Da kommt sie nun, die neueste „Errungenschaft“ der EU. Handel, Handwerk, Industrie und andere sehen eine große graue Nebelwand auf sich zukommen, in der es blitzt und donnert. „Wegducken“ funktioniert nicht. Dafür ist das Ungetüm zu groß – die Datenschutzgrundverordnung (DSGVO) – also was tun?
Der Kölner fühlt sich an seine Kölschen Grundgesetze erinnert:
„§9 Wat soll dä Quatsch?“
Im Bilde scheinen derzeit nur die großen Unternehmen, die es betrifft – könnte man meinen.
Sicher, große Unternehmen kennen das Thema schon lange und haben auch die nötigen Ressourcen und das Personal, die neuen Vorschriften umzusetzen. Aber was ist mit den kleinen und mittleren Betrieben? Wenn ich meine Kunden darauf anspreche, sehe ich häufiges Schulterzucken. Das Thema wird insgesamt eher ignoriert.
Dienstleister wie Whats App, Facebook & Co. greifen unsere Daten ab und wir selbst erlauben es. DAS ist heute die Realität. Aber was passiert eigentlich mit meinen Daten?
Urlaubsfotos, aktuelle Steuererklärungen etc. werden wie selbstverständlich in die Cloud geladen. Den Internet-Riesen werden per Einwilligung in die AGB umfassende Nutzungsrechte bezüglich der Daten eingeräumt. Das Handy mit allen Geschäftskontakten, den Fotos der oder des Liebsten, vielleicht sogar von Kleinkindern nackt am Strand, verteilt auf Rechenzentren in der ganzen Welt. Kein schöner Gedanke!
Und Hand auf`s Herz: Wir sind doch alle irgendwo auch Verbraucher mit Handytarifen, den eigenen Daten und denen der Familie, mit Kundenkonten bei diversen Onlinehändlern, beim Arzt und Handelsketten in der Innenstadt oder an Tankstellen. In all diesen Bereichen will die EU den Datenschutz stärken, vereinheitlichen und dazu die Unternehmen strenger in die Pflicht nehmen mit unseren Daten verantwortlicher umzugehen. Dass dies notwendig ist, dürfte unbestritten sein. Deshalb und aus zahlreichen weiteren Gründen macht es Sinn unsere persönlichen Daten besser zu schützen. Dies geschieht in Zukunft u.a. durch erweiterte
Betroffenenrechte, beispielsweise das Recht auf Vergessenwerden.
„§3: Et hätt noch immer jot jejange.“ Ob das diesmal hilft?
Das Ding mit dem sperrigen Namen „Datenschutzgrundverordnung“ tritt also nun am 25. Mai in Kraft. Es geht dabei um alle Bereiche, in denen personenbezogene Daten erhoben werden – und das sind schon simple Kontaktdaten wie Anschriften. Zusätzlich werden Verfahren erforderlich, die eigentlich schon lange Usus sein sollten. Über eine ordentlich verschlüsselte Datensicherung – mit Cloud oder anderweitig – sowie eine rechtssichere Mail-Archivierung sollte jeder Betrieb verfügen. Komplizierter wird es bei der Verschlüsselung von Email Kommunikation. Hier helfen z.B. Zertifikate oder Lösungen von verschiedenen Unternehmen, die den Nachrichtenfluss kontrollieren und sichern.
„§5: Et bliev nix wie et wor.“
„Aber wie stelle ich nun meinen Handwerksbetrieb datenschutzkonform und sicher auf?“, werde ich häufig gefragt. Die Frage kann natürlich nicht pauschal beantwortet werden, sondern bedarf einer angepassten Beratung je nach Tätigkeit und Art der verarbeiteten, personenbezogenen Daten.
Vieles ist aber für alle gleich. Bei der Literatur zur DSGVO, gespickt mit Monstersätzen wie im Artikel 32 Absatz 1, der aus über 900 Zeichen besteht, ist das ohne juristischen Hintergrund ein unmögliches Unterfangen. Der sogenannte TOM-Katalog (Katalog technisch-organisatorischer Maßnahmen zur Sicherung der Daten) z.B. beschreibt eine Vielzahl von technischen Anforderungen, die zu erfüllen sind.
