DSGVO

Der Unternemer braucht gar nicht für alles eine schriftliche Einwilligung! Im ganz normalen Geschäftsverhältnis muss der Kunde nur informiert werden, wie mit seinen Daten umgegangen wird. (Foto: © Michael Külbel/123RF.com)

Vorlesen:

DSGVO: So klappt's auch mit dem Datenschutz

Die Datenschutz-Grundverordnung treibt viele Unternehmer an den Rand des Nervenzusammenbruchs. Monika Weitz kennt die Sorgen der Chefs und erarbeitet mit ihnen praxisnahe Lösungen.

Auch kleine Unternehmen mussten viel Zeit und Nerven investieren, um die neuen Datenschutzregeln einzuhalten. Monika Weitz begleitet in vielen Betrieben die Umsetzung der Datenschutz-Grundverordnung (DSGVO) und ist als Datenschutzbeauftragte gefragt. Sie leitet als Vorstand die Unternehmerfrauen im Handwerk Rhein-Main, ist Kauffrau im Groß- und Außenhandel und Psychologischer Personal Coach. Mit ihrer eigenen Beratungsfirma Unternehmensbaum® berät sie Firmen zu Geschäftsprozessen, Führungsstrukturen und allen Bereichen der kaufmännischen Organisation. Als Dozentin ist sie an verschiedenen Akademien wie ZDH-ZERT, für Unternehmen und Banken tätig.

DHB: Frau Weitz, seit Mai 2018 gilt die DSGVO, aber viele Unternehmen wissen immer noch nicht, wie sie das Regelwerk in ihrem Betriebsalltag umsetzen sollen. Sie erleben als Datenschutzbeauftragte die konkreten Probleme der Betriebe. Welche Fragen werden Ihnen am häufigsten gestellt?
Weitz: Die erste Frage an mich ist immer: "Brauche ich einen Datenschutzbeauftragten?" Die DSGVO fordert einen Datenschutzbeauftragten (DSB) ab 250 Mitarbeitern, die Daten verarbeiten. Das Bundesdatenschutzgesetz (BDSG-neu) ist strenger und hat diese Grenze auf zehn Mitarbeiter gesenkt. Oft höre ich von Unternehmen: "Wir sind ja so klein und verarbeiten gar nicht viele Daten, uns betrifft die DSGVO also gar nicht". Wenn ich dann nachfrage, stellt sich häufig heraus, dass sehr viele Daten verarbeitet werden. Ob ein DSB gebraucht wird, also mehr als zehn Mitarbeiter Daten verarbeiten, spielt für den durchzuführenden Datenschutz gar keine Rolle.

DSGVO am praktischen Fall – eine Checkliste

Foto: © DHB (Anne Kieserling/Monika Weitz)Foto: © DHB (Anne Kieserling/Monika Weitz)

DHB: Der Datenschutz hängt also nicht allein am Datenschutzbeauftragten?
Weitz: So ist es. Viele Unternehmer glauben fälschlicherweise, wenn sie einen DSB haben, ist damit alles erledigt. Das stimmt aber nicht. Der DSB hat nur beratende Funktion. Die Maßnahmen muss der Unternehmer als Verantwortlicher durchführen, er kann sie nicht an den DSB weiterreichen. Das wird oft vergessen. Der Chef ist für alles verantwortlich. Arbeit kann er delegieren, die Haftung aber nicht.

Das könnte Sie auch interessieren:

Foto: © DHB (Anne Kieserling/Monika Weitz)Foto: © DHB (Anne Kieserling/Monika Weitz)


Eine Frage, die mir ebenfalls häufig gestellt wird ist: Kann die im Betrieb mitarbeitende Unternehmerfrau die Datenschutzbeauftragte sein? Das ist grundsätzlich nur erlaubt, wenn sie nicht in der Geschäftsführung, sondern angestellt arbeitet und weisungsgebunden ist, wie jeder andere Arbeitnehmer. Unter Umständen kann man das nur schwer nachweisen. Dann frage ich immer: Wie ist die Statusprüfung der Rentenversicherung ausgefallen? Hat die DRV eine Bescheinigung ausgestellt, dass die Frau Angestellte ist, kann man sich den Segen des Landesdatenschutzbeauftragten einholen. Als DSB muss sie sich mit IT und der DSGVO auskennen.

