merken

Mehr Arbeit mit den Daten

Seit Freitag gilt die neue EU-Datenschutzgrundverordnung. Was heißt das für die kleinen Firmen in der Region?

© dpa

Von Tobias Winzer

Sächsische Schweiz. Das Thema ist nicht gerade beliebt, trotzdