Die Uhr tickt: Die Neue EU-Datenschutz-Grundverordnung gilt ab Mai 2018 und es drohen sehr hohe Bußgelder: In Sachen Datenschutz kocht jedes Land in der Europäischen Union (EU) im Moment sein eigenes Süppchen. Mit dem Flickenteppich an unterschiedlichsten Regelungen ist ab dem 25. Mai 2018 Schluss, dann gilt für alle Länder die neue EU-Datenschutz-Grundverordnung (DS-GVO). Unternehmen, Behörden, Vereinen und Freiberuflern bleibt also nicht mehr viel Zeit, denn es gibt keine Schonfrist. Im April 2016 beschlossen die EU-Mitgliedstaaten die neuen Regelungen. Ziel ist es, die Nutzerdaten europäischer Bürger zu schützen und den Datenschutz in den Ländern auf einen gemeinsamen Nenner zu bringen.

Thomas Kranig, Präsident des Bayerischen Landesamtes für  Datenschutzaufsicht

Thomas Kranig, Präsident des Bayerischen Landesamtes für Datenschutzaufsicht

Thomas Kranig ist Präsident des Bayerischen Landesamtes für Datenschutzaufsicht in Ansbach mit Sitz in der Residenz, und er stellt fest: „Datenschutz hat keinen Funfaktor.“ Die neue Verordnung ist knapp 100 Seiten dick, und sie gilt für alle Unternehmen in der EU, die personenbezogene Daten sammeln, speichern, übertragen oder verarbeiten. Ebenso sind Unternehmen betroffen, die außerhalb der EU personenbezogene Daten innerhalb der Gemeinschaft erheben. Die Größe des Betriebs spielt keine Rolle, die neue Verordnung betrifft alle – vom einzelkämpfenden Alleinunternehmer bis zum Megakonzern. Doch was sind personenbezogene Daten? Darunter fallen Name, Adresse, E-Mail-Adressen, Telefonnummern oder IP-Adressen von Computern, so Kranig. Der Experte rät deswegen den Unternehmen, ein Verzeichnis anzulegen, das die verarbeitenden Daten auflistet. Für Betriebe, die gegen die neue Verordnung verstoßen, kann es richtig teuer werden. Es drohen Bußgelder in Höhe von bis 20 Millionen Euro oder bis zu vier Prozent des Gesamtumsatzes eines Unternehmens, macht Thomas Kranig klar. „Wir sind die Guten einerseits, wenn wir sie beraten. Aber wir sind auch die Bösen, wenn wir sie kontrollieren und Bußgelder verhängen“, sagt er. Rund 2.000 Beschwerden gegen Datenschutzverletzungen landen pro Jahr beim Landesamt auf dem Schreibtisch. Und jeder von ihnen gehen Thomas Kranig und seine Mitarbeiter nach. „Im Fokus steht der Betroffene. Sie müssen offenlegen, wer Sie sind und was Sie mit den Daten machen wollen“, sagt der Jurist. Die Information beispielsweise auf einer Gewinnspiel-Karte muss in klarer und einfacher Sprache sein.

Unternehmen müssen den Nutzern künftig die Rechtsgrundlage zur Verarbeitung der Daten, die Dauer der Speicherung oder die Weitergabe an Daten-Verarbeiter mitteilen, erklärt der Experte. „Was wir in Europa geregelt haben, wird auch Auswirkungen auf die USA haben und weiter über die EU hinaus Ausstrahlung haben“, so Kranig. Unternehmen müssen Verstöße gegen den Datenschutz innerhalb von 72 Stunden melden. Mit dem Vertragswerk soll in Zukunft jeder erfahren können, welche Daten über ihn gesammelt werden, und das innerhalb von vier Wochen. Auch müsse das betreffende Unternehmen während der Frist mitteilen, an wen es die Daten weitergegeben habe, so Kranig weiter. Außerdem haben Betroffene das Recht auf Löschung der Daten und das Recht, dass sie zu einem anderen Unternehmen übertragen werden. Und eine weitere Neuerung ist dazugekommen: „Sie müssen uns nachweisen, dass Sie ordnungsgemäß mit den Daten umgehen“, erläutert der Jurist. Sein Tipp: „Setzen Sie sich schnellstmöglich mit der neuen Verordnung auseinander.“ Und: „Datenschutz ist Chefsache, und Sie müssen alle mitnehmen“, stellt der ehemalige Verwaltungsrichter fest. Doch wie genau diese neuen Regelungen in der Praxis umgesetzt werden, bleibt offen. Als Beispiel nennt der Jurist die Videoüberwachung, die in Großbritannien längst zum Alltag gehöre. In Deutschland stehen die Verantwortlichen dem Thema eher kritisch gegenüber: Deswegen werde es schwieriger, die europäischen Partner auf einer Ebene zusammenzubekommen. Als die drei wichtigsten Schritte empfiehlt der Experte den Unternehmen, erst mal ein Verzeichnis anzulegen, das die verarbeitenden Daten auflistet. Als zweites müssten Betriebe darauf vorbereitet sein, dass Betroffene ihre Rechte geltend machen, so Kranig. Und das Thema Datensicherheit steht seiner Meinung mit ganz oben auf der To-do-Liste. Innerhalb von drei Tagen müssen Verstöße, beispielsweise das illegale Herunterladen von Nutzerdaten, beim Bayerischen Landesamt für Datenschutzaufsicht in Ansbach eingehen.

