Handwerksblatt Logo

Anzeige

DSGVO: So klappt´s auch mit dem Datenschutz

Die Datenschutz-Grundverordnung treibt viele Unternehmer an den Rand des Nervenzusammenbruchs. Monika Weitz kennt die Sorgen der Chefs und erarbeitet mit ihnen praxisnahe Lösungen.

Dieser Artikel gehört zum Themen-Special Das neue Datenschutzrecht
Der Unternemer braucht gar nicht für alles eine schriftliche Einwilligung! Im ganz normalen Geschäftsverhältnis muss der Kunde nur informiert werden, wie mit seinen Daten umgegangen wird. Foto: © Michael Külbel/123RF.com
Der Unternemer braucht gar nicht für alles eine schriftliche Einwilligung! Im ganz normalen Geschäftsverhältnis muss der Kunde nur informiert werden, wie mit seinen Daten umgegangen wird.

Auch kleine Unternehmen mussten viel Zeit und Nerven investieren, um die neuen Datenschutzregeln einzuhalten. Monika Weitz begleitet in vielen Betrieben die Umsetzung der Datenschutz-Grundverordnung (DSGVO) und ist als Datenschutzbeauftrage gefragt. Sie leitet als Vorstand die Unternehmerfrauen im Handwerk Rhein-Main, ist Kauffrau im Groß- und Außenhandel und Psychologischer Personal Coach. Mit ihrer eigenen Beratungsfirma Unternehmensbaum® berät sie Firmen zu Geschäftsprozessen, Führungsstrukturen und allen Bereichen der kaufmännischen Organisation. Als Dozentin ist sie an verschiedenen Akademien wie ZDH-ZERT, für Unternehmen und Banken tätig.

Handwerksblatt: Frau Weitz, seit Mai 2018 gilt die DSGVO, aber viele Unternehmen wissen immer noch nicht, wie sie das Regelwerk in ihrem Betriebsalltag umsetzen sollen. Sie erleben als Datenschutzbeauftragte die konkreten Probleme der Betriebe. Welche Fragen werden Ihnen am häufigsten gestellt?

Weitz: Die erste Frage an mich ist immer: "Brauche ich einen Datenschutzbeauftragten?" Die DSGVO fordert einen Datenschutzbeauftragten (DSB) ab 250 Mitarbeitern, die Daten verarbeiten. Das Bundesdatenschutzgesetz (BDSG-neu) ist strenger und hat diese Grenze auf zehn Mitarbeiter gesenkt. Oft höre ich von Unternehmen: "Wir sind ja so klein und verarbeiten gar nicht viele Daten, uns betrifft die DSGVO also gar nicht". Wenn ich dann nachfrage, stellt sich häufig heraus, dass sehr viele Daten verarbeitet werden. Ob ein DSB gebraucht wird, also mehr als zehn Mitarbeiter Daten verarbeiten, spielt für den durchzuführenden Datenschutz gar keine Rolle.

DSGVO am praktischen Fall – eine Checkliste

Foto: © DHB Foto: © DHB Foto: © DHB Foto: © DHB

Handwerksblatt: Der Datenschutz hängt also nicht allein am Datenschutzbeauftragten?
Weitz: So ist es. Viele Unternehmer glauben fälschlicherweise, wenn sie einen DSB haben, ist damit alles erledigt. Das stimmt aber nicht. Der DSB hat nur beratende Funktion. Die Maßnahmen muss der Unternehmer als Verantwortlicher durchführen, er kann sie nicht an den DSB weiterreichen. Das wird oft vergessen. Der Chef ist für alles verantwortlich. Arbeit kann er delegieren, die Haftung aber nicht.

Eine Frage, die mir ebenfalls häufig gestellt wird ist: Kann die im Betrieb mitarbeitende Unternehmerfrau die Datenschutzbeauftragte sein? Das ist grundsätzlich nur erlaubt, wenn sie nicht in der Geschäftsführung, sondern angestellt arbeitet und weisungsgebunden ist, wie jeder andere Arbeitnehmer. Unter Umständen kann man das nur schwer nachweisen. Dann frage ich immer: Wie ist die Statusprüfung der Rentenversicherung ausgefallen? Hat die DRV eine Bescheinigung ausgestellt, dass die Frau Angestellte ist, kann man sich den Segen des Landesdatenschutzbeauftragten einholen. Als DSB muss sie sich mit IT und der DSGVO auskennen.



