11. Mai 2017

Die EU-Datenschutz-Grundverordnung

Ab 25. Mai 2018 gelten neue Regeln!


Aufgepasst: Das Bundesdatenschutzgesetz (BDSG) wird es ab dem 25.05.2018 nicht mehr geben. Ab diesem Tag gilt dann die Europäische Datenschutz-Grundverordnung (DS-GVO). Über die tiefgreifenden Veränderungen, die damit auf Unternehmen zukommen können, sind sich viele jedoch nicht im Klaren. Da das Datenschutzniveau an einigen Stellen merklich angehoben wird, drohen neue Transparenz- und Dokumentationspflichten der Belastung vieler Unternehmen. Insbesondere kleinere Firmen sind sich den drohenden Bußgeldern bei Verstößen allerdings nicht bewusst.



Schön war die Zeit mit dem BDSG: Man schaute mit Hilfe eines Datenschutzbeauftragten die Betriebsprozesse an, traf wenn notwendig entsprechende Maßnahmen. Man kannte sich aus im BDSG. Man lebte den Datenschutz. Und jetzt? Was hat es auf sich mit dem DS-GVO? Ein Monster aus Brüssel oder alles halb so wild?

Alte EDV-Technik erneuern


Schauen wir uns nun an, was die neue Verordnung denn konkret für die unternehmerische Praxis bedeutet. Das DS-GVO konfrontiert uns mit einigen (strengen) neuen Regeln. Zunächst einmal sind die Zeiten alter PC-Technik definitiv vorbei. Wer als Unternehmer noch mit Windows 7 oder sogar mit Windows XP arbeitet, begeht einen Verstoß. Updates des Betriebssystems und des Browsers sind ebenfalls regelmäßig durchzuführen, andernfalls kann nun ein Bußgeldtatbestand vorliegen - goldene Zeiten für EDV-Dienstleister. Das Thema der Datensicherung sollte in den Fokus eines jeden Unternehmers oder Geschäftsführers rücken. Insbesondere steht dabei die Aufbewahrung und die Häufigkeit der Rückspielung im Mittelpunkt.

Wer löscht denn heute schon seine Daten?


Ab dem 25.05.2018 sollte man dafür nämlich einen schriftlichen Plan haben, der klärt, wie lange welche Daten aufgehoben und wann gelöscht werden. Natürlich sollten die Löschroutinen dann auch protokolliert werden. Löschen heißt also auch wirklich "löschen". Die Herkunft personenbezogener Daten muss ebenfalls dokumentiert werden. Generell gilt: Nur die minimal notwendigen Daten dürfen gespeichert werden.

Der Vertrieb muss sich umstellen


Um dies kurz zu veranschaulichen, werfen wir einen Blick auf typische Vertriebsmitarbeiter. Oft haben sie es sich zur Routine gemacht, persönliche Daten ihrer Kontaktpersonen in der verwendeten Vertriebssteuerungssoftware abzuspeichern. Vorlieben, wie beispielsweise "Er spielt gern Golf." oder "Nicht auf Bayern München ansprechen." zählen jedoch nicht als betriebsnotwendig und dürfen entsprechend nicht mehr gespeichert werden.

Der Passwort-Gau


Weiterhin sollten wir uns folgenden Fall ansehen: Angenommen, der Chef eines Unternehmens befindet sich im Urlaub auf einer einsamen Insel und der IT-Dienstleister benötigt dringend ein Passwort - Wer kennt es? Wer im Unternehmen kennt allgemein welche Passwörter und wo werden diese aufbewahrt? In vielen kleineren Unternehmen gibt es dazu keine Regelung. Darf denn der IT-Dienstleister überhaupt wichtige Passwörter erfahren und wenn ja, wo speichert er diese ab? Fragen über Fragen, die mit der DS-GVO geklärt werden müssen.

Fazit


Obwohl der 25.05.2018 noch eine Weile hin ist, legen wir Ihnen ans Herz, sich schon heute mit der DS-GVO auseinander zu setzen. Die IHK und auch die jeweiligen Verbände stehen bereits im Thema. Der Bundesverband Deutscher Inkasso-Unternehmen e.V. hat darüber hinaus bereits Anfang 2017 einen "Best Practice Guide 1.0" veröffentlicht und bietet seinen Mitgliedern außerdem viele Seminare zu diesem Thema an.

Liebe Leser, bitte unterschätzt nicht, was da auf uns zukommt.