Im Laufe der letzten Monate haben wir uns intensiv mit der europäischen Datenschutzverordnung (DSGVO) auseinandergesetzt, um unsere Kunden bei der Umsetzung zu beraten und zu unterstützen. Wir möchten Ihnen an dieser Stelle einige Aspekte erläutern, die für Ihr Unternehmen von Belang sein könnten.

Bei vielen ist das Thema DSGVO lange nicht auf dem Bildschirm gewesen. Die Datenschutz-Grundverordnung, vor zwei Jahren verabschiedet, vereinheitlicht auf EU-Ebene die verschiedenen Datenschutzniveaus in den Mitgliedsländern, während sie bei der Umsetzung durchaus nationale Spielräume lässt, die in Deutschland allerdings weitestgehend ungenutzt blieben. Hauptsächlich gerichtet war sie gegen Unternehmen, die mit persönlichen Daten ihrer Benutzer umfangreiche Nutzungsprofile und Datenverknüpfungen zum Nachteil dieser erstellen und verwenden oder mindestens undurchsichtig und sorglos umgehen: Facebook, Google, Apple, Twitter, aber auch Kreditscoring-Unternehmen. Diesen drohen bei Verstößen heftige Strafen. Bis zu 4 Prozent des weltweiten Konzernumsatzes oder 20 Millionen Euro Geldstraft pro Verstoß - je nachdem, welcher Betrag der höhere ist.

Allerdings betrifft die Verordnung alle Unternehmen, die mit persönlichen Daten umgehen. Dabei ist der Begriff "Unternehmen" weit zu fassen und schließt auch Freizeit-Blogger mit ein, deren Beiträge sich an die Allgemeinheit richten. Und auch Webseitenbetreiber, die in ihrer Freizeit, aber öffentlich zugänglich, Inhalte veröffentlichen und - bewusst oder unbewusst - Daten ihrer Besucher an Drittunternehmen weitergeben, etwa über die eingebetteten Like-Buttons der sozialen Netzwerke, aus Drittquellen eingebundene Bestandteile (Javascript-Frameworks wie jQuery.js oder node.js, Google-Fonts) oder Besucheranalyse-Werkzeuge wie Google Analytics, etracker oder diverse Zählpixel. Auch die vom Webhoster erhobene Besucherstatistik fällt darunter. Zwar gibt es vor allem unter EU-Datenschutzpolitikern einige, die Panikmache ausgemacht haben wollen. Andererseits sind es auch nicht sie, die bei einem Irrtum die Verantwortung und vor allem die Kosten tragen.

Mindestanforderungen:
Internetseitenbetreiber, die auf irgendeine Weise, und sei es zu statistischen Zwecken, persönliche Daten ihrer Besucher erheben (zu denen auch die IP-Adresse und die besuchten Seiten gehören), benötigen eine Datenschutzerklärung, die unmittelbar zu "Beginn des Nutzungsvorgangs" über die Arten der erhobenen Daten und deren Verwendung unterrichtet. Wenn Analysetools von Drittanbietern wie etwa Google Analytics verwendet werden, gehört dies ebenso in die Datenschutzerklärung (inklusive der Arten der von Google erhobenen Daten) wie bei Social-Media-Buttons von Facebook, Google+, Instagram, Twitter oder Pinterest. Gleiches gilt für Daten, die etwa im Zuge einer Benutzerregistrierung, Kommentierung von Artikeln durch Leser oder per Kontaktformular erhoben werden. Im Internet gibt es hierfür Mustervorlagen und Generatoren (teilweise kostenpflichtig). Hier ist aber Vorsicht geboten. Die DSGVO zwingt zur Darlegung individuell genutzter Daten. Der Einsatz von Generatoren kann eine Hilfestellung geben, aber diese generierten Texte müssen unbedingt individuell den Unternehmensgegebenheiten und der Datenverarbeitung angepasst werden!
Unternehmen, die im Zuge der vertraglichen Auftragsabwicklung relevante Daten (Name, Rechnungs- und Lieferandresse, Kontaktdaten) erheben, unterliegen nicht der Pflicht, die Einwilligung des Kunden für die Erhebung und Speicherung dieser Daten einzuholen. Die Erlaubnis ergibt sich aus dem berechtigten Interesse des Betreibers und den gesetzlichen Dokumentations- und Aufbewahrungspflichten. Sind die Gründe für die Erhebung und Speicherung jedoch erloschen - etwa weil die gesetzlichen Dokumentationsfristen ausgelaufen, das Kundenverhältnis erloschen oder auf ein konkretes, auf einer Anfrage des Kunden beruhendes Angebot nach angemessener Frist keine Antwort kam, müssen diese Daten wieder gelöscht werden. Für die Erhebung und Speicherung von über die auftragsrelevanten Informationen hinausgehende persönliche Daten hingegen besteht die Notwendigkeit der Einwilligung. Diese kann zunächst erteilt und später widerrufen werden.

Auch für die Datenspeicherung und -verarbeitung im Unternehmen gelten einige Regeln, von denen Unternehmen mit weniger als 250 Mitarbeitern ausgenommen sind, außer sie verarbeiten Daten, die für den Betroffenen riskant sind (etwa Scoring, Überwachung), regel- und geschäftsmäßig als Kerntätigkeit erfolgen oder besondere Datenarten betreffen. Eine Steuerberaterkanzlei beispielsweise ist davon in jedem Fall betroffen. In diesen Fällen muss ein Datenschutzbeauftragter, unabhängig von der Unternehmensgröße, bestellt werden; ab einer Mindestzahl von zehn Mitarbeitern, die regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sein, besteht diese Pflicht ebenso. Außerdem gibt es umfangreiche Dokumentations- und Informationspflichten, die die Überprüfbarkeit der Verarbeitung für die Aufsichtsbehörden gewährleisten sollen. Diese umfassen neben Audits für verarbeitende Geräte und Software auch eine Datenschutz-Folgenabschätzung, Verfahrensverzeichnisse, Prozessanpassungen, sowie ein Auskunftsrecht von Betroffenen, denen auch eine Negativauskunft erteilt werden muss.

Viele Unternehmen, die bisher nicht davon betroffen waren, unterliegen durch die DSGVO der Bestellpflicht für einen Datenschutzbeauftragten:
•  Unternehmen ab 250 Mitarbeiter,
•  Unternehmen ab 10 ständig mit automatisierter Datenverarbeitung Beschäftigten,
•  Unternehmen, deren Kerntätigkeit in der Verarbeitung personenbezogener Daten liegt,
•  Unternehmen, deren Kerntätigkeit besondere Datenkategorien umfasst,
•  Unternehmen, die nach DSGVO zu einer Datenschutz-Folgeabschätzung verpflichtet sind.
Unter diese Gruppe von Unternehmen fallen unter anderem Steuerberater, Callcenter, Auskunfteien, Factoringunternehmen.

Die notwendigen Maßnahmen zum DSGVO-konformen Umgang mit persönlichen Daten müssen bis zum 25. Mai 2018 umgesetzt sein. Dabei sind die äußerlichen Maßnahmen zunächst am wichtigsten. Wer schon nach außen signalisiert, dass er nicht ordentlich mit personenbezogenen Daten umgeht, macht sich angreifbar für Abmahnungen, Denunziation und Prüfungen der Datenschutzbehörden. Langfristig ist es gefährlich, sich darauf zu verlassen, dass schon niemand nachgucken oder Auskunft über die gespeicherten Daten verlangen wird. Vor allem, weil es eine gewisse Zeit dauern wird, bis es belastbare Folgenabschätzungen bei Verstößen gibt und die Gerichte einzelne Auslegungen genauer spezifizieren.