Handwerksblatt: Viele denken ja, die DSGVO betrifft nur elektronische Daten.
Weitz: Das ist ein Irrtum! Betroffen sind auch alle Daten auf Papier. Stehen auf einem Auftragszettel zum Beispiel neben dem Namen des Kunden auch Kontaktinformationen zum Ansprechpartner, sind das personenbezogene Daten – und um die geht es. Die DSGVO unterscheidet nicht zwischen unternehmerischen und persönlichen Daten, das sind immer alles personenbezogene Daten. Foto: © Ehmann Fotografie

Handwerksblatt: Offenbar gibt es ja eine Menge Vorgänge, die datenschutzrelevant sind. Wie behalten Unternehmer den Überblick?

Weitz: Wenn ich ein einen Betrieb komme, mache ich mit den Verantwortlichen zusammen eine Bestandsaufnahme, wo konkret personenbezogene Daten verarbeitet werden. Und dann erstellen wir einen Maßnahmenplan. Die Anforderungen hängen vom Einzelfall ab. Ein Beispiel aus meiner Praxis: Ein Betrieb nutzt GPS in Firmenautos. Die digitale Überwachung erfolgt anonymisiert mit Wagen-Nummern. Auf den ersten Blick unkritisch. Und dann lagen offen auf dem Tresen im Eingang ein Fahrzeug- und ein Auftragsbuch, in die jede Fahrt mit Namen, Ziel usw. eingetragen werden musste. Das war datenschutzrelevant und ich musste fragen, wie die Bücher gesichert sind und wer sie einsehen kann. Offene Regale sind da schwierig.

Oder Videokameras: Neue Hinweis-Schilder sind erforderlich. Werden Menschen gefilmt, braucht man u.U. eine Datenschutzfolgenabschätzung. Wenn ich sehe, dass ein PC nicht mit Passwort geschützt ist, oder der Sever im Büro frei zugänglich ist, sind dann technische und organisatorische Maßnahmen (TOM) zu ergreifen. Der Datenschutzbeauftragte entscheidet, was konkret passieren muss.

Pro und Contra Einwilligung für den Umgang mit personenbezogenen Daten

Handwerksblatt: Kann sich der Unternehmer nicht einfach pauschal für alles die Einwilligung einholen?
Weitz: Das wäre ganz schlecht! Denn der Einwilligende kann ja auch immer widerrufen. Eine gute Nachricht: Ich brauche gar nicht für alles eine schriftliche Einwilligung! Im ganz normalen Geschäftsverhältnis muss der Kunde nur informiert werden, wie mit seinen Daten umgegangen wird. Das bedeutet, beim ersten Kontakt erhält er einen Hinweis über die Datenverarbeitung und auf die betriebseigene Datenschutz-Information. Die Veröffentlichung erfolgt am besten auf der Website. Es kann in der Fußzeile der E-Mail ein Link gesetzt werden zur Datenschutz-Information und auch auf Angeboten und Rechnungen. Die reine Information in einfacher Sprache genügt hier. Viele haben ja bereits eine Datenschutz-Erklärung auf der Website. Leider werden oftmals Muster verwendet, ohne Prüfung der Inhalte, das ist nicht datenschutzkonform.

Auch für die Lohnabrechnung der Mitarbeiter brauche ich keine Einwilligung, denn es betrifft das Beschäftigungsverhältnis. Anders sieht es aus, wenn ich einen Newsletter verschicke oder ein Gewinnspiel machen möchte. Da brauche ich die Einwilligung des Betroffenen schriftlich oder als sogenannte Double-Opt-in-Lösung.

Handwerksblatt: Bei normalem Geschäftskontakt brauche ich also grundsätzlich keine Einwilligung?
Weitz: Genau. Zum Thema Einwilligung gab es zu Beginn der DSGVO ein großes Missverständnis bei manchen Unternehmen. Sie verschickten E-Mails mit dem Inhalt: "Lieber Kunde, wir wollen mit dir in Kontakt bleiben, bitte gib uns dein OK, dass wir weiter zusammenarbeiten können." Von 1000 Kontakten haben dann nur 200 eine Antwort geschickt. Damit hat sich der Absender selbst ein Bein gestellt, denn die anderen Kunden darf er jetzt nicht mehr kontaktieren. Richtig war die folgende Mail: "Lieber Kunde, wir behandeln deine Daten sorgfältig. Informationen findest du in unserer Datenschutz-Information. Du brauchst gar nichts zu tun. Nur wenn du nicht mehr mit uns arbeiten möchtest, melde dich bitte."

Das Interview führte Anne Kieserling


Ein besonderes Problem: E-Mails und Privathandys

Häufig gibt es Datenschutz-Probleme bei der Nutzung von E-Mails oder privaten Handys der Mitarbeiter. Wer eine E-Mail schreibt, verarbeitet nämlich automatisch Daten. Einen typischen Fall beschreibt Monika Weitz: "Der Chef schickt dem Mitarbeiter eine E-Mail mit dem Namen und der Adresse und Telefon-Nr. des Kunden auf sein Handy, damit der den Auftrag erledigt. Damit alles korrekt läuft, muss er dafür vorher in einer Smartphone-Nutzungsrichtlinie festlegen, wie mit den Daten umzugehen ist. Diese sollte zum Beispiel beinhalten, dass der Mitarbeiter die Daten auch vertraulich behandelt, dass er sie nicht unaufgefordert weiterleiten darf und wann sie zu löschen sind. Der Mitarbeiter muss informiert und geschult werden und natürlich muss er die Vertraulichkeitserklärung und Nutzungs-richtlinien persönlich unterschreiben. Diese verbleiben dann in der Personalakte.

