Ist eine Säule Ihres Geschäftsmodells nicht schon längst der verantwortungsvolle Umgang mit den Daten Ihrer Kunden und Mitarbeiter? Und kennen Sie Ihr Geschäftsmodell gut genug?

 Gegenwärtig gibt es viel Gejammer und Gestöhne zum Thema Datenschutz. Mischt sich mit Ängsten, viel Halbwissen und Diskussionen zur neuen Gesetzeslage in der Europäischen Union und deren zukünftigen Auswirkungen für Unternehmen und Vereine. Woran das liegt? Viele haben die zweijährige Übergangsfrist nicht genutzt, ihre Geschäftsprozesse zu überdenken, der Zeit anzupassen, sich dem Kunden und Mitarbeiter hinzuwenden. Am 25. Mai 2018 ist es nun soweit: Die neue Datenschutzgrundverordnung der EU (DSGVO) wird wirksam. Und dies betrifft irgendwie so ziemlich jeden Unternehmer.

Insbesondere die Dokumentationspflichten für das Verzeichnis der Verarbeitungstätigkeiten (VVT) stellen scheinbar eine große Herausforderung dar. Dabei ist doch „nur“ zu beschreiben wie man arbeitet! Man beschreibt sein eigenes Geschäftsmodell und sorgt für Klarheit wie gut man für die Zukunft gerüstet ist. Idealerweise greift man sogar auf das bestehende Verfahrensverzeichnis zurück. Datenschutz wird ja dieses Jahr nicht neu erfunden. Aber selbst wenn es bisher versäumt wurde ein solches zu erstellen: Einfach jetzt anfangen.

 

Dazu möchte ich hier mal einen einfachen und praktikablen Ansatz liefern.

Wenn ich als Unternehmer mit personenbezogenen Daten arbeite, sei es mit Daten von Mitarbeitern oder Kunden, so muss ich mit diesen mir anvertrauten Daten sorgsam umgehen. Respektvoll. Das ist das Prinzip des ehrbaren Kaufmanns.

Durch die Datenschutzgesetze, die es schon einige Jahre gibt, ist dies deutlich geregelt. Auch heute schon ist das Bundesdatenschutzgesetz recht umfangreich und deutlich – nicht alles ist plötzlich erst jetzt da und neu! Ein wesentlicher und neuer Faktor bei der Datenschutzgrundverordnung ist nun die Dokumentations- und Rechenschaftspflicht.

Man steht jetzt nicht nur in der Pflicht, sich an die Datenschutzgesetze zu halten, sondern ist als Verantwortlicher auch in der Beweispflicht, dass man sich an die Datenschutzgesetze hält. Und ein funktionierendes Datenschutzmanagement im Unternehmen eingeführt hat.

Über das Verzeichnis der Verarbeitungstätigkeit (VVT) muss beschrieben werden, wie und warum man welche Daten verarbeitet. Das sollte niemanden schwerfallen. Denn sein eigenes Geschäftsmodell sollte man schon kennen.

Gebe ich personenbezogene Daten an ein anderes Unternehmen weiter, damit dieses die Daten im Auftrag verarbeitet, so muss ich auch hier beschreiben können, wie ich geregelt habe, was das beauftragte Unternehmen mit den von mir übermittelten Daten machen darf. Denn es sind ja nicht meine Daten, sondern die Daten meiner Kunden oder Mitarbeiter. Also bin ich auch in diesem Fall verantwortlich (und sollte es beschreiben können), dass derjenige, der diese Daten in meinem Auftrag verarbeitet, es sorgfältig und datenschutzkonform tut. Dies sollte bereits im Vertrag der Beauftragung wiederzufinden sein.

Und selbstverständlich stehe ich in der Verantwortung, die mir zu einem bestimmten Zweck anvertrauten Daten technisch und organisatorisch zu schützen. Diese Maßnahmen muss ich dementsprechend auch beschreiben können. Denn die Daten gehören nicht mir. Ich habe sie nur von den Personen (den Betroffenen) geliehen bekommen. Sie wurden mir anvertraut – damit ein wirksames Unternehmen-Kunden-Verhältnis zu einem festgelegten und beschriebenen Zweck möglich ist.