DHB: Viele denken ja, die DSGVO betrifft nur elektronische Daten.
Weitz: Das ist ein Irrtum! Betroffen sind auch alle Daten auf Papier. Stehen auf einem Auftragszettel zum Beispiel neben dem Namen des Kunden auch Kontaktinformationen zum Ansprechpartner, sind das personenbezogene Daten – und um die geht es. Die DSGVO unterscheidet nicht zwischen unternehmerischen und persönlichen Daten, das sind immer alles personenbezogene Daten.

Foto: © Ehmann FotografieFoto: © Ehmann Fotografie

DHB: Offenbar gibt es ja eine Menge Vorgänge, die datenschutzrelevant sind. Wie behalten Unternehmer den Überblick?
Weitz: Wenn ich in einen Betrieb komme, mache ich mit den Verantwortlichen zusammen eine Bestandsaufnahme, wo konkret personenbezogene Daten verarbeitet werden. Und dann erstellen wir einen Maßnahmenplan. Die Anforderungen hängen vom Einzelfall ab. Ein Beispiel aus meiner Praxis: Ein Betrieb nutzt GPS in Firmenautos. Die digitale Überwachung erfolgt anonymisiert mit Wagen-Nummern. Auf den ersten Blick unkritisch. Und dann lagen offen auf dem Tresen im Eingang ein Fahrzeug- und ein Auftragsbuch, in die jede Fahrt mit Namen, Ziel usw. eingetragen werden musste. Das war datenschutzrelevant und ich musste fragen, wie die Bücher gesichert sind und wer sie einsehen kann. Offene Regale sind da schwierig.

Oder Videokameras: Neue Hinweis-Schilder sind erforderlich. Werden Menschen gefilmt, braucht man u.U. eine Datenschutzfolgenabschätzung. Wenn ich sehe, dass ein PC nicht mit Passwort geschützt ist, oder der Sever im Büro frei zugänglich ist, sind dann technische und organisatorische Maßnahmen (TOM) zu ergreifen. Der Datenschutzbeauftragte entscheidet, was konkret passieren muss.

Pro und Contra Einwilligung für den Umgang mit personenbezogenen Daten

DHB: Kann sich der Unternehmer nicht einfach pauschal für alles die Einwilligung einholen?
Weitz: Das wäre ganz schlecht! Denn der Einwilligende kann ja auch immer widerrufen. Eine gute Nachricht: Ich brauche gar nicht für alles eine schriftliche Einwilligung! Im ganz normalen Geschäftsverhältnis muss der Kunde nur informiert werden, wie mit seinen Daten umgegangen wird. Das bedeutet, beim ersten Kontakt erhält er einen Hinweis über die Datenverarbeitung und auf die betriebseigene Datenschutz-Information. Die Veröffentlichung erfolgt am besten auf der Website. Es kann in der Fußzeile der E-Mail ein Link gesetzt werden zur Datenschutz-Information und auch auf Angeboten und Rechnungen. Die reine Information in einfacher Sprache genügt hier. Viele haben ja bereits eine Datenschutz-Erklärung auf der Website. Leider werden oftmals Muster verwendet, ohne Prüfung der Inhalte, das ist nicht datenschutzkonform.

Auch für die Lohnabrechnung der Mitarbeiter brauche ich keine Einwilligung, denn es betrifft das Beschäftigungsverhältnis. Anders sieht es aus, wenn ich einen Newsletter verschicke oder ein Gewinnspiel machen möchte. Da brauche ich die Einwilligung des Betroffenen schriftlich oder als sogenannte Double-Opt-in-Lösung.

