Auch wenn dem einen oder anderen von Ihnen diese Zeit kurz erscheinen mag: Kein Unternehmer wird sich darauf berufen können, er habe nicht gewusst, was auf ihn zukomme. Denn den Firmen blieben bis dahin genau zwei Jahre Zeit zur Vorbereitung . Und wer sich nicht konform verhält, dem drohen hohe Strafen: Bis zu 4 Prozent des Jahresumsatzes oder bis zu 20 Millionen Euro können im Extremfall ausgesprochen werden. Und die Konkurrenz wird auch nicht schlafen. Umso wichtiger wird es, möglichst rasch Maßnahmen zum Schutz personenbezogener Daten zu ergreifen. In diesem Zusammenhang ist es natürlich wichtig zu wissen, was eigentlich "personenbezogene Daten" sind und was man unter "Verarbeitung" versteht.
Was sind personenbezogene Daten?
"Personenbezogene Daten" sind laut Artikel 4 der DSGVO alle Informationen, die sich auf eine identifizierbare oder identifizierte Person beziehen. Es sind somit nicht nur offensichtliche Daten wie der Name oder die Adresse, sondern auch alle Daten, die zu dieser Person sonst noch erfasst und verarbeitet werden. Das wären zum Beispiel Interessen, Einkäufe, Hobbys, Bewegungsdaten, Teilnahmen an Veranstaltungen, Gewinnspiele usw. Zusammenfassend bedeutet es, dass jede erfasste Liste von Kunden, Interessenten, Mitarbeitern, die ein Unternehmen führt, als personenbezogene Daten anzusehen und zu schützen sind. Und es ist ganz egal, ob diese analog am Papier im Ordner liegen oder digital am Computer oder Handy gespeichert sind. Stellen Sie sich folgende Situation vor: Ein Kunde kauft bei Ihnen ein Auto und Sie schließen einen Kaufvertrag ab. Für die Abwicklung sind einige Daten des Kunden erforderlich. Biszur Erfüllung des Vertrages (wohl auch für die Dauer der Gewährleistungs-und Verjährungsfristen, die gesetzlichen Aufbewahrungspflichten etc.) dürfen die erforderlichen Daten auch ohne Zustimmung des Betroffenen gespeichert werden. Nun haben Sie handschriftliche Notizen über die Präferenzenund Hobbys des Kunden und möchten diese Informationen und die Vertragsdaten für Marketingzwecke über neue Automodelle und Aktionen verwenden. Nur: Diese Datenverwendung hat nichts mehr mit der eingangs erwähnten Vertragserfüllung zu tun. Daher müsste eine entsprechende Zustimmungserklärung vom Kunden eingeholt werden, eine Willenserklärung. Das heißt, eine vom Käufer bewusst abgegebene Erklärung, in der er sich mit der Datenspeicherung einverstanden erklärt. Und dabei gilt Schweigen grundsätzlich nicht als Zustimmung. Diese Erklärung muss einen transparenten Inhalt aufweisen. DerKunde muss genau wissen, welche Datenarten für welche Zwecke gespeichert werden sollen. Denn es gilt das Kopplungsverbot von Zustimmungen: Jede Verarbeitung von Daten muss extra angeführt werden. Sollte die Zustimmungserklärung auch eine Übermittlung an Dritte umfassen, so müssen auch der Übermittlungsempfänger und der Übermittlungszweck in der Zustimmungserklärung stehen. Natürlich kann der Kunde die Zustimmung jederzeit widerrufen.
Und die Daten aus alten Kundendateien?
Die DSGVO fordert hier die Datenminimierung, das "Recht auf Vergessenwerden". Persönliche Daten sind nur so lange aufzubewahren, wie sie unbedingt benötigt werden. Und das immer nur mit Zustimmung der betreffenden Person. Falls sie nicht vorliegt, muss diese im Nachhinein eingeholt und dokumentiert werden.
Die Mitarbeiter, welche Aufgabe haben sie? Jene Angestellten und Arbeiter, die in die Datenerhebung, -verarbeitung oder -nutzung eingebunden sind, verpflichten sich dem Datengeheimnis und müssen ausreichend geschult werden. Denn nicht selten ist zu beobachten, dass Räume mit Kundendaten über einige Minuten unbeaufsichtigt zugänglich sind. Nicht mehr benötigte Ordner mit Kundendaten sollten weggeschlossen und Computer gesperrt werden.
Unternehmer müssen Meldung machen Ihr Mitarbeiter hat zum Beispiel die Kundendaten auf dem Firmen-Tablet gespeichert. Leider wird ihm das Gerät unterwegs aus dem Auto gestohlen. Es ist nicht nur das Tablet weg ist, sondern damit auch die abgespeicherten personenbezogenen Daten. Kein Problem meinen Sie? In Zukunft muss der Unternehmer dies der Datenschutzbehörde und den betroffenen Personen melden, und das binnen 72 Stunden.
Was bis 25. Mai nicht ganz zu vergessen ist
DieÜbergangsfrist ist jetzt -und derzeit gilt das Datenschutzgesetz 2000. Dieses regelt ebenso den Schutz personenbezogener Daten (etwa E-Mail-Adresse, Geburtsdatum oder Telefonnummer). Für das Verwenden dieser Daten mussten schon bisher (und natürlich auch bis 25. Mai 2018) bestimmte Voraussetzungen erfüllt und Maßnahmen zum Datenschutz getroffen werden. Ein Verstoß gegen das Datenschutzgesetz 2000 kann ebenfalls Verwaltungsstrafen und gerichtliche Folgen nach sich ziehen. Die Unternehmer, egal welcher Größe, sollten das Datenschutzgesetz 2000 und die neue DSGVO als Chance sehen. Eine aufgeräumte Datenbank sorgt für eine bessere Übersicht sowie Kontrolle im eigenen Unternehmen und ist ein Vorteil dem Mitbewerber gegenüber. Firmen, die transparent arbeiten und personenbezogene Daten gewissenhaft behandeln und einsetzen, schaffen Vertrauen und können im Wettbewerb punkten. Gibtdas Unternehmen auf Nachfrage eine rechtskonforme Auskunft, fördert das den Kundenkontakt und sorgt infolge für ein positives Unternehmensimage. Und das Allerwichtigste: Die Kunden können spezifischer angesprochen werden und Informationen landen genau dort, wo sie erwünscht sind.
NEWS
Robuste und tönbare Schutzlackierung RAPTOR®
Die robuste und tönbare RAPTOR-Schutzlackierung von U-POL ist eine Lackierung aus Urethan mit großer Haltbarkeit. Sie ve...
