//Letzte Ausfahrt DSGVO Teil 3

Letzte Ausfahrt DSGVO Teil 3

Kurz vorm Abbiegen – noch Fragen? 

Noch einmal kurz wiederholt, worum es bei der DSGVO geht:

Die (DSGVO) Datenschutzgrundverordnung soll natürliche Personen bei der Verarbeitung ihrer Daten schützen und enthält Regelungen auch  zum freien Verkehr personenbezogener Daten. Für Unternehmen ist letzteres der wichtige Aspekt. Zukünftig kann Werbung entweder auf eine Einwilligung oder aber auch auf eine Interessenabwägung gestützt werden. Die Verordnung erkennt an, dass „die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden kann“. 

Vorab: der Stichtag ist am Freitag, 25. Mai 2018, dann läuft die Übergangsfrist zur Anwendung der DSGVO ab. Ab dem Stichtag  wird die EU-Datenschutzgrundverordnung, die schon am 24.05.2016 in Kraft getreten ist,  anzuwenden sein. Gleichzeitig treten das geltende BDSG außer Kraft und das neue BDSG in Kraft. 

Soweit so gut, jedoch: Was muss ich im Unternehmen beachten, wenn ich bislang noch keine Prozesse definiert habe?

Hier raten die Experten:  Ruhe bewahren und anfangen! Priorisieren, planen, umsetzen & kontrollieren.

Wir haben auf den letzten Metern der Ausfahrt bei Hannah Seiffert, Rechtsanwältin und Expertin für Datenschutzbelange zum Schwerpunkt DSGVO kurz vor dem gefühlten Finale nachgefragt.

Frage: Ab wann können Sanktionen greifen?

H. Seiffert: Ab sofort. Es wird sich zeigen, ob und wie die Aufsichtsbehörden von ihrem neuen scharfen Schwert Gebrauch machen wird. Die Angst der KMUs, dass die Aufsichtsbehörden bei ihnen einfallen und Bußgelder verhängen, ist unbegründet. Die ganze Aufregung zeigt, wie schlecht vorbereitet vor allem die KMUs sind. Die Hilfestellungen der Kammern, Innungen, Verbände etc. war bisher ungenügend. Es fehlt an Praxisbezug.

Frage: Wie dokumentiere ich die Vorgaben der DSGVO am besten?

H. Seiffert: Grundsätzlich immer alles schriftlich. Es finden sich diverse Dokumentationspflichten in der DSGVO. Für KMUs gibt es aber bspw. eine Ausnahme von der Pflicht, ein Verarbeitungsverzeichnis führen zu müssen. Ein weit verbreiteter Irrglaube bei KMUs ist, dass die DSGVO nicht für sie gilt. Das ist nicht richtig. Ich empfehle auch allen Firmen sich über die internen Verfahren, Systeme etc. Gedanken zu machen und diese zu dokumentieren. Für KMUs bietet sich hier zudem die Chance, den eigenen Digitalisierungsprozess anzustoßen, Ballast abzuwerfen und neue Geschäftsideen zu entwickeln…

Frage: Welches Argument/Aussage im Zusammenhang der DSGVO hören Sie immer wieder, welche definitiv falsch  ist?

H. Seiffert: Spontan fällt mir da der Klassiker ein„Die DSGVO ändert ja so viel“. Da kann man nur sagen: Nein nicht unbedingt; eigentlich ändert sich nicht so wahnsinnig viel, die Firmen haben nur vorher schon zu wenig an Prozessen aufgesetzt.

Frage: Wer muss sich speziell im B2B Marketing schulen lassen?

H. Seiffert: Klare Sache, alle Mitarbeiter mit Kunden-/Datenkontakt müssen up to date sein. Besonders Marketingmitarbeiter haben täglich mit personenbezogenen Daten zu tun. Sie gehören sicherlich zu denjenigen, die -auch in ihrem eigenen Interesse – absolut fit sein müssen.

Frage: Thema Website: auf welche Bereiche muss ich beim Update besonders achten?

H. Seiffert: Die Datenschutzerklärung auf der Website ist anzupassen, wenn ein betrieblicher Datenschutzbeauftragter benannt ist, da die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen sind.

Zu beachten sind unbedingt Cookies und Tracking-Tools etc. auf der Website. Hier hat kürzlich ein Papier des Gremiums der Aufsichtsbehörden in Deutschland – die Datenschutzkonferenz – für Wirbel gesorgt. Die Datenschutzkonferenz will hier die bisherige Grundlage für das Tracking  – das Telemediengesetz – nicht mehr anwenden. Sie verlangen in dem Papier, dass eine sog. informierte Einwilligung „bevor Cookies platziert werden bzw. auf dem Endgerät des Nutzers gespeicherte Informationen gesammelt werden“ eingeholt wird. Link zu Paper:

https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Technik/Inhalt/TechnikundOrganisation/Inhalt/Zur-Anwendbarkeit-des-TMG-fuer-nicht-oeffentliche-Stellen-ab-dem-25_-Mai-2018/Positionsbestimmung-TMG.pdf

Frage: Und wer ist zuständig für die Pflege der Website?

H. Seiffert: Die wenigsten Unternehmen haben überhaupt eine Idee, was bei ihnen alles so mitläuft. Da das Nichtwissen aber nicht vor Strafe schützt, sollten die Unternehmen hier die Verantwortlichkeiten klären. Für die Pflege der Website-Infrastruktur gibt es oftmals keinen richtigen Ansprechpartner innerhalb des Unternehmens. Alle können ggf. etwas dort einpflegen, aber alles andere macht irgendwer oder „die Agentur“. Die Agenturen müssen hier klarer in die Verantwortung genommen werden und ihre Kunden informieren, wann und was alles an Tools auf der Website mitläuft.

Frage: Was sind die wichtigsten 5 Schritte für KMUs nach dem 25.Mai?

H. Seiffert: Das kommt natürlich immer auf die Branche an. Ich unterstelle einmal, dass die wesentlichen Dokumentationen vorliegen und aufgrund der guten Vorbereitung weiß ich, wo, wie und durch wen bei mir personenbezogene Daten verarbeitet werden. Dann halte ich es für sinnvoll, ein paar Szenarien vorab durchzuspielen, um im Ernstfall dann richtig reagieren zu können. Dazu gehört

– auf Kunden- und Mitarbeiteranfragen vorbereitet zu sein

– Kunden- und Mitarbeiteranfragen (zeitnah) beantworten zu können

– Auftragsverarbeitungsverträge für eigene Dienstleistungen vorzuhalten

– Werbemaßnahmen zu überprüfen und anzupassen

– Mitarbeiter fit zu machen und entsprechendes Material zur Verfügung stellen zu können

Nach dem Spiel ist vor dem Spiel: Datenschutzmaßnahmen sind ja aufgrund der Gesetzgebung aber sicher spätestens seit dem medialen Dauerregen aus DSGVO Blöcken kein neues Thema mehr. Es heißt also in der Tat regelmäßig planen, umsetzen und prüfen. 

Vielen Dank für das Gespräch!

_______________________________________________________________

Übrigens: Für fast die Hälfte aller Unternehmen in Deutschland (46 Prozent) ist die Nutzung personenbezogener Daten  Grundlage des Geschäftsmodells. Das ist das Ergebnis einer repräsentativen Befragung unter mehr als 500 Unternehmen im Auftrag des Digitalverbands Bitkom.

Im Vertrieb und im Marketing spielt die Nutzung personenbezogener Daten die größte Rolle. Zwei von drei Unternehmen, also 65 Prozent benennen dies so. Vier von zehn, also 40 Prozent geben an, dass sie Produkte oder Dienstleistungen mit Hilfe von Personendaten verbessern. Neun von zehn Unternehmen (91 Prozent) erklären, dass sie personenbezogene Daten verarbeiten, um Verträge abzuwickeln. Für 80 Prozent der Unternehmen fallen Personendaten bei der Bestandskundenpflege an. Drei von vier Unternehmen verarbeiten personenbezogene Informationen für IT-Sicherheitszwecke. 62 Prozent aller Firmen setzen auf Personendaten, um neue Kunden zu gewinnen.

2018-05-25T10:04:53+00:00

Hinterlassen Sie einen Kommentar