DSGVO - Das sollten Sie wissen!

Seit dem 25. Mai gilt in ganz Europa die Datenschutzgrundverordnung (DSGVO). Seitdem ist sie in aller Munde. Nicht alle Vorschriften sind neu. Es gelten aber jetzt verschärfte Dokumentations- und Rechenschaftspflichten. Wer sich bisher noch keine Gedanken über den Datenschutz gemacht hat: Jetzt wird es Zeit! Wir beantworten die wichtigsten Fragen.

Für wen gilt die Datenschutzgrundverordnung?
Betroffen von der Verordnung sind alle, die personenbezogene Daten verarbeiten. Das sind vor allem Unternehmen, Selbstständige und Behörden, aber auch die Mitgliederverwaltung eines Vereins fällt unter die DSGVO. Gerade für kleinere Unternehmen ist die Datenschutzgrundverordnung eine Herausforderung. Denn sie sind keine Datenschutzprofis, haben aber ständig mit Daten zu tun, etwa von Kunden oder Mitarbeitern. Große Unternehmen wie Facebook und Google sind Direktvermarktern, Hofcafes und Urlaubsanbietern gleichgestellt. Außen vor bleiben Privatpersonen, vorausgesetzt sie nutzen die Daten für persönliche und familiäre Zwecke. Auch für Journalisten gibt es wie bisher Ausnahmen.

Was soll damit erreicht werden?
Ziel dieser Verordnung: EU-Bürger sollen die Kontrolle über Ihre Daten wiederbekommen, etwa durch das Recht auf Vergessen werden. Das heißt, wenn der Kunde es wünscht, müssen seine Daten gelöscht werden. Jeder Kunde hat außerdem ein Recht auf Auskunft.
Besonders die Nutzer sollten geschützt werden, die weniger technikaffin und nicht in der Lage sind, datenschutzrechtlichen Einstellungen selbst anzupassen. Dafür steht der Grundsatz der Privacy by Design. Das bedeutet eine datenschutzfreundliche Technikgestaltung. In die gleiche Richtig geht Privacy by Default. Dahinter stecken datenschutzfreundliche Voreinstellungen. Standardmäßig sollen etwa Cookies nur gespeichert werden, wenn der Nutzer zustimmt. Und wenn eine App entwickelt wird, soll diese nur solche Daten speichern dürfen, die unbedingt erforderlich sind.

Um welche Daten geht es?
Im Fokus der Datenschutzgrundverordnung stehen die personenbezogenen Daten. Hierzu zählen unter anderem Name, E-Mailadressen, Adressen, Geburtsdaten, Ausweisnummer, Autokennzeichen, Steuernummer und IP-Adresse. Auch sensible Daten wie religiöse Überzeugungen und Informationen über den Gesundheitszustand gehören dazu. Die Verordnung spricht in diesem Zusammenhang von unterschiedlichen Datenkategorien. Dabei ist es egal, ob die Daten elektronisch gespeichert oder in Papierform abgelegt werden. Oberster Grundsatz früher und heute: Jede Verarbeitung personenbezogener Daten ist verboten. Es sei denn, es findet sich eine Rechtfertigung. Der Friseur, der ein Terminbuch führt, braucht jetzt die Genehmigung des Kunden, dass er den Namen aufschreiben darf. Ebenso wie der Betrieb, der Daten speichert für die Zusammenstellung der Abokisten oder die Buchung der Ferienwohnung.

Was ist mit Fotos und Bildern?
Fotos stehen im Fokus der DSGVO. Ohne Genehmigung läuft gar nichts mehr, wenn ein Bild veröffentlicht werden soll. Das heißt, die Zustimmung muss vorher eingeholt werden. Dabei ist es egal, ob zwei oder zehn Personen abgelichtet sind. Gerade bei Fotos bewegt man sich auf gefährlichem Terrain. Ein Beispiel: Bei einem Hoffest wird ein Foto von einer Menschenmenge geschossen, um zu zeigen, dass viele Besucher vor Ort waren. Die Gesichter der einzelnen Personen kann man erkennen. Ein solches Foto darf veröffentlicht werden, wenn das Gesamtgeschehen im Vordergrund steht (also das Hoffest) und die Personen dem untergeordnet sind. Verboten ist allerdings das Heranzoomen einzelner Personen aus der Menge. Hier ist viel Platz für rechtlichen Spielraum.

Wie sieht es aus mit Fotos von Mitarbeitern?
Mitarbeiter werden gerne in Hofprospekten oder auf Internetseiten vorgestellt. Oft wird so etwas mündlich abgesprochen. Besser ist, es schriftlich zu regeln. Denn nicht immer bleibt es harmonisch: Wenn ein Mitarbeiter in Unfrieden ausscheidet und keine Einwilligung vorliegt, kann das zu Problemen bis hin zur Klage führen. Solche Einwilligungen sollten nicht im „Kleingedrucktem“ des Arbeitsvertrages eingebaut sein, sondern separat erfolgen. Das ist für alle transparenter. Es kann auch eine „Sammeleinwilligung“ sein, auf der das komplette Team unterschreibt. Alte Bilder, die vor dem 25. Mai online gestellt wurden, sollten überarbeitet werden. Soll heißen: In den meisten Fällen wird wohl nichts passieren. Dennoch sollten Sie nach der DSGVO die Einwilligungserklärungen im Nachhinein einholen.
Besonders heikel ist die Sache mit den Fotos bei Minderjährigen. Hier sind die Unterschriften der Erziehungsberechtigten notwendig, und der Minderjährige selbst muss auch zustimmen. Wegen der rechtlichen Unsicherheiten veröffentlichen einige Unternehmen sogar keine Fotos mehr von ihren Auszubildenden. Das ist schade, denn es kann durch Einwilligungen rechtssicher gemacht werden.

Auch die elektronische Kasse speichert jede Menge Daten. Wie sieht es hier mit dem Datenschutz aus?
Daten von Kredit- oder EC-Karten dürfen nur im Kassensystem gespeichert werden, wenn der Kunde eingewilligt hat. Theoretisch würde ein mündlicher Hinweis reichen, was sich aber nicht beweisen lässt und nicht praktikabel ist. Auf der sicheren Seite sind Sie mit einem Hinweis als Aushang. Auf Nachfrage liegt ein Stapel Kopien in der Schublade.

Wer personenbezogene Daten speichert, muss Auskunft darüber geben können. Was bedeutet das für die Praxis?
Jedes Unternehmen muss gespeicherte Daten auf Nachfrage offenlegen. Wenn Sie zum Beispiel Bonuskarten ausgeben, müssen Sie Ihren Kunden sagen können, wie oft und wann sie diese genutzt haben. Als Nachweis reicht eine schriftliche oder elektronische Zusammenfassung der gespeicherten Daten. Folgende Angaben sind erforderlich: Zweck der Verarbeitung, Empfänger der Daten, geplante Speicherdauer. Das Unternehmen muss diese Auskunft kostenlos geben und hat dafür vier Wochen Zeit. Diese Frist kann in komplexen Fällen um zwei Monate verlängert werden.
Wenn jemand Auskunft haben möchte, muss erstmal sichergestellt werden, dass der derjenige ist, der er vorgibt zu sein. Im Zweifel muss sich der Antragsteller ausweisen.
Das Recht, vergessen zu werden, gilt sowohl für Kunden als auch für Mitarbeiter. Es gelten jedoch die gesetzlichen Aufbewahrungsfristen. Wenn also Daten noch behalten werden müssen, sollte das dem Kunden begründet mitgeteilt werden, zum Beispiel „Aus steuerlichen Gründen müssen wir die Daten bis zum 31.12.2022 aufheben, danach werden sie gelöscht.“.

Es gelten verschärfte Dokumentationspflichten. Was steckt dahinter?
Jedes Unternehmen ist verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Hier wird aufgeschrieben, wie die fraglichen Daten verarbeitet werden, wer darauf Zugriff hat und wie die Daten geschützt und gesichert werden. Dieses Verzeichnis muss nicht offengelegt werden. Nur die Aufsichtsbehörde muss es sehen, wenn sie danach fragt. Jedes Bundesland hat seine eigene Datenschutzaufsichtsbehörde. Elektronisch oder handschriftlich? Wie das Verzeichnis aussieht, ist egal. Wichtig ist, dass Änderungen nachvollzogen werden können. Im Klartext: Hat sich ein Verantwortlicher geändert, schreibt man keinen neuen Zettel, sondern streicht ihn durch und ergänzt den neuen Namen. So sieht man, was sich geändert hat. Alte Verzeichnisse müssen abgeheftet werden. Die letzten zwei Jahre müssen so durchsichtig sein.

Die DSGVO kann auch helfen. Warum?
Dieser Arbeitsaufwand mag auf den ersten Blick lästig sein. Doch sehen Sie es positiv! Denn eine solche Übersicht ist hilfreich und eine echte Qualitätskontrolle für den Betrieb. Betrachten Sie es als eine Art „Dateninventur“. Ein aktueller und gepflegter Datenbestand ist Gold wert. Es spart Suchzeiten, wenn alle Daten up to date sind und klar ist, wer was wann zu tun hat.

Was ist zu beachten, wenn die Lohnbuchhaltung oder die Wartung der EDV ausgelagert ist?
Sobald Fremde im Spiel sind, ist die Rede von einer Auftragsverarbeitung. Deshalb Augen auf, mit wem sie zusammenarbeiten! Denn bei einer Datenpanne haftet das Unternehmen, nicht der Auftragsverarbeiter! Wer darf was wie und wie lange speichern? Wer darf was wie löschen? Was passiert mit den Daten, wenn der Auftrag erledigt ist. Gehen Sie auf Nummer sicher. Diese Fragen sind im Vorfeld vertraglich zu regeln.

Jedes Unternehmen braucht ein Sicherheitskonzept. Das steckt dahinter.
Was beim Versand von Newslettern zu beachten ist, erfahren Sie hier.
Das gehört in die Datenschutzerklärung einer Website.
Dieses Sofortprogramm hilft.