Datenschutzbeauftragter soll Firmenhandys kontrollieren

Bei E-Mails gibt es noch das Problem, dass viele Betriebe E-Mail-Adressen mit den Namen der Mitarbeiter haben. Selbst wenn es sich um Abkürzungen handelt – Anfangsbuchstaben etwa – muss der Chef aus Datenschutzgründen die private E-Mail-Nutzung von Dienstadressen untersagen. Dafür gibt es dann eine Internet-Nutzungsrichtlinie. Wenn ein Mitarbeiter zu Hause arbeitet, ist Homeoffice-Nutzungsrichtlinie erforderlich. Der Chef muss die Arbeitnehmer informieren, sensibilisieren und schulen. Auch diese Nutzungsrichtlinien müssen vom Arbeitnehmer unterzeichnet sein und vervollständigen die Personalakte.

Die Einhaltung der Nutzungsrichtlinien muss in Form von regelmäßigen Stichproben überprüft werden. Und dabei geht es nicht nur um die privaten Endgeräte, auch die geschäftlichen, also etwa Firmenhandys. Die Kontrollen führt der Datenschutzbeauftragte durch. Es ist wirklich wichtig, die privaten E-Mails zu untersagen. Sonst hat der Unternehmer ein Problem mit dem Telekommunikationsgesetz, weil er dann Dienstanbieter ist. Scheidet der Mitarbeiter aus und will, dass seine Daten gelöscht werden, ist die große Frage: Darf er das verlangen oder geht das gegen die geschäftlichen Interessen des Unternehmens? Wenn der Arbeitgeber die Privatnutzung von E-Mails verboten hat, hat er schon mal einen Hebel in der Hand."

 

Text: Anne Kieserling
Was Sie sonst noch interessieren könnte
Foto: © Vasily Merkushev/123RF.com
Service & Infos > Themen-Specials 
Datenschutzbeauftragter will DSGVO überarbeiten
Der Bundesdatenschutzbeauftragte Ulrich Kelber will die Kritik an den neuen Datenschutzregeln ernst nehmen. Er kündigte an zu prüfen, an welchen Stellen sie entschlackt werden können.
Foto: © nito500/123RF.com
Service & Infos > Themen-Specials 
Google muss hohe Strafe zahlen für DSGVO-Verstoß
Wegen Verstößen gegen die Datenschutzgrundverordnung (DSGVO) hat die französische Datenschutzbehörde CNIL eine Rekordstrafe von 50 Millionen Euro gegen Google verhängt.
Foto: © Vasily Merkushev/123RF.com
Die Handwerkskammern in Deutschland > HWK Münster 
Kammer-Initiative zur DSGVO
Die Handwerkskammer (HWK) Münster bittet Betriebe, ihre konkreten Probleme bei der Umsetzung der seit Mai geltenden Datenschutzgrundverordnung (DSGVO) mitzuteilen.
Foto: © maglara/123RF.com
Service & Infos > Themen-Specials 
Die Weihnachtspost und der Datenschutz
Eine beliebte Tradition steht im Kreuzfeuer: Darf man in Zeiten der DSGVO überhaupt noch Weihnachtskarten verschicken? Viele Unternehmen sind verunsichert, wie sie Daten von Kunden nutzen dürfen. 
Foto: © dolgachov/123RF.com
Service & Infos > Themen-Specials 
Datenschutz wird übertrieben
Handwerksbetriebe müssen Hausverwaltungen oder Generalunternehmern keine Verträge zur Auftragsverarbeitung unterzeichnen. Dies ist datenschutzrechtlich nicht notwendig.
Foto: © qwasyx/123RF.com
Service & Infos > Themen-Specials 
Handwerk fordert: Datenschutzregeln lockern!
Auch kleine Betriebe sind nach den neuen Regeln verpflichtet, einen Datenschutzbeauftragten zu bestellen. Das Handwerk sieht darin eine überzogene Anforderung des deutschen Gesetzgebers.

Leserkommentare

12.02.2019 10:08:18 Uhr
Brianzon

hello

wat doet stoppen met roken met je

http://sk.teamdaz.com/serum-na-rast-mihalnic-recenzie/4d-mihalnice/

Zitieren
nach oben