4 | 2018
Wirtschaft im Südwesten
7
Datenschutz-Grundverordnung
Die Deadline naht
O
b auf Facebook, Twitter oder Google: Viele
Menschen geben heutzutage in sozialen Medien
beziehungsweise im Internet allgemein zahlrei-
che persönliche Daten von sich preis. Oft sind sie sich
dessen oder der möglichen Konsequenzen gar nicht be-
wusst. So verdienen zum Beispiel manche Unternehmen
mit dem Verkauf dieser Daten Geld. Um die Betroffenen
davor zu schützen, dass ihre Daten missbraucht werden
oder ihnen die Möglichkeit zu geben zu erfahren, wel-
ches Unternehmen welche Daten von ihnen speichert,
gibt es die Datenschutz-Grundverordnung (DS-GVO).
Sie wurde vor zwei Jahren verabschiedet und tritt am
25. Mai in allen EU-Mitgliedstaaten in Kraft. Auch das
deutsche Datenschutzgesetz wurde geändert – denn
das EU-Recht lässt den Mitgliedern zum Teil Spielräume.
Die Änderungen haben nicht nur Auswirkungen auf die
großen Internetkonzerne, sondern auf alle Unterneh-
men, die personenbezogene Daten verarbeiten. „Das
macht in der Regel jedes Unternehmen“,
sagt Markus Czogalla, Justiziar der IHK
Südlicher Oberrhein.
Zu personenbezogenen Daten
zählen Name, Post- und E-
Mail-Adresse, Telefonnummer,
Bankverbindung und Alter. Vie-
les davon müssen Unternehmen
speichern. Sonst könnten sie ihren
Mitarbeitern kein Gehalt überweisen,
Kunden keine Rechnung schreiben oder
ihren Ansprechpartner bei einem Lieferanten nicht
kontaktieren. Daher ist dies auch ab dem 25. Mai
erlaubt.
Allerdings müssen ab dem Stichtag alle Unternehmen
dokumentieren, welche personenbezogenen Daten
sie verarbeiten. Zudem sind sie dazu verpflichtet,
diejenigen, von denen sie Daten sichern, darüber zu
informieren, dass sie dies machen und wie lange sie
dies tun wollen. Darüber hinaus müssen Mitarbei-
ter, Kunden oder Kontaktpersonen nun einwilligen,
dass das Unternehmen ihre Daten verarbeiten darf.
Das gilt beispielsweise auch für die Empfänger von
Newslettern. Außerdem muss ihnen die Möglichkeit
gegeben werden, die Erlaubnis dafür zu widerrufen.
Ein sogenanntes Verfahrensverzeichnis hilft Unterneh-
men dabei, alle Aufgaben, die nun auf sie zukommen,
systematisch zu erledigen (Tipps zum Vorgehen für Un-
ternehmen gibt es auch im Interview auf Seite 9).
Unternehmen ab zehn Mitarbeiter müssen ei-
nen Datenschutzbeauftragten benennen.
Er darf weder Mitglied der Geschäfts-
führung noch der Personalabteilung
sein und muss dafür sorgen, dass das
Unternehmen den Datenschutz einhält.
Wer die Betroffenen durch das Spei-
chern ihrer Daten einem hohen Risiko
aussetzt, muss zudem eine sogenannte
Datenschutz-Folgeabschätzung erstellen. Auch Si-
cherheitslücken wie einen erfolgreichen Hackeran-
griff müssen Unternehmen ab dem 25. Mai innerhalb
von 72 Stunden dem Landesdatenschutzbeauftrag-
ten melden. Außerdem muss jedes Unternehmen
bis dahin dokumentieren, wie es in solch einem Fall
vorgeht. Ein weiteres Beispiel: Vertauscht ein
Mitarbeiter der Personalabteilung die Gehalts-
abrechnungen zweier Beschäftigter, muss das
Unternehmen dies melden - auch wenn die
Verwechslung bemerkt und die Betroffenen
darüber informiert wurden.
Vorschriften wie diese muten grotesk an und
verärgern Unternehmer immer wieder. Das war
beispielsweise auf den zahlreichen Informations-
veranstaltungen und Workshops zu spüren, die die
drei IHKs in der Region bereits seit vergangenem Jahr
und verstärkt in diesem angeboten haben, aber auch
bei den zahlreichen Beratungsgesprächen, die die IHK-
Mitarbeiter zu dem Thema führten. Insgesamt haben
sie so jeweils mehrere hundert Unternehmen erreicht.
Ein solcher Ansturm ist für die IHK-Experten neu, wenn
auch nicht verwunderlich: „Ein Gesetz, dass für prak-
tisch alle Unternehmen die gesetzlichen Regelungen
derart massiv ändert, ist definitiv die Ausnahme“,
sagt Robert Dorsel von der IHK Schwarzwald-Baar-
Heuberg. Neue Gesetze zielten meist auf einzelne
Branchen ab oder würden nur graduelle Änderungen
mit sich bringen. Erschwerend kommt bei der Daten-
schutz-Grundverordnung hinzu, dass es kein Patentre-
Das gab es so noch nicht: Die Datenschutz-Grundverordnung, die am 25. Mai in
Kraft tritt, betrifft praktisch alle Unternehmen. Der Aufwand ist allerdings für jedes
Unternehmen unterschiedlich hoch. Viele sind bereits gut vorbereitet, andere müs-
sen jetzt reagieren. Und zwar schnell. Sonst drohen zum Teil immense Geldstrafen.
Es gibt kein
Patentrezept für
Unternehmen