EU-Datenschutzgrundverordnung: Was Sie bis zum 25. Mai 2018 tun müssen?

Am 25. Mai 2018 ist die Übergangsfrist für die EU-Datenschutzgrundverordnung abgelaufen informierte Datenschutzexperte Thomas Floß, den 140 Gästen, die der Einladung des Europe Direct Informationszentrum Steinfurt in das Kommunikationszentrum der Kreissparkasse in Steinfurt am 19. Februar gefolgt waren. Eindringlich wies er daraufhin, die Verordnung Ernst zu nehmen, denn Unternehmen erwarten hohe Sanktionen und das vermutlich schon wenige Tage nach dem Stichtag, ist er sich sicher. Auch ging er kurz auf die ePrivacy-Verordnung ein. Sie tritt voraussichtlich nächstes Jahr in Kraft und sie hat das Zeug, die digitale Werbewelt radikal über den Haufen zu werfen.

Datenschutzexperte Thomas Floß erläuterte den rund 140 Gästen aus Unternehmen und von Vereinen im Kommunikationszentrum der Kreissparkasse in Steinfurt die Herausforderungen der EU-DSGVO.

Birgit Neyer, Geschäftsführerin der WESt bedankt sich bei Thomas Floß für die gelungene Einführung in das Thema.

Da wir in eine sich immer mehr digitalisierenden Zeit leben, musste sich die Gesetzgebung anpassen, so stimmte Unternehmensberater Thomas Floß auf die EU-Datenschutzgrundversordnung ein. Der Schutz der Privatsphäre ist gelungen. Hier handelt es sich um das beste Gesetz der Welt, aber an Unternehmen habe man dabei nicht immer gedacht. Sie bringt für die Wirtschaft einigen Aufwand mit sich. Die Umsetzung der EU-DSGVO zielt auf die Einrichtung eines Datenschutz-Management-Systems ab und muss das Unternehmen als Ganzes erfassen.

Galt bislang, dass die Datenschutzbehörden Verstöße nachweisen mussten, wird die Beweislast umgekehrt. Datenpannen müssen innerhalb von 72 Stunden bei der zuständigen Datenschutzbehörde gemeldet werden. Die Frist beginnt unabhängig davon, ob es sich um einen Arbeitstag oder Feiertag, Weihnachten oder Ostern handelt. Daher rät der Datenschutzexperte zu einem Notfallplan. Es drohen Geldstrafen von 20 Millionen bis zu vier Prozent des Umsatzes, wenn Unternehmen keine Auskunft über die Verwendung der Daten geben können. Veraltete Daten sollten rigoros und nicht wieder herstellbar gelöscht werden.

EU-Datenschutzgrundverordnung: Das sollten Sie wissen! Flyer der Floß GmbH

Präsentation von Thomas Floß, Referent der Veranstaltung zur EU-Datenschutzgrundverordnung am 19. Februar 2018.

Aufsichtsbehörden, die im Vortrag angesprochen wurden.

NRW: LDI Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen

Bayern: Landesamt für Datenschutzaufsicht

Niedersachsen: Die Landesbeauftragte für den Datenschutz mit Online-Test für Unternehmen und andere Vernatwortliche

Die Europäische Kommission hat einen Leitfaden zu den wichtigsten Neuerungen für kleine und mittlere Unternehmen herausgegeben.

Bericht dazu finden Sie hier.

Nach dem kurzweiligen Vortrag ging Herr Floß auf Fragen ein.

„Personenbezogene Daten“ sind laut EU-DSGVO „alle Informationen, die sich auf eine identifizierte oder identifizierbare lebende Person beziehen. Verschiedene Teilinformationen, die gemeinsam zur Identifizierung einer bestimmten Person führen können, stellen ebenfalls personenbezogene Daten dar.“

Zu dem Hinweis, dass What’s App auf Firmenhandy ein no-go wäre, stellte sich die Frage, ob What’s App auch vom Firmenhandy verschwinden muss, wenn sich keine Firmenkontakte darauf befinden. Herr Floß wies darauf hin, dass alle Daten, die man über What’s App preisgibt bei Facebook landen.  Ansonsten, müsse die App in diesem Falle nicht unbedingt gelöscht werden. Bezüglich der Sicherheit der Kundendaten bei Nutzung der Dropbox oder Facebook, vergewisserte sich das Publikum, ob die Personenbezogenen Daten nicht ausreichend geschützt seien, wenn diese mittels Codierung abgespeichert werden. Dabei würde dann jedem Kunden eine Nummer zugewiesen werden und anstelle des Namens, mit der Nummer gearbeitet werden. Dazu meinte Herr Floß, der in seinem Vortrag darauf hingewiesen hatte, dass es seinen Grund habe, warum Daten dort kostenlos gespeichert werden könnten, dass es einzelfallabhängig sei. Er machte deutlich, dass es „irgendwo in der Firma“ eine Legende zu den Nummern geben muss. Was also bedeute, dass nicht nur mit den Nummern gearbeitet werden würde. Bei dem Gebrauch einer I Cloud habe der Nutzer keinen Einfluss auf den Datenschutz, d.h. der Betreiber haftet mit, aber der Nutzer steht laut Herrn Floß in der Pflicht, die Gegebenheit zu prüfen. Bei sensiblen Daten sei eine deutsche Datenbank die sicherere Alternative. Die USA würde in diesem Bereich als unsicherer Drittstadt eingestuft. Das trifft auch auf Großbritannien zu, wenn sie die Europäische Union Gemeinschaft verlassen.

Kundendaten im B2B Bereich sollten nach der gesetzlichen Aufbewahrungsfrist von 10 Jahren gelöscht werden und zwar hart. „Hart löschen“ bedeutet z. B., dass ehemalige Kunden aus allen Listen gelöscht wurden und die Daten nicht wiederherstellbar sind. Auch die Mitarbeiter müssen darüber informiert werden, was mit ihren Daten geschieht und an wen sie weitergeleitet werden.

Ein Datenschutzbeauftragter ob intern oder extern ist ab 10 Personen, die mit personenbezogenen Daten in Berührung kommen, erforderlich. Dieser besäße aber nur eine Kontrollfunktion, verantwortlich sei immer der Eigentümer bzw. der Geschäftsführer. Einen guten Datenschutzbeauftragten erkenne man daran, dass er über breites Fachwissen verfügt und viel Erfahrung mitbringt.

Bei eingetragenen Vereinen wurde gefragt, wie Neumitglieder am besten über die Datenverwendung informiert würden. In Datenschutzinformationen in die Satzung aufzunehmen würde bei Änderung auch jeweils eine Satzungsänderung bedeuten, daher wäre ein Beiblatt die bessere Lösung. Vorlagen für Verbände gäbe es wenige, hierbei gelte die Orientierung an Unternehmen. Bei der Speicherung von Daten von Vereinsmitgliedern auf den privaten PC, müsse den Mitgliedern mitgeteilt werden, zu welchem Zweck die Anschrift genutzt wird und der Zugriff auf die Daten müsse geschützt sein.

Zu der Verordnung gäbe es noch keine Rechtssprechung, daher würde er einem Verfahren mit Gelassenheit entgegen, wenn ein Datenschutzmanagement etabliert sei und die Maßnahmen begründet werden könnten, gab er den Zuhörern mit auf Weg.