Interview Dina Richter zum Thema DSGVO und Unternehmen

Kürzlich haben wir Sie über das Ende der DSGVO-Übergangsfrist am 25. Mai 2018 informiert und Ihnen mit einer kurzen Checkliste wesentliche Arbeitsschritte näher gebracht. Heute freuen wir uns, Rechtsanwältin Dina Richter für ein Kurzinterview gewonnen zu haben, um Ihnen nun einen noch besseren Einblick in die neue Datenschutzgrundverordnung zu gewähren – wen es betrifft, was es zu beachten gibt und welche Empfehlungen sich daraus ableiten lassen.

Frau Richter, als Fachanwältin für Informationstechnologierecht kennen Sie sich mit dem Schutz von Daten hervorragend aus. Was kommt mit der neuen Datenschutzgrundverordnung auf Unternehmen zu?

Die Datenschutzgrundverordnung kurz DSGVO bzw. englisch General Data Protection Regulation GDPR, ist eine vom Europäischen Parlament, dem Rat der Europäischen Union und der Europäischen Kommission beschlossene Verordnung mit dem Ziel, die Rechte für EU-Bürger hinsichtlich des Datenschutzes zu stärken und zu vereinheitlichen.

Die konkrete Ziele dabei sind der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen sowie insbesondere deren Recht auf Schutz personenbezogener Daten. Dieser Rechtsrahmen ersetzt die bislang geltenden Rechtsnormen. Die neue EU-Datenschutzregelung soll vor allem das Recht in der EU vereinheitlichen. Es sollen grenzüberschreitend einheitliche Regelungen geschaffen werden, so dass der Schutz der Daten des Einzelnen gleich hoch ist, egal ob das Unternehmen, welches Daten erhebt oder verarbeitet in Irland, Spanien oder Deutschland sitzt.

Was sind denn personenbezogene Daten?

Das sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. "Identifizierbar"´ ist eine Person dann, wenn sie direkt oder indirekt, vor allem mittels Zuordnung zu einer Kennung, z.B. einem Namen, einer Kennnummer, Standortdaten oder anderen besonderen Merkmalen identifiziert werden kann. Darunter zählen insbesondere Name, Adresse, E-Mail-Adresse, Telefonnummer, Geburtstag, Kontodaten, Kfz-Kennzeichen, Standortdaten oder aber auch IP-Adressen und Cookies.

Für wen gilt die EU-DSGVO, welche Unternehmen sind davon betroffen?

Kurz gesagt und von wenigen Ausnahmen abgesehen, wird die neue DSGVO aus dem Bauch heraus 98 Prozent aller Unternehmen betreffen. Die Datenschutz-Grundverordnung gilt nämlich für Personen und Unternehmensformen jeglicher Art und Größe, die personenbezogene Daten von EU-Einwohnern verarbeiten. Damit ist jeder betroffen, der Daten in irgendeiner Weise „sammelt“. Hierfür genügt beispielsweise schon die monatliche Abrechnung der Gehälter, bei welcher Arbeitnehmerdaten genutzt werden oder aber der tägliche Geschäftsverkehr von Unternehmen, bei welchem Kunden- und Lieferantendaten genutzt werden.

Die DSGVO unterscheidet nicht zwischen B2B und B2C, sondern gilt nach Art. 2 Abs. 1 für beide gleichermaßen. Hintergrund dafür ist, dass die Datenschutz-Grundverordnung dem Schutz natürlicher Personen statt juristischer Personen gilt. Da jedoch die Versendung von Werbemitteln an B2B-Adressen in den meisten Fällen direkt an Funktionsträger der juristischen Personen, sprich personenbezogen erfolgt, finder die neue EU-Datenschutz-Grundverordnung auch hier Anwendung, sofern konkrete Personen wie Mitarbeiter angesprochen werden.

Was sollten Unternehmen Ihrer Meinung jetzt tun?

Das lässt sich pauschal gar nicht so leicht beantworten. Ihre Checkliste bietet einen guten ersten Einstieg. Der Teufel steckt dann jedoch wie immer im Detail und unterscheidet sich von Unternehmen zu Unternehmen sehr stark. Um einen groben Rahmen zu ziehen, empfehle ich zunächst einmal zu schauen, wo bislang Daten erhoben, verarbeitet und gespeichert werden. Das läuft oft ganz automatisch im Alltag, z.B. beim Thema E-Mail. Dann sollte man sich die Fragen stellen, ob man diese Informationen überhaupt braucht, wer sie verarbeitet und wie sie gespeichert werden und vor allem wie lange man diese Daten für die Erfüllung seines Zwecks benötigt und ob es gesetzliche Vorgaben für die jeweilige Berufsgruppe gibt. Der Grund für diese Dokumentation liegt darin begründet, dass die betroffene Person das Recht auf Auskunft über die zu seiner Person gespeicherten hat und nunmehr durch die DSGVO das weitergehende Recht erhält eine Datenkopie der gespeicherten Daten zu verlangen. Die Dokumentation dieser Prozesse wird im Streitfall abgefragt und sollte daher zumindest vorhanden und konkret genug beschrieben sein. Wenn man hier gar nichts vorzulegen hat, kann das sehr schwierig werden, da Bußgelder drohen.

Wenn man gar nichts vorzulegen hat, kann das sehr schwierig werden!

Dina Richter

Viele Punkte der DSGVO betreffen die digitale Datenverarbeitung und somit zu einem Großteile die zu Grunde liegende Technik. Wie können sich Unternehmen hier vorbereiten?

Das ist richtig. Aber auch hier hängt es entscheidend davon ab, welche Daten in welchem Umfang und wie verarbeitet werden. Die DSGVO schützt zum Beispiel personenbezogene Daten von Minderjährigen in besonderem Maße und legt z.B. wesentlich strengere Regeln für den Umgang mit medizinischen Daten fest. Insbesondere gelten auch für verschiedene Berufsgruppen verschiedene gesetzliche Aufbewahrungsfristen, so dass im Einzelfall geschaut werden muss, wer, wie lange, welche Daten speichern darf. Grundsätzlich gilt - wie auch vor der DSGVO- das Gebot der Datenvermeidung und Datensparsamkeit. Dieser Grundsatz sieht vor, dass bei der Datenverarbeitung nur so viele personenbezogene Daten gesammelt werden, wie für die jeweilige Anwendung unbedingt notwendig sind. Es sollten nur so viele Daten gespeichert werden wie nötig. Wer wirklich auf Nummer sicher gehen und das eigene Risiko für eine Verletzung der DSGVO senken will, sollte sich eine Rechtsberatung suchen, einem Audit unterziehen und dabei einen Vertreter des eigenen IT-Dienstleisters unbedingt dabei haben.

Frau Richter, haben Sie vielen Dank für Ihre Einschätzungen.

Sie haben Fragen an uns, benötigen einen Ansprechpartner für einen DSGVO-Audit oder möchten sich über unsere Angebot zu den Themen Email-Archivierung, Aktualisierung der Datenschutzerklärung auf Ihrer Website, Erstellung des Verfahrensverzeichnisses nach EU-DSGVO , Überprüfung der Konformität nach IT-Grundschutz bzw. ISO 27001 auf der Basis von IT-Grundschutz, Expertenberatung und Teilnahme an DSGVO Audit informieren, dann rufen Sie uns an +49 (0) 341 355 955 950 oder schreiben Sie eine Email an info@qitec.de