Fragen und Irrtümer zur Datenschutz-GrundVO
Hier einige Fragen, die uns in den vergangenen Wochen im Rahmen der Beratung immer wieder gestellt wurden und Irrtümer, die sich bei vielen Mitgliedsbetrieben zum Thema Datenschutz-GrundVO eingeschlichen hatten:
„Wir verarbeiten doch gar keine personenbezogenen Daten. Wir verkaufen nur Dienstleistungen, Geräte und Materialien!“
So einfach liegt der Fall leider nicht. Auch wenn der Schwerpunkt der Tätigkeit nicht in der Verarbeitung und Speicherung von personenbezogenen Daten liegt, werden doch Daten der Mitarbeiter und der Kunden erhoben, verarbeitet und in einer digitalen oder analogen Datenbank gespeichert. Außerdem werden E-Mails gelesen oder geschrieben und das Kontaktformular auf der Webseite im Internet wird von durch Personen ausgefüllt. Gegebenenfalls werden Personen auf dem Betriebsgelände von einer Videoüberwachung erfasst oder es werden Kunden als Werbe- oder Marketingmaßnahme per Mail oder normaler Post angeschrieben. Allein schon diese Beispiele verdeutlichen, dass wohl jedes Unternehmen personenbezogene Daten verarbeitet und somit die Regelungen der DSGVO zu beachten hat.
Gilt die DSGVO auch dann, wenn die Kundendaten lediglich auf Karteikarten notiert sind?
Die Antwort lautet : Ja, jedenfalls dann, wenn die Papierform eine strukturierte Sammlung von personenbezogenen Daten enthält. Die DSGVO bezieht sich nicht lediglich auf die digitale Verarbeitung von Daten, sondern gilt gleichermaßen auch für Daten in Papierform und eine analoge Verarbeitung.
Muss ich nun jeden Kunden aus meiner Datei oder Kartei wegen einer Datenschutzerklärung anschreiben und dessen Einwilligung zur Fortschreibung meiner Kundendaten einholen?
Eine sehr häufige Frage, deren Antwort sich leider aus den meisten verfügbaren Informationen zur DSGVO nicht hinreichend klar herauslesen lässt. Die Antwort lautet: Nein.
Es besteht zwar bei jeder Erhebung von personenbezogenen Daten von Kunden die Verpflichtung, diese entsprechend der Vorgaben der DSGVO u.a. über die Verarbeitung und Speicherung der Daten zu informieren. Soweit die Daten der (Bestands-)Kunden jedoch bereits vor dem Inkrafttreten der DSGVO am 25.05.2018 erhoben wurden, ist es nicht notwendig, diese aktiv anzuschreiben und eine Standardinformation zum Datenschutz zuzusenden. Erst wenn Daten (neu) erhoben werden, d.h. also von Neukunden oder Bestandskunden, mit denen es einen neuen vertraglichen oder vorvertraglichen Kontakt gibt, muss die betroffene Person entsprechend der Vorgaben der DSGVO (Art. 13 DSGVO) informiert werden. Ein Muster für diese Information nach Art. 13 DSGVO finden Sie hier. Diese Information sollte zu etwaigen Beweiszwecken einem schriftlichen Angebot bzw. Kostenvoranschlag beigefügt oder im Falle eines persönlichen Kontaktes mit dem Kunden diesem zur Kenntnisnahme und möglichst zur Unterschrift vorgelegt werden. Das Original sollte sodann zu den Unterlagen genommen werden.
Was ist das Wichtigste zur Umsetzung des Datenschutzes - worum muss ich mich tatsächlich zwingend kümmern?
Soweit ein Unternehmen eine Webseite im Internet unterhält, ist die Einstellung einer DSGVO-konformen Datenschutzerklärung mit Sicherheit einer der wichtigsten Schritte zur Umsetzung der Pflichten, da durch die Außenwirkung die Einhaltung des Datenschutzes im Fokus von Abmahnwilligen und -Berechtigten steht. Hier lohnt es sich, möglichst schnell eine Datenschutzerklärung zu erstellen, die –je nach Aufbau der Webseite, welche Bestandteilen und Tools dort aktiv sind- entsprechende Formulierungen enthalten muss. Ist man sich hier nicht sicher, sollte bis zur Erstellung einer ausreichenden Datenschutzerklärung notfalls die Webseite für ein paar Tage „offline“ geschaltet werden.
Der zweitwichtigste Schritt ist die oben dargestellte Information der Kunden bei Erhebung deren personenbezogenen Daten.
Reicht es zur Erfüllung des Datenschutzes nicht, wenn wir regelmäßig Backups durchführen?
Nein, das reicht leider nicht. Datenschutz ist nicht gleichzusetzen mit IT-Sicherheit. Das Ziel des Datenschutzes und insbesondere der neuen DSGVO ist der Schutz von natürlichen Personen hinsichtlich ihrer personenbezogenen Daten. Es geht um die Sicherstellung der in der DSGVO festgelegten Grundsätze zur Verarbeitung von personenbezogenen Daten wie u.a. : Transparenz, Rechtmäßigkeit, Zweckbindung Datenminimierung, Vertraulichkeit und Rechenschaftspflichten. Die IT-Sicherheit spielt letztlich auch eine Rolle, wenn es beispielsweise darum geht, wie die Daten verarbeitet und gespeichert werden und in welcher Form und mit welchen Sicherheitsmaßnahmen eine Weitergabe von Daten an Dritte wie z.B. den Steuerberater stattfindet.