Daneben gibt es weitere Regelungen, die einzuhalten sind wie Aufbewahrungsfristen (keine Löschfristen) und Informationspflichten bei der Einwilligung. Aber auch das gehört zum Geschäftsbetrieb. Letztlich beschreibt man also nur, wie man sein eigenes Geschäftsmodell betreibt. Sorgt neben seiner eigenen Unternehmenssicherheit auch für Transparenz, Verständnis und ein abteilungsübergreifendes Miteinander im Unternehmen.

Wer nicht beschreiben kann, was genau in seinem Unternehmen mit personenbezogenen Daten passiert, der sollte überlegen, ob sein Geschäftsmodell eigentlich selbst verstanden wurde oder ob es Zeit ist, dieses anzupassen.

 

Und noch einmal ganz praktisch: Was kann man denn nun tun?

Zuerst einmal schauen, wo und wie genau im Unternehmen personenbezogene Daten verarbeitet werden. Diese Verarbeitungen teilt man in einzelne Verfahren. Und diese Verfahren werden beschrieben. Das Verzeichnis der Verarbeitungstätigkeiten.

Mit personenbezogenen Daten sind die Daten gemeint, die sich einer natürlichen Person zuordnen lassen. Es muss nicht unbedingt ein Name dort stehen. Zum Beispiel gehören Telefonnummern, Kontodaten aber auch IP-Adressen und Kundennummern zu den personenbezogenen Daten. Ein Verfahren wiederum beschreibt einen bestimmten Zweck warum Daten verarbeitet werden. Eine Softwarelösung ist Bestandteil eines Verfahrens aber meist kein eigenes Verfahren.

Wenn also die Verfahren definiert wurden kann pro Verfahren aufgeschrieben werden welche Daten von welchen Personengruppen für welchen Zweck verarbeitet werden.

Je Verfahren kann nun geschaut werden, ob und an wen die Daten zu weiteren Verarbeitung weitergegeben werden und welcher Vertrag hierzu geschlossen wurde (Auftragsverarbeitung, EU Standardvertrag etc.).

Nun werden noch die technischen und organisatorischen Maßnahmen beschrieben mit denen die Daten zum Beispiel vor Zugriff und Verlust geschützt werden. Hilfreich ist es hierzu mit der Erfassung der Speicherorte/Ablageorte zu beginnen.

 

Alles gar nicht so schwer und auch gar nicht so viel. Das Zauberwort heißt „anfangen“, eine Basis schaffen. Chancen nutzen, die sich positiv auf das Geschäftsmodell auswirken. Denn darauf lässt sich in Zukunft aufbauen und man ist möglicherweise seinem Wettbewerb einen Schritt voraus. Speziell im Online-Marketing und in der Schnelllebigkeit des Internets fehlt das Verständnis zum Datenschutz noch an vielen Stellen. Online-Marketing ist aber nur ein einzelnes Verfahren unter vielen im Unternehmen. Aktenvernichtung, Finanzbuchhaltung, Personalakte etc. sind weitere Verfahren. Einen Überblick und etwas Hilfe dazu beispielsweise unter www.datenschutz-tool.de

 

 

Warum ist das überhaupt notwendig?

Es ist beispielsweise nicht erlaubt, auf einer Internetseite einfach irgendwelche Plugins oder externe Scripte einzusetzen, die teilweise die einzelnen Personen identifizierbar tracken – wovon diese nicht die leiseste Ahnung haben. Auf einer einfachen Internetseite mag das moralisch noch vertretbar sein, auf Seiten zum Thema Parkplatzsex, Depressionen oder auf der Internetseite einer Selbsthilfegruppe bei Krebserkrankung kann ein solches identifiziertes Tracken negative Auswirkung die Person haben wie beispielsweise Erpressung oder der Ausschluss bei Bewerbungen oder Versicherungen.

Ich als Person darf darauf vertrauen, dass mein Grundrecht auf Datenschutz eingehalten und geschützt wird. Zur Not meine Rechte juristisch geltend machen kann. Wirtschaft, Politik oder das Gesundheitssystem mit meinen Daten nicht einfach machen können, was sie wollen – ohne das ich davon weiß. Alles andere wäre unseriös und ungesetzlich. Ich darf auch darauf vertrauen, dass der Gesetzgeber ein solches Verhalten von unseriös arbeitenden Unternehmen sanktioniert.

Thomas Werning / Sandra Wilms

#dsgvo #datenschutz #respekt #csr #ehrbarer #kaufmann #machen #pragmatisch