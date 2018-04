Ein Grund zur Panik ist das allerdings nicht. Auf die leichte Schulter sollte man das Thema dennoch nicht nehmen. Was also ist zu tun? Die Rechte der Menschen schützen, die Unternehmen ihre Daten preisgeben, heißt es in der Zusammenfassung, die die EU-Kommission im Internet veröffentlicht hat. "Die wichtigsten Änderungen für Unternehmen ergeben sich aus den gestärkten Betroffenenrechten und erweiterten Informationspflichten", sagt Meike Riley, Datenschutzexpertin der Dr. Merath Beratung mit Sitz in Stuttgart.

Dabei dürfe nicht vergessen werden, dass nicht nur Kunden zu den betroffenen Personen zählen, sondern auch jeder einzelne Mitarbeiter des Unternehmens, ebenso Praktikanten und Bewerber. Ob eine Person Interessent, Kunde, Lieferant oder Mitarbeiter ist, macht einen Unterschied. Denn je nach Situation werden ganz andere Daten verarbeitet. "So kommen zum Beispiel in der Personalverwaltung regelmäßig Gesundheitsdaten vor, während solche Informationen bei Kunden oder Lieferanten keine Rollen spielen", erläutert sie.

Ein Verzeichnis aller Tätigkeiten im Unternehmen, bei denen personenbezogene Daten verarbeitet werden, das sogenannte Verarbeitungsverzeichnis, sei der Dreh- und Angelpunkt für alle weiteren Datenschutz-Maßnahmen. Für die Erstellung sei etwas Mühe nötig. Diese Zeit könne später gespart werden, weil für die anderen Maßnahmen auf gut strukturierte, leicht verfügbare Informationen zurückgegriffen werden kann. Sind Unternehmen in Sachen Datenschutz bereits gut aufgestellt, hält sich der Aufwand in Grenzen.

Wissen in KEP-Datenbank

Hier unterstützt der Bundesverband der Kurier-Express-Post-Dienste (BdKEP), der im BdKEP-Forum auf seiner Homepage auch Informationen zum Datenschutz hinterlegt hat. Hier können sich KEP-Unternehmen beispielsweise damit vertraut machen, welche Arten von personenbezogenen Daten in der Branche verarbeitet werden und welche Rechtsgrundlagen für die Verarbeitung solcher Daten greifen. In dieser Wissensdatenbank ist auch hinterlegt, was in einem Verarbeitungsverzeichnis, unterteilt in Teilprozesse wie Abholung, Transport und Zustellung, stehen muss.

Derzeit bereitet die KEP-Branche die Erstellung eines sogenannten Code of Conduct (Verhaltensregeln) vor, an denen sich Unternehmer bei der Umsetzung der DSGVO orientieren können. Er soll ihnen helfen, rechtssicherer zu handeln.

Die neue Datenschutz-Grundverordnung bringt auch ein bekanntes Thema wieder auf den Tisch. Das Postgesetz definiert Postsendungen nur bis zu einem Gewicht von 20 Kilogramm. Viele Sendungen sind jedoch auch schwerer als 20 Kilo, werden aber im gleichen Fahrzeug befördert. Für sie gelten abweichende Regelungen. Obwohl die Pro­zess­abläu­fe gleich sind, ändert sich zum Beispiel die zuständige Aufsichtsbehörde. "Wir wollen uns dafür einsetzen, dass die Grenze auf die in Europa geltenden 31,5 Kilo angehoben wird. Und damit sind dann nicht mehr zwei unterschiedliche Behörden, also Land und Bund, zuständig", erläutert der BdKEP-Vorsitzende Andreas Schumann.

Unternehmen, in denen sich mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen, müssen einen Datenschutzbeauftragten haben. Das ist nicht neu. Neu ist, dass dieser Mitarbeiter bei den Behörden gemeldet werden muss. "Der sollte regelmäßig geschult werden, denn nach neuem Recht kommt er mehr in Haftung", sagt Daten­schutz­beauf­trag­ter Norbert Bornemann von der Contor Management Beratungsgesellschaft aus Söhlde/Nettlingen, der eng mit dem BdKEP zusammenarbeitet. Da kleinere Unternehmen vermutlich keinen eigenen Datenschutzbeauftragten haben, will der Verband seinen Mitglieder in den Regionen Nord-Süd-Ost-West jeweils einen Ansprechpartner für Datenschutz installieren, der diese in allen Fragen unterstützt.

Vorgänge sind komplex

Datenschutz ist kein Thema, das sich von heute auf morgen erledigen lässt. Je größer das Unternehmen, desto komplexer die Vorgänge. "Die GLS bereitet sich bereits seit über einem Jahr darauf vor. Auf Gruppenebene wurde eine zentrale, übergeordnete Datenschutzfunktion geschaffen", sagt GLS-Sprecherin Anne Putz. So habe der Paketdienst in jeder Landesgesellschaft einen lokalen Datenschutzbeauftragten oder Datenschutzmanager benannt, der Ansprechpartner für das jeweilige Land und zuständig für die lokale Umsetzung der gruppenweiten Datenschutz-Prozesse ist.

"In Deutschland gibt es bereits seit Längerem einen Datenschutzbeauftragten, da der deutsche Datenschutz im internationalen Vergleich insofern immer schon besonders streng war", fügt sie hinzu. Und auch bei Hermes ist Datenschutz nichts Neues. "Uns trifft die neue Verordnung zwar durchaus, allerdings eher in puncto Auskunftspflicht, die mit Inkrafttreten des Gesetzes stärker eingefordert werden wird", erläutert Hermes-Sprecher Ingo Bertram. Mit der neuen Gesetzesgrundlage rücke das Recht der Kunden, Auskunft über die gespeicherten Daten zu erhalten, stärker in den Vordergrund.

Datenschutz ist Chefsache

Vier Fragen an Meike Riley – Datenschutzexpertin der Dr. Merath Beratung in Stuttgart

Frau Riley, die neue EU-Datenschutz-Grundverordnung (DSGVO) tritt am 25. Mai 2018 in Kraft. Was ist außer den gestärkten Betroffenenrechten noch neu?

Meike Riley: Die EU-DSGVO hat bei ihren Grundsätzen für die Datenverarbeitung in Artikel 5 Absatz 2 die Rechenschaftspflicht eingeführt. Das heißt, ein Unternehmen muss jederzeit nachweisen können, dass es die Vorschriften zum Datenschutz einhält. Ohne saubere, vollständige und aktuelle Dokumentation ist das nicht möglich. Wenn nach der bisherigen Rechtslage eine Person der Meinung war, dass ein Unternehmen einen Datenschutzverstoß begangen hatte, musste diese Person den Verstoß beweisen. Nur dann konnte sich eine Aufsichtsbehörde oder ein Gericht damit befassen. Ab dem 25. Mai gilt die Beweislastumkehr: Jetzt müssen Unternehmen beweisen, dass kein Verstoß vorliegt und sie alles richtig gemacht haben.

Was müssen Unternehmen tun, wenn beispielsweise eine Sendung verloren geht?

In jedem Fall gelangen bei einem Fehlversand personenbezogene Daten in die falschen Hände, also mindestens die Anschrift, je nach Inhalt der Sendung möglicherweise auch andere Informationen. Egal ist, ob der falsche Empfänger dann mit den Daten etwas anfängt oder nicht. Gemäß Artikel 4 Nr. 12 EU-DSGVO liegt eine Verletzung des Schutzes per­so­nen­bezo­ge­ner Daten vor, und diese Datenpanne muss das Unternehmen dokumentieren. Unter bestimmten Umständen müssen sogar die Datenschutz-Aufsichtsbehörde und die betroffenen Personen informiert werden (siehe Artikel 32 und 33 EU-DSGVO).

Kritiker sagen, es gebe zu viele Öffnungsklauseln. Was heißt das?

Die Öffnungsklauseln sind keine Schlupflöcher, sondern Spielräume für die einzelnen EU-Mitgliedsstaaten. Für einige Bereiche können die EU-Länder eigene Regelungen schaffen. Diese dürfen jedoch nicht weniger streng sein als die EU-DSGVO. Sie dürfen nur konkretisieren – strenger geht immer – wie etwa in Deutschland das Postgesetz (PostG) und die Postdienste-Datenschutzverordnung (PDSV). Die EU-DSGVO sollte eigentlich ein einheitliches Datenschutzrecht für die ganze EU schaffen. Durch die zahlreichen nationalen Regelungen, die teilweise deutlich voneinander abweichen, ist dieses Ziel leider nicht ganz erreicht worden. Auch haben einzelne Länder teilweise den Spielraum weiter ausgedehnt als vorgesehen. Die Rechtsprechung der kommenden Jahre wird zeigen, wo nachgebessert werden muss.

Was empfehlen Sie nun Unternehmern?

Für den Datenschutz verantwortlich sind in jedem Unternehmen die Menschen in leitenden Funktionen, unabhängig von der Bezeichnung – Geschäftsführer, Vorstand oder Inhaber. Datenschutz ist Chefsache! Ihnen allen empfehle ich, sich mit dem Thema zu beschäftigen. Panik ist dabei wenig hilfreich, und pauschale Handlungspläne nützen nicht viel. Jedes Unternehmen ist einzigartig und hat spezielle Anforderungen. Unternehmer sollten mit ihrem Datenschutzbeauftragten sprechen. Auch die Datenschutz-Aufsichtsbehörden unterstützen durch Beratung und Information – und das tun sie viel lieber, als Prüf- oder sogar Bußgeldverfahren einzuleiten. Zuständig ist in der Regel jeweils die Behörde des Bundeslands, in dem ein Unternehmen seinen Hauptsitz hat.