Welche Daten sammeln Sie mit Ihrem Unternehmen? Grundsätzlich gibt es drei Gruppen von Personen, deren Daten von fast jedem Unternehmen gesammelt werden: Mitarbeiter-, Kunden- und Lieferanten-Daten. In der EU-DSGVO werden diese Personengruppen „datenschutzrechtlich Betroffene“ genannt, weil Sie von diesen Personengruppen persönliche Daten erfasst haben (hierbei ist es für die EU-DSGVO nicht interessant, ob es sich dabei um natürliche oder juristische Personen handelt).
Diese datenschutzrechtlich Betroffenen haben im Bezug auf die gespeicherten Daten umfangreiche Rechte: Da wäre zuerst einmal das „Recht auf Auskunft“. Hierbei handelt es sich um ein weitreichendes Recht, weil jede datenschutzrechtlich betroffene Person hat das Recht zu fragen: Welche Daten der Person werden erfasst? Wie werden diese Daten verarbeitet? Zu welchem Zweck werden die Daten wie lange gespeichert? Wann werden diese Daten gelöscht? Wer hat – firmenintern oder extern – Zugriff auf diese Daten? Beim letzten Punkt ist insbesondere auch die Datenweitergabe an Steuerberater, Finanzbehörden etc. zu berücksichtigen!
Die Person hat weiterhin das Recht auf Löschung der Daten. Beispiel: Ein Kunde fragt bei Ihnen ein Produkt oder eine Dienstleistung an, entscheidet sich dann aber gegen Sie als Lieferanten. Hier haben Sie dann die Verpflichtung, die Daten des Interessenten unverzüglich zu löschen. Dieses gilt aber zum Beispiel auch für Kunden, Mitarbeiter und Lieferanten, sofern keine anderen gesetzlichen Aufbewahrungspflichten dagegen sprechen. Bei einer Löschung müssen aber auch alle entsprechenden Datensicherungen berücksichtigt werden; es darf nicht sein, dass nach einer eventuellen Datenrücksicherung die Person plötzlich wieder in der Datenbank enthalten ist.
Dann gibt es das Recht auf Datenberichtigung, was ja eigentlich selbstverständlich ist: Falsche Daten sind unsinnig! Allerdings gilt auch hier: Datensicherungen müssen ebenfalls entsprechend angepasst werden!
Ebenfalls ein wichtiges Recht ist das Recht auf Widerruf der Datennutzung; hierbei handelt es sich nicht um eine andere Art der Datenlöschung, sondern die explizite Einschränkung der Datennutzung durch Widerruf – ein Beispiel: Ein Kunde kauft bei Ihnen kontinuierlich etwas ein und ist im Newsletter Ihrer Firma eingetragen oder erhält sonstige Informationen per eMail oder Post. Der Kunde kann dann der Datennutzung für den Newsletter bzw. der anderweitigen Nutzung widersprechen, ohne dass seine Kundendaten im Shopsystem hiervon betroffen wären. (Anm.: Dieses Recht ist bereits seit einigen Jahren durch ein anderes Gesetz gültig, wird nun aber ein Teil der EU-DSGVO!)
Ganz neu im Rahmen der EU-DSGVO ist das Recht auf Datenübertragung. Dieses betrifft überwiegend Mitarbeiter (oder bei Vereinen die Mitglieder …), welche den Arbeitgeber (bzw. Verein) wechseln. Diese haben dann ein Recht darauf, ihre Daten – auch von der Website oder den Social Media-Kanälen des bisherigen Arbeitsgebers/Vereins – zu dem neuen Arbeitgeber/Verein mitzunehmen. (Ob dieses sinnvoll ist, sei einmal dahingestellt. Allerdings hat die Person auch hier das Recht, diese Daten löschen zu lassen – womit Fotos, Videos und Postings, in denen die Person abgebildet oder erwähnt wurde, von der Internetseite bzw. den Social Media-Kanälen des bisherigen Arbeitgebers/Verein zu entfernen sind!
Für Sie als Unternehmer sollten daher die folgenden drei grundsätzlichen Fragenbereiche im Rahmen Ihrer Dokumentationspflicht gestellt werden:
1.) Welche Daten haben ich über die drei genannten Personengruppen bei mir gespeichert?
Hierzu zählen dann auch die Fragen „Welche Datenbanken gibt es (Kunden-, Interessenten-, Lieferanten- und Mitarbeiter/Mitglieder-Datenbank)?“, „Wer hat Zugriff auf diese Daten?“ (Buchhaltung, Steuerberater usw.), „Wie werden diese Daten verarbeitet und gespeichert?“ (lokal, Server, Cloud …)
2.) Ist mein Unternehmen auf die EU-DSGVO vorbereitet? Ist meine IT darauf ausgerichtet (hierunter fällt zum Beispiel auch die jeweilige Website)? Wissen meine Mitarbeiter Bescheid?
Hierbei ist es besonders wichtig, dass die Personen, die direkt mit den o. g. Daten in Kontakt kommen, entsprechend der EU-DSGVO auf die Einhaltung derselbigen im Bezug auf Datenverwendung und Datenweitergabe informiert und – ganz wichtig – schriftlich verpflichtet worden sind!
3.) Habe ich die Erfassung, Verarbeitung, Verwendung und notwendige Weitergabe der personenbezogenen und datenschutzrechtlich relevaten Daten sowie die datenschutzrechtliche Belehrung der entsprechenden Stellen ordentlich dokumentiert?
Hierzu gehört auch die Benennung der Personen (natürlich oder juristisch), welche die Daten an welcher Stelle zu welchem Zweck verarbeiten (Finanzamt, Steuerberater, Bank, Post … aber auch Buchhalter, Sekretärin usw.)?
Wenn Sie alle diese Punkt – und das ist nur der erste Teil – umgesetzt haben und diese auch auf Nachfrage der Bundes- bzw. Landesdatenschutzbeauftragten (und ja, diese Nachfragen werden kommen …) innerhalb der gesetzten Frist vorlegen können, dann können Sie sich für diesen Teil der DSGVO entspannt zurücklehnen.
Sollten Sie aber auch nur bei einem Punkt unschlüssig sein, sollten Sie sich dringend mit uns in Verbindung setzen! Wir helfen Ihnen gerne weiter!