Der Datenschutz wird oftmals, vor allem in mittleren und kleineren Betrieben, immer noch etwas stiefmütterlich behandelt. Dabei muss es jedem Unternehmer klar sein, dass er tagtäglich mit dem Datenschutz in Berührung kommt. So kommen in jeder Kfz-Werkstatt datenschutzrechtlich relevante Sachverhalte vor, sei es, dass Kundendaten gespeichert werden, um die Kunden gezielt auf den nächsten Inspektionstermin hinzuweisen oder um nach einem Werkstattbesuch die Zufriedenheit abzufragen. Zudem ist zu beachten, dass der Datenschutz nicht nur für Kundendaten gilt, sondern auch für die Daten der eigenen Arbeitnehmer.
Und die Regelungen werden wieder einmal ausgeweitet. Ab dem 25.05.2018, also in etwa 9 Monaten, gilt die neue EU-Datenschutzgrundverordnung (EU-DS-GVO). Durch diese wird der Datenschutz europaweit harmonisiert. Nachfolgend werden wir Ihnen kurz aufzeigen, welche Änderungen auf Betriebe zukommen und welche Schritte jetzt schon eingeleitet werden sollten.
1. Für wen gilt die EU-DSGVO?
Die neue EU-DSGVO gilt für alle in der EU ansässigen Unternehmen. Das bedeutet, die Größe des Unternehmens, sei es ein Ein-Mann-Betrieb oder ein weltweit agierender Konzern, ist irrelevant, der Datenschutz gilt für alle. Wichtigster Anknüpfungspunkt für den Anwendungsbereich der EU-DSGVO sind die personenbezogenen Daten. Hierunter sind alle Daten zu verstehen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Solche personenbezogenen Daten sind beispielsweise:
- Name
- Adresse
- Geburtstag
- E-Mail-Adresse
- Telefonnummer
- Kontodaten
- Kfz-Kennzeichen
- IP-Adresse
Somit gilt für jeden Unternehmer, der in seinem Kfz-Betrieb die obengenannten Daten von Kunden oder auch Mitarbeitern in irgendeiner Weise verarbeitet, die EU-DSGVO. Folglich sind die Neuerungen bis zum 25.05.2018 auch in Ihrem Betrieb umzusetzen.
2. Die Grundsätze des bisherigen Bundesdatenschutzgesetzes
Ein Gutes vorneweg, da das Datenschutzrecht in Deutschland schon derzeit auf einem sehr hohen Niveau ist, sind die Neuerungen durch die EU-DSGVO nicht allzu gravierend. Nachfolgend eine kurze Darstellung der wichtigsten Grundsätze, die auch zukünftig weiterhin Bestand haben.
Verbot mit Erlaubnisvorbehalt:
Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist grundsätzlich verboten, es sei denn, Sie haben eine Erlaubnis. Eine solche kann aus einer ausdrücklichen Einwilligung der betroffenen Person oder einem Gesetz entstehen.
Datensparsamkeit und Zweckbindung:
Es dürfen nur so viele Daten erhoben und verarbeitet werden, wie auch tatsächlich benötigt werden. Sie dürfen die Daten nur zu dem Zweck verarbeiten, zu dem Sie sie erhoben haben.
Datenrichtigkeit:
Sie müssen die Daten inhaltlich und sachlich richtig und aktuell halten.
Recht auf Löschung:
Auch die neue EU-DSGVO sieht vor, dass Kunden ein Recht darauf haben, dass ihre personenbezogenen Daten gelöscht oder gesperrt werden.
Datenschutzbeauftragter:
Nach derzeit geltendem Recht müssen Betriebe, in denen zehn oder mehr Personen ständig mit der Bearbeitung personenbezogener Daten mittels EDV beschäftigt sind, einen Datenschutzbeauftragten bestellen. Hier sind also insbesondere Beschäftigte heranzuziehen, die z.B. ständig mit dem Dealer-Management-System arbeiten, den Lohn der Mitarbeiter erstellen oder täglich in anderer Weise Kundendaten verarbeiten. Diese Regelung wird auch nach der EU-DSGVO beibehalten. Dem Unternehmer ist freigestellt, ob er einen externen oder einen internen Datenschutzbeauftragten bestellt. Mitarbeiter, die als interner Datenschutzbeauftragter bestellt werden, genießen einen besonderen Kündigungsschutz.
