Bis zum 25. Mai 2018 gab es mächtig viel zu tun, denn damals löste die neue Datenschutz-Grundverordnung (DSGVO) das alte EU-Modell ab. Betroffen von der Neuregelung waren alle, die mit Menschen zusammen arbeiten und die online aktiv sind, sprich: Diejenigen, die eine Webseite betreiben, die dort Cookies vergeben, die Google Analytics nutzen, Social-Media-Plugins integriert haben und auf E-Mail-Marketing setzen ebenso wie der kleine Handwerker, der Kunden- und Lieferantendaten kennt. Die erste To-do-Liste, die bis Ende Mai 2018 umgesetzt werden musste, war noch recht übersichtlich und konnte auch von den meisten Unternehmern selbst erledigt werden. Mittlerweile gibt es das Angebot, unternehmerische Aufgaben rund um die DSGVO an externe Dienstleister auszulagern. Was diese Option in der Praxis bedeutet, zeigt der folgende Beitrag.
Die DSGVO darf das Unternehmen nicht behindern
Neue Aufgaben im Betrieb oder neue Gesetze, die im Unternehmen umzusetzen sind, bedeuten auch: Es gibt eine Person X, die sich mit dem Thema auseinander setzen muss, den ganzen Betrieb auf neuralgische Schnittstellen mit dem Thema abklopfen muss und die Verantwortung tragen muss, dass Altes upgedatet wird und Neues direkt nach den neuen Grundsätzen umgesetzt wird. Das bedeutet aber auch Neuland für eben diesen Mitarbeiter und vergleichsweise wenig Zeit für das, was der Mitarbeiter ursprünglich zu tun hatte. Genau an diesem Punkt setzen externe Dienstleister an, die den DSGVO-Mehraufwand von den Schultern der Unternehmen nehmen wollen, damit im Betrieb selbst alles weiterlaufen kann wie gehabt.
Darum kümmern sich die DSGVO-Dienstleister im Detail
Bei den Daten, die laut DSGVO geschützt werden müssen, handelt es sich um sogenannte personenbezogene Daten. Wer glaubt, diese Daten gar nicht im Unternehmen zu haben, weil beispielsweise die Webseite lediglich der Information dient und keine analytischen Daten bereithält, der irrt sich. Eine Musterrechnung zeigt nämlich, dass bereits in einem kleinen Betrieb mit zehn Mitarbeitern, fünf externen Dienstleistern, 100 Kunden und 20 Lieferanten in Summe über 150 personenbezogene Datensätze anfallen. Hinzu kommen Daten von Bewerbern, von Kooperations- und Sponsoring-Partnern sowie von weiteren Akteuren, mit denen das Unternehmen im Austausch steht. Das heißt, dass bereits jeder Ansprechpartner, der mit dem Betrieb in Kontakt steht, mindestens einen schützenswerten Datensatz trägt.
Wie umfangreich das Leistungspaket sein wird, ist abhängig von der Unternehmensgröße. Thematisch sind in der Regel diese Punkte im Unternehmen seitens eines externen Datenschutzbeauftragten abzudecken:
- Anweisungen und Berechtigungen. Vermeintliche „Internas“, wie etwa Berechtigungen und Anweisungen baulicher und technischer Natur, sind regelmäßig und mit Blick auf die DSGVO zu aktualisieren, um die Sicherheit der personenbezogenen Daten zu gewährleisten.
- Datenverarbeitung. Jeder der eben aufgezählten Datensätze muss unter Berücksichtigung von validen Datenverarbeitungsvorgängen während der Verarbeitung geschützt werden.
- Individuelle Vorkehrungen. Hierunter fällt beispielsweise die Pflicht zu dokumentieren, wie das Videoüberwachungssystem auf dem Betriebsgelände funktioniert und inwieweit biometrische Daten dabei erhoben werden.
- Rechenschafts- und Nachweispflicht. Dahinter verbirgt sich die Pflicht, das einzuhalten, was in der DSGVO niedergeschrieben wurde. Dass ein Unternehmen hier rechtlich korrekt arbeitet, muss transparent nachgewiesen werden.
Darüber hinaus sind branchentypische Themen zu bedenken, wie etwa Geschäftsfahrzeuge, die via GPS-Tracking lokalisiert werden können. Diesen Themen müssen sich Handwerker mit einem kleinen Fuhrpark ebenso stellen wie große Logistikbetriebe. Kundendaten fallen sowohl beim Handwerksbetrieb sowie bei einer Lieferkette an, bei der die Bestellung durch mehrere Hände geht. Und selbst im Gesundheitsbereich fallen personenbezogene Daten an, die auf Kundenkarten dokumentiert sein können und zu schützen sind. Zudem haben IT-Dienstleister die Aufgabe, für ein sicheres Datenmanagement zu sorgen – und dieses beginnt mit der Archivierung und Lagerung von Daten und endet mit Hard- und Software, Netzwerken und IT-Systemen noch lange nicht.
Neue Herausforderungen stehen bereits auf dem Plan
Ein Blick auf die Grafik des Bundesverbands Digitale Wirtschaft (BVDW) zeigt: Die ePrivacy-Verordnung (ePV) ist ein Thema, das in der Vergangenheit bereits beschäftigt hat und auch in den kommenden Jahren beschäftigen wird. Ursprünglich stand auf dem Plan, bis Ende 2020 einen gemeinsamen Standpunkt zur ePrivacy zu bekommen, um im Jahr 2021 das Inkrafttreten der neuen ePV anzuvisieren.
Im Kern geht es dabei darum, was die Betreiber von Internetseiten zu beachten haben, sprich: Wer eine Homepage betreibt, muss diejenigen um „Erlaubnis“ fragen, die auf die Seite zugreifen. Was einfach klingt, bedeutet für einen Datenschutzbeauftragten, dass er nicht nur die Auseinandersetzungen rund um die ePV im Blick haben muss, sondern auch die Umsetzung rechtskonform anlegen und überprüfen muss, damit der Betrieb im wichtigen Online-Bereich auf rechtssicheren Beinen steht.
Dass die ePV kommt, steht außer Frage, denn sie legt den inhaltlichen Fokus nicht etwa auf alle personenbezogenen Daten, wie die DSGVO, sondern auf Daten, die im Zuge der Internetnutzung beim User erhoben werden. Entscheidend ist dann, wer sich im Unternehmen um die rechtskonforme Umsetzung kümmern wird: Der Mitarbeiter, der sich bereits um die Umsetzung der DSGVO kümmert, oder ein externer Dienstleister, der als Datenschutzbeauftragter im Betrieb agiert.