Viel geschrieben wird auch über die möglichen Maximalstrafen mit Summen, die selbst für den Mittelstand unrealistisch wirken. In meinen Gesprächen mit Kunden sehe ich wie diese die Augen rollen, wenn mit utopischen Zahlen (Geldbußen von 4 Prozent des Konzernumsatzes oder 20 Millionen Euro) um sich geworfen wird. Das ist den meisten Unternehmen zu abstrakt.Viel realitätsnaher wird es, wenn ab dem 25. Mai 2018 Abmahnungen ins Haus flattern, weil beispielsweise die Webseite nicht ordnungsgemäß erstellt wurde, der Webshop nicht per SSL-Verschlüsselung läuft oder die Datenschutzerklärung nicht hinterlegt ist.
Spätestens dann hat auch jeder verstanden worum es geht und sich gewünscht, sich vorher informiert zu haben.
Aus Erfahrung weiß ich, dass selbst Handwerksbetriebe mit 30 oder 40 Mitarbeitern häufig – trotz gesetzlicher Verpflichtung – keinen Datenschutzbeauftragten haben. In Zukunft muss dieser jedoch namentlich auf der Webseite genannt werden und bei der zuständigen Aufsichtsbehörde gemeldet werden. Verstöße werden folglich viel schneller auffallen.
„§ 4 Wat fott es, es fott.“ Gilt dann bei Bußgeldern oder Abmahnungen
Wer sich datenschutzrechtlich in Sicherheit wiegt und glaubt es gelte der Grundsatz „wo kein Kläger, da kein Richter“, den holt unter Umständen ein geschasster Mitarbeiter schnell auf den Boden der Tatsachen zurück.
Die Kölner Fachanwältin für IT-Recht und zertifizierte Datenschutzbeauftragte, Frau Rechtsanwältin Nina Hiddemann, formuliert es so: „Wenn ein frustrierter Mitarbeiter bei der Aufsichtsbehörde verlauten lässt, dass die DSGVO nicht eingehalten wird oder dass mit Kundendaten mangelhaft umgegangen wird, kann das schwerwiegende Konsequenzen für das Unternehmen haben.“
Ab 25. Mai 2018 ändert sich nämlich auch die Beweislast. Das Unternehmen muss nun – u.a. mit umfangreichen Dokumentationen – beweisen, dass die gesetzlichen Anforderungen der DSGVO und des neuen Bundesdatenschutzgesetzes (BDSG) eingehalten wurden. Aufgrund kurzer Reaktionspflichten, ist es dann fast unmöglich, das Versäumte nachzuholen. Im schlimmsten Fall kostet es neben viel Geld auch Reputation.
Man kann die DGSVO und das neue BDSG aber auch als Chance sehen, denn wer mit renommierten und großen Firmen zusammenarbeitet, wird zwangsläufig mit dem Thema konfrontiert, da dort auf die Umsetzung der strengen Anforderungen der DSGVO bestanden wird. Keine Auftragsvergabe ohne DSGVO-konformität wird sich wohl in Zukunft als Motto durchsetzen. Den Zuschlag erhält derjenige, der die Vorgaben der DGVO nachweislich umgesetzt hat und lebt.
Wir als Unternehmer sind also gefragt, die Daten unserer Mitmenschen, sprich Kunden, Lieferanten und Mitarbeiter, zu schützen. Das ist für mich die DSGVO.
Autor: Thomas Gocke, RAe Nina Hiddemann
Erscheint in Handwerk Aktiv, Ausgabe 04 / 2018
Thomas Gocke ist seit über 25 Jahren als IT Consultant tätig und bietet individuell zugeschnittene EDV- Lösungen zur Umsetzung der gesetzlichen Anforderungen der DSGVO an.
Artikel aus Handwerk Aktiv 04/2018 zum Download
