von Daten um ein Verbot mit Erlaubnisvorbehalt. Das heißt jegliche Form der Datenverarbeitung ist eigentlich erst einmal verboten. Das wäre aber in der praktischen Umsetzung doch etwas weltfremd, deshalb wurden Ausnahmetatbestände festgelegt. Die Verarbeitung von Daten ist erlaubt, wenn:

  • Der Betroffene seine Einwilligung gegeben hat, z. B. Einwilligung in Telefon- und E-Mail-Werbung.
  • Die Verarbeitung gesetzlich verpflichtend ist, z. B. HGB, Abgabenordnung, branchenspezifische Vorgaben.
  • Die Daten zur Durchführung von Verträgen oder vorvertraglichen Maßnahmen benötigt werden, z. B. Kundenbestellung, Dienstleistungsvertrag, Visitenkarten.
  • Abwägung eines berechtigten Interesses besteht, z. B. Vertriebssteuerung, Bestandskundenwerbung.

Das sind Punkte, die wir im Unternehmen im Umgang mit unseren Kunden beachten müssen.

„Verfallsdatum“ der Daten

Wir dürfen auch Kundendaten, die berechtigt gespeichert wurden, nicht bis in alle Ewigkeit aufbewahren (und wollen das wegen unserem Datenhaushalt häufig ja auch gar nicht). Die Daten sind immer dann zu löschen, wenn die Erlaubnis zur Speicherung entfällt. Das ist der Fall bei:

  • Widerruf der Einwilligung,
  • Beendigung des Vertrags/vorvertraglichen Interesses,
  • Überschreiten der gesetzlichen Aufbewahrungszeiträume (Vorsicht, hier können die Aufbewahrungsfristen abweichen!),
  • Nicht mehr zutreffendem berechtigtem Interesse.

Dieser Punkt bringt uns zu einem Dokument, dass Sie für ein strukturiertes Löschverfahren benötigen: ein Löschkonzept.

Es könnte unangenehm werden, wenn ein ehemaliger Kunde kontaktiert wird, dessen Daten Sie nicht mehr haben dürften.

Mitarbeiter

Vergessen Sie bitte nicht, dass die Vorgaben zum Datenschutz auch Ihre Mitarbeiter betreffen. Und zwar gleich in zweierlei Hinsicht. Zunächst müssen Ihre Mitarbeiter sich selbst an die Vorgaben halten.

Es empfiehlt sich daher, Arbeitsanweisungen oder Prozessbeschreibungen zu verfassen an die sich die Kollegen halten können, einen Ansprechpartner für Zweifelsfragen zu benennen und die Kollegen dem Thema gegenüber regelmäßig zu sensibilisieren.

Außerdem gelten die datenschutzrechtlichen Vorgaben auch für Ihre Mitarbeiter als natürliche Personen.

Denken Sie deshalb daran, dass Sie auch bei Ihren Mitarbeitern nicht „frei“ über Daten verfügen können. Das gilt auch für Fotos und Geburtstagslisten.

Meldepflichten

Noch ein wichtiger Punkt zum Schluss. Datenschutzverstöße müssen in bestimmten Fällen gemeldet werden. Dabei gilt die Vorgabe, dass innerhalb von 72 Stunden gemeldet werden muss.

„Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.“

Das bedeutet in der praktischen Umsetzung, dass zunächst einmal alle Kollegen soweit sensibilisiert und informiert sein müssen, um einen möglichen melderelevanten Verstoß zu erkennen. Außerdem sollte ein Kollege benannt sein, an den gemeldet wird, der den Sachverhalt recherchiert, die Entscheidung trifft, ob eine Meldepflicht besteht und meldet. Sie brauchen also einen Meldeprozess, um im „Ernstfall“ schnell und besonnen genug reagieren zu können.

Hier gilt, dass es Gegenparteien oder weitere betroffene Unternehmen geben könnte, die sich an die Datenschutzbehörde wenden und so deren Aufmerksamkeit auf den Verstoß lenken könnten.

Zugegeben, das war jetzt ein schneller und selektiver Abriss zum Thema Datenschutzvorgaben. Wie in so vielen Bereichen ist auch hier wichtig, dass Sie als Geschäftsführer Vorgaben und Risiken entweder selbst kennen oder durch Mitarbeiter zuverlässig informiert werden, um bewusst und gut informiert Entscheidungen treffen zu können.

PRAXISTIPPS

  • Sie müssen als Geschäftsführer Datenschutz nicht alleine überblicken und aufstellen. Verteilen Sie Themen und interne Verantwortlichkeiten an zuverlässige und fachlich kompetente Mitarbeiter.
  • Falls Sie unter die Grenze der Benennung eines DSB fallen, überlegen Sie, ob eine Person, die federführend die Umsetzungen leitet und überwacht, für Ihr Unternehmen Sinn macht.
  • Wenn Sie Lücken oder blinde Flecken bei Ihrer internen Umsetzung der Datenschutzvorgaben erkannt haben, gehen Sie diese so strukturiert wie möglich an.
  • Sehen Sie Datenschutz auch als Chance, interne Prozesse auf den Prüfstand zu stellen und ggf. effektiver zu gestalten.
  • Der Umgang mit Daten betrifft das gesamte Unternehmen und sollte bestenfalls vorgelebt werden.
  • Wenn Sie die Themenstellungen intern nicht abdecken können, scheuen Sie sich nicht, externe Unterstützung in Anspruch zu nehmen.
  • Denken Sie daran, dass eine improvisierte Umsetzung, die Ihnen bei einer Prüfung auf die Füße fallen könnte, letzten Endes kostspieliger ist als eine einmalige saubere Aufstellung.
 

Beitragsnummer: 92197

 


Beitragsnummer: 4852

Hinterlassen Sie einen Kommentar

Kommentare:

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, nutzen wir Google Analytics und hierfür erforderliche Cookies. Weitere Infos finden Sie in unseren Datenschutzhinweisen.