Um Unternehmern eine Orientierung zu geben, wie nach der DS-GVO der erforderliche Vertrag zur Auftragsverarbeitung abgefasst werden sollte, hat das Bayerische Landesamt für Datenschutzaufsicht eine Formulierungshilfe aufgesetzt, die in den Grundzügen mit dem Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit entwickelt und abgestimmt wurde. Das Muster gibt Anhaltspunkte dafür, welche Inhalte in derartigen Verträgen bei vielen Fallkonstellationen geregelt werden sollten. Bei abweichendem Sachverhalten ist selbstverständlich eine entsprechende Anpassung vorzunehmen. Die Formulierungshilfe gibt es auf der Homepage des Landesamtes unter:
www.lda.bayern.de/media/muster_adv.pdf

Matthias Kaiser, Geschäftsführung Hermann Kaiser Bürotechnik

Matthias Kaiser, Geschäftsführung Hermann Kaiser Bürotechnik

Bürotechnik & Kommunikation
Jeder Unternehmer sollte jetzt prüfen, welche Geräte in Bezug auf die neue EU-Datenschutz-Grundverordnung Sicherheitslücken haben. Damit soll klar werden, wo Handlungsbedarf besteht und welche Erweiterungen es dringend braucht. „Sprechen Sie mit einem Profi und lassen Sie Ihren Gerätepark von ihm prüfen“, so Matthias Kaiser aus der Geschäftsführung von  Hermann Kaiser Bürotechnik. Beispielsweise erhebt ein Kopierer – wie auch ein Computer, Server oder Smartphone – personenbezogene Daten. Denn in vielen Geräten schlummert ein Speichermedium. „Das ist datenschutzrechtlich bedenklich“, so der Unternehmer. Aber es gebe Kopierer, die beispielsweise automatisch die erhobenen Daten überschreiben, erklärt Kaiser: „Manche Geräte haben das schon standardmäßig drin, dass sie keine Daten weitergeben.“

Der Unternehmer weiß aus eigener Erfahrung, dass die Umsetzung des neuen Gesetzes nicht „mal nur so nebenbei“ zu erledigen ist. Deswegen sei jetzt Eile angesagt, um auf die neue Verordnung vorbereitet zu sein, denn die Strafen, die den Betrieben drohen, sind erheblich. „Vielen Unternehmern ist im Moment vielleicht noch nicht das gravierende Ausmaß der Auswirkungen auf ihren Betrieb bewusst, dass das neue EU-Datenschutzgesetz hat, aber bis zum 25. Mai 2018 muss alles stehen, da führt kein Weg dran vorbei.“ Hermann Kaiser hat das Unternehmen Hermann Kaiser Bürotechnik im Jahr 1976 in Ansbach gegründet. Der Betrieb mit rund 120 Mitarbeitern und Filialen in Crailsheim, Weißenburg, Nürnberg, Neustadt/Aisch und Pfedelbach blickt damit auf über 40 Jahre Erfahrung in Sachen Bürobedarf, Bürotechnik, EDV, IT-Systeme, Kommunikationssysteme, Büromöbel und Kassensysteme zurück.

Markus Dinzl, Geschäftsführer Dinzl-IT GmbH

Markus Dinzl, Geschäftsführer Dinzl-IT GmbH

IT-Compliance-Management und Schulungen
Im Spannungsfeld zwischen IT, betrieblicher Organisation und Recht kommt dem IT-Compliance-Management eine immer größere Bedeutung zu. Um die neuen Herausforderungen meistern zu können, ist ein fachübergreifendes Wissen erforderlich. Hier unterstützen externe Dienstleister. Die gesetzlichen Vorgaben des neuen Bundesdatengesetzes, welches ebenfalls im Mai in Kraft tritt, schreiben ab zehn Computer-Arbeitsplätzen einen betrieblichen Datenschutzbeauftragten vor. „Wichtig ist, dass die Unternehmen regelmäßig ihre Mitarbeiter schulen und auf das Problem aufmerksam machen, ähnlich wie man es in der Arbeitssicherheit auch macht.“, erklärt Markus Dinzl, Geschäftsführer von Dinzl-IT. „Nur so schleicht sich keine Gleichgültigkeit ein.“ Als externer Dienstleister schult der IT-Experte auch Mitarbeiter und erstellt Verpflichtungserklärungen für die Beschäftigten zum Datengeheimnis. Im Bereich IT-Compliance-Management berät das Unternehmen Geschäftsleiter und führt die Übersicht über die Verfahren. Außerdem überwacht der fränkische Dienstleister die ordnungsgemäße Anwendung von Datenverarbeitungsprogrammen und bestehender Vorschriften und führt die erforderlichen Vorabkontrollen durch. Die Dinzl-IT GmbH in Schillingsfürst ist 2007 aus der Dinzl-Unternehmensgruppe hervorgegangen. Sie betreut Unternehmen mit bis zu 500 Computer-arbeitsplätzen. Dinzl-IT übernimmt für Unternehmen die Tätigkeiten eines IT-Compliance-Managers.

Weiterführende Links

Unterstützung und Beratung:
Bayerisches Landesamt für Datenschutz-aufsicht (BayLDA)
Promenade 27 | 91522 Ansbach
Telefon 0981 / 53 – 13 00
poststelle@lda.bayern.de
www.lda.bayern.de

Bürotechnik und Kommunikationssysteme:
Hermann Kaiser Bürotechnik
Industriestraße 9 |91522 Ansbach
Telefon 0981 / 971 98 – 0
Fax 0981 / 971 98 – 99
info@kaiser-buerotechnik.de
www.kaiser-buerotechnik.de

IT-Compliance-Management und Schulungen:
Dinzl IT GmbH
Robert-Dinzl-Weg 1 | 91583 Schillingsfürst
Tel. 09868 / 303 99 – 60
dinzl.markus@dinzl-it.de
www.dinzl-it.de

Diese Auswahl erhebt keinen Anspruch auf Vollständigkeit!

Bildnachweis: Bayerischen Landesamtes für Datenschutzaufsicht, BLMAG