Sehr geehrte Damen und Herren,

am 25. Mai tritt die neue Datenschutz-Grundverordnung (DSGVO) in Kraft, die Unternehmer zwingen soll, persönliche Daten von Kunden und Mitarbeitern besser zu schützen. Seither hängt dieses Gesetzesungetüm (99 Artikel) wie ein Damoklesschwert über vielen Unternehmen. Es ist für Nicht-Juristen (und auch für einige Juristen) kaum zu durchschauen, was nun eigentlich zu tun ist. Unternehmen müssen unter bestimmten Voraussetzungen einen Datenschutzbeauftragten benennen. Dieser ist Pflicht, wenn im Unternehmen personenbezogene Daten automatisiert verarbeitet werden, also per EDV. Personenbezogene Daten sind insbesondere Kundendaten und Mitarbeiterdaten.

Für kleine Betriebe macht die Verordnung eine Ausnahme: Sind regelmäßig nur neun oder weniger Mitarbeiter mit der Verarbeitung personenbezogener Daten beschäftigt, braucht ein Unternehmen KEINEN Datenschutzbeauftragten. Die Ausnahme gilt nicht für  Unternehmen, welche Daten verarbeiten, für die eine Datenschutz-Folgenabschätzung nötig ist. Das ist bei allen Daten der Fall, bei denen ein hohes Risiko für die Betroffenen besteht.

Unternehmer sollten jetzt alle mit Datenverarbeitung verbundenen Prozesse dokumentieren und wenn nötig, optimieren. Zum Beispiel:

  • Wie werden Kunden über die Verarbeitung ihrer Daten informiert?
  • Wie reagieren Mitarbeiter, wenn Kunden fragen, welche Daten von ihnen gespeichert wurden?
  • Was ist der Prozess, wenn ein Kunde darauf besteht, dass seine Daten gelöscht werden? Wer ist dafür verantwortlich?
  • Was ist der Prozess, falls es zu einem Datenleck kommt und personenbezogene Daten in falsche Hände geraten? Denn Achtung: Kommen die Daten abhanden, zum Beispiel durch einen Hackerangriff, müssen Unternehmen binnen 72 Stunden die zuständige Landesdatenschutzbehörde informieren.
  • Ist das Ziel, warum Daten gespeichert wurden, erreicht, müssen die Daten gelöscht werden (Bei einem Gewinnspiel etwa nach der Ermittlung der Gewinner). Wie ist der Löschprozess organisiert?
  • Wie werden Mitarbeiter geschult, damit sie diese Prozesse kennen und ausführen können?

Bei Verstößen gegen den Datenschutz drohen empfindliche Geldstrafen sowie Schadensersatzforderungen betroffener Personen.

Übrigens:  Ein kleiner Osterhase fragt einen anderen kleinen Osterhasen: „Du, glaubst du eigentlich an Hühner?“

Wir wünschen Ihnen ein schönes Osterfest.

Köln, im April 2018
Friedbert Scheiffarth, Kollegen und Mitarbeiter