DHB: Bei normalem Geschäftskontakt brauche ich also grundsätzlich keine Einwilligung?
Weitz: Genau. Zum Thema Einwilligung gab es zu Beginn der DSGVO ein großes Missverständnis bei manchen Unternehmen. Sie verschickten E-Mails mit dem Inhalt: "Lieber Kunde, wir wollen mit dir in Kontakt bleiben, bitte gib uns dein OK, dass wir weiter zusammenarbeiten können." Von 1000 Kontakten haben dann nur 200 eine Antwort geschickt. Damit hat sich der Absender selbst ein Bein gestellt, denn die anderen Kunden darf er jetzt nicht mehr kontaktieren. Richtig war die folgende Mail: "Lieber Kunde, wir behandeln deine Daten sorgfältig. Informationen findest du in unserer Datenschutz-Information. Du brauchst gar nichts zu tun. Nur wenn du nicht mehr mit uns arbeiten möchtest, melde dich bitte."

Das Interview führte Anne Kieserling

Ein besonderes Problem: E-Mails und Privathandys

Häufig gibt es Datenschutz-Probleme bei der Nutzung von E-Mails oder privaten Handys der Mitarbeiter. Wer eine E-Mail schreibt, verarbeitet nämlich automatisch Daten. Einen typischen Fall beschreibt Monika Weitz: "Der Chef schickt dem Mitarbeiter eine E-Mail mit dem Namen und der Adresse und Telefon-Nr. des Kunden auf sein Handy, damit der den Auftrag erledigt. Damit alles korrekt läuft, muss er dafür vorher in einer Smartphone-Nutzungsrichtlinie festlegen, wie mit den Daten umzugehen ist. Diese sollte zum Beispiel beinhalten, dass der Mitarbeiter die Daten auch vertraulich behandelt, dass er sie nicht unaufgefordert weiterleiten darf und wann sie zu löschen sind. Der Mitarbeiter muss informiert und geschult werden und natürlich muss er die Vertraulichkeitserklärung und Nutzungsrichtlinien persönlich unterschreiben. Diese verbleiben dann in der Personalakte.

Datenschutzbeauftragter soll Firmenhandys kontrollieren

Bei E-Mails gibt es noch das Problem, dass viele Betriebe E-Mail-Adressen mit den Namen der Mitarbeiter haben. Selbst wenn es sich um Abkürzungen handelt – Anfangsbuchstaben etwa – muss der Chef aus Datenschutzgründen die private E-Mail-Nutzung von Dienstadressen untersagen. Dafür gibt es dann eine Internet-Nutzungsrichtlinie. Wenn ein Mitarbeiter zu Hause arbeitet, ist eine Homeoffice-Nutzungsrichtlinie erforderlich. Der Chef muss die Arbeitnehmer informieren, sensibilisieren und schulen. Auch diese Nutzungsrichtlinien müssen vom Arbeitnehmer unterzeichnet sein und vervollständigen die Personalakte.

Die Einhaltung der Nutzungsrichtlinien muss in Form von regelmäßigen Stichproben überprüft werden. Und dabei geht es nicht nur um die privaten Endgeräte, auch die geschäftlichen, also etwa Firmenhandys. Die Kontrollen führt der Datenschutzbeauftragte durch. Es ist wirklich wichtig, die privaten E-Mails zu untersagen. Sonst hat der Unternehmer ein Problem mit dem Telekommunikationsgesetz, weil er dann Dienstanbieter ist. Scheidet der Mitarbeiter aus und will, dass seine Daten gelöscht werden, ist die große Frage: Darf er das verlangen oder geht das gegen die geschäftlichen Interessen des Unternehmens? Wenn der Arbeitgeber die Privatnutzung von E-Mails verboten hat, hat er schon mal einen Hebel in der Hand."

Text: / handwerksblatt.de

Das könnte Sie auch interessieren: