Datenschutzgrundverordnung Wie sollen Unternehmen mit der DSGVO umgehen?

Manche halten die Datenschutzgrundverordnung für ein Bürokratiemonster – andere finden: Es gibt schlimmere Ungeheuer. Foto: Kostas Koufogiorgos

Waiblingen. Dies sei das grausigste Brüsseler Bürokratiemonster seit Erfindung der Gurkenkrümmung – derlei hört man seit Monaten über die sogenannte Datenschutzgrundverordnung. Von solch brachialem Alarmismus wohltuend weit entfernt, dafür gespickt mit handfesten Praxis-Tipps war ein Vortrag im Waiblinger IHK-Haus.

„Vor zwei Monaten war ich noch sehr viel vorsichtiger“, sagt Matthias Führich. Allerorten herrschte „große Unsicherheit“, teils „Angst: Hab’ ich jetzt genug gemacht?“ Seit Ende Mai aber ist die DSGVO in Kraft – und der Rechtsreferent bei der IHK Rems-Murr hat festgestellt: Die Aufsichtsbehörden fallen jetzt nicht gleich mit Karacho über arglose Mittelständler her, sondern „gucken sich erst mal die Großen an“.

„Die Abmahnwelle ist bisher ausgeblieben“

Und was ist mit den berüchtigten Abmahnvereinen, die das Netz nach Verstößen durchkämmen und hinterrücks Betrieben an die Gurgel gehen? „Die Abmahnwelle ist bisher ausgeblieben.“ Im Rems-Murr-Kreis sind der IHK ganze zwei Fälle bekannt geworden – in beiden war, wie sich herausstellte, der Verband, der sich da so aufblies, in Wahrheit „überhaupt nicht legitimiert“.

Die größere Gefahr seien derzeit „windige Dienstleister“, die erst „Angst schüren“ und dann – „übrigens, wir haben da ein Angebot, sehr kostengünstig“ – Beratungen verdealen, die „das Geld nicht wert sind“.

Die Datenschutzgrundsätze EU-weit auf ein einheitliches Niveau zu bringen: Die Grundidee der DSGVO leuchtet ein, zumal die Sorge, dass beim einen oder anderen Konzern „der Umgang mit Daten außer Kontrolle gerät“, ja nicht ganz von der Hand zu weisen ist.

Im Kern ein recht schlichtes Prinzip

Das im Kern recht schlichte Prinzip der DSGVO lautet: Unternehmen und Behörden, die mit personenbezogenen Daten hantieren (seien es schlichte Adressen oder heikle medizinische Informationen, Sozialversicherungsnummern oder Bankverbindungen, Kontostände oder Religionszugehörigkeiten), müssen gewisse Regeln beachten. Die Schlüsselfrage lautet also: „Was muss ich jetzt machen, damit ich ungeschoren davonkomme?“ Führich empfiehlt, vier „Hausaufgaben“ zu erledigen.

  • Jedes Unternehmen sollte prüfen, ob es einen Datenschutzbeauftragten bestellen muss – de facto brauchen „die wenigsten der kleinen und mittleren Betriebe“ so einen Zuständigen. Er ist nämlich nur für jene Unternehmen nötig, in denen mindestens zehn Beschäftigte „ständig mit automatisierter Datenverarbeitung beschäftigt sind“: Kundenaufträge bearbeiten, Kundenbeschwerden entgegennehmen, Newsletter versenden und so weiter. Der Datenschutzbeauftragte muss kein Angestellter, es kann auch ein externer Dienstleister sein. Eine Liste seriöser Anbieter gebe es via http://wis.ihk.de.
  • Ein „Verarbeitungsverzeichnis zu erstellen“, sei Pflicht erst für Unternehmen ab 250 Mitarbeitern – aber „ich empfehle es wärmstens“ auch kleineren, sagt Führich. Damit habe man im Falle einer Kontrolle „sehr viel bessere Karten“ und könne belegen, dass man sich Gedanken gemacht habe. So ein Verzeichnis listet alle Abteilungen im Haus auf, die mit personenbezogenen Daten hantieren (von der Lohnabrechnung bis zum Internetseiten-Team), beschreibt, welche Arbeiten da erledigt werden (von der Gehaltsauszahlung bis zum Online-Vertrieb), benennt jeweils einen Ansprechpartner und noch dies und das. Oh je, das füllt bestimmt einen Leitz-Ordner, oder? „Es ist sehr viel weniger Aufwand, als wir am Anfang dachten“ – oft reiche ein einziges Din-A-4-Blatt, gute Mustervorlagen gebe es auf www.lda.bayern.de/infoblaetter.html.
  • Eine Datenschutzerklärung zu erstellen, daran führt kein Weg vorbei. Sie gehört unbedingt auf die Webseite – im geschäftlichen E-Mail-Verkehr genügt es dann, den Link auf den Text unten anzuhängen. All das ist „kein Hexenwerk“: Wer’s „sehr ausführlich“ mag, kann sich aus den vielen verschiedenen Mustervorlagen auf www.uni-muenster.de/Jura.itm/hoeren/lehre/materialien die perfekt passende aussuchen. Die knackigere Variante ist der Erklärungs-Generator unter https://dsgvo-muster-datenschutzerklaerung.dg-datenschutz.de: Man gibt dort ein, mit welchen Personendaten der Betrieb umgeht und was er damit macht – und die Maschine spuckt einen Text aus.
  • Was tun, wenn ein Kunde Auskunft fordert, welche Daten über ihn im Unternehmen gespeichert sind? Zackig antworten: binnen 30 Tagen. Dabei hilft es, wenn für solche Fälle vorab betriebliche Ablauf-Standards definiert werden.

Aber Moment: Bei Verstößen gegen die DSGVO drohen doch bis zu 20 Millionen Euro Geldbuße! Je nun, sagt Führich, die Höchststrafe ist nur für so haarsträubendes Fehlverhalten gedacht, „dass man sich an den Kopf greift“ – im Normalfall „werden Sie höchstwahrscheinlich erst mal nur verwarnt“. Zusammengefasst: „Das ,Handbuch des Datenschutzrechts’, den Wälzer für 60 Euro, das brauchen Sie nicht.“


Und noch zwei Tipps:

  • Wie umgehen mit Whatsapp? „Im Geschäftsverkehr vermeiden, soweit es möglich ist“, empfiehlt IHK-Rechtsreferent Matthias Führich. Im Übrigen: „Private Dinge auf dem Privathandy erledigen, geschäftliche Dinge auf dem Geschäftshandy.“
  • Was tun bei einer Datenpanne? Angenommen, Sie vergessen ihr mit Kundendaten vollgepacktes Laptop in der S-Bahn – dann müssen Sie binnen 72 Stunden die zuständige Aufsichtsbehörde informieren.

Info:

Wer Fragen zur DSGVO hat, kann sich wenden an die IHK-Bezirkskammer Rems-Murr, Matthias Führich, ) 07 11/20 05 87 46, matthias.fuehrich@stuttgart.ihk.de.

  • Bewertung
    6
 

Heute in Ihrer Tageszeitung

  • Waiblinger Kreiszeitung
  • Schorndorfer Nachrichten
  • Winnender Zeitung
  • Welzheimer Zeitung
Lust auf mehr?

Lesen Sie Ihre Zeitung immer und überall digital: Hier ePAPER-Angebote entdecken!