3. Was ist neu und zu beachten?
Datensicherheit:
Die EU-DSGVO verlangt von allen Unternehmen, geeignete technische und organisatorische Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit zu implementieren. Das heißt im Klartext: Die Maßnahmen müssen für das spezifische Risiko der Datenverarbeitung im jeweiligen Unternehmen angemessen sein. Wann genau eine Maßnahme angemessen ist, kann so pauschal nicht beantwortet werden und richtet sich nach dem Stand der Technik, den Implementierungskosten, der Unternehmensgröße und anderen Umständen.
Rechenschaftspflicht:
Eine große Änderung bringt für Sie als Unternehmer die Rechenschaftspflicht. Ab Umsetzung der EU-DSGVO müssen Sie auf Nachfragen der Aufsichtsbehörden jederzeit den Nachweis erbringen können, dass Sie bei der Verarbeitung von personenbezogenen Daten die Anforderungen und Datenschutzgrundsätze der EU-DS-GVO einhalten. In der Praxis führt das zu einer Beweislastumkehr, sodass nicht mehr die Behörde dem Unternehmer ein Fehlverhalten nachweisen muss, sondern dieser, dass er sich regelkonform verhält.
Tipp: Zukünftig wird es nötig sein, dass ein Datenschutzmanagementsystem eingerichtet wird und dass gegenüber der Aufsichtsbehörde die Einhaltung der Datenschutzanforderungen dokumentiert wird.
Datenschutzverstöße:
Zukünftig müssen alle Datenschutzpannen innerhalb von 72 Stunden nach Kenntnis bei der Aufsichtsbehörde gemeldet werden. Zudem sind auch die Betroffenen zu benachrichtigen.
Sanktionen:
Wurden Datenschutzverstöße bislang eher milde sanktioniert, so soll sich das nun drastisch ändern. Die EU-DSGVO sieht Bußgelder bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes vor. Um solchen Sanktionen zu entgehen, ist hier dringend Vorsicht und gegebenenfalls Anpassungsarbeit geboten!
4. Was Sie als Unternehmer konkret tun müssen
Um im Mai 2018 nicht vollkommen von der EU-DSGVO überrumpelt zu werden, sollten Sie sich als Unternehmer auf eine Umstellung vorbereiten und sich folgende Fragen stellen:
- Welche personenbezogenen Daten liegen im Unternehmen vor?
- Werden diese Daten tatsächlich benutzt oder muss eine Löschung erfolgen?
- Welche dieser Daten dürfen rechtmäßig genutzt werden?
- Welche Maßnahmen zur Datensicherung gibt es bereits im Unternehmen?
- Muss ich bestehende Strukturen an die neue EU-DSGVO anpassen?
- Oder muss ich gegebenenfalls erstmals Datenschutzrichtlinien im Unternehmen implementieren?
Kommentar
Im ersten Moment denkt man, welches neue Bürokratiemonster wurde mal wieder geschaffen und mit was muss ich mich als Unternehmer noch alles rumschlagen. Doch es ist halb so wild. Diejenigen Unternehmer, die bisher schon die Vorgaben des Datenschutzes einhalten, müssen nur die bestehenden Datenschutzrichtlinien an die neuen Strukturen anpassen. Für diejenigen Unternehmer, die hingegen bisher den Datenschutz eher auf die leichte Schulter nehmen, besteht in höchstem Maße Anpassungsbedarf, da die neuen Sanktionen gegebenenfalls existenzbedrohend sein können.Barbara Lux-Krönig, Wirtschaftsprüferin Steuerberaterin
- Ausgabe 09/2017 Seite 50 (304.3 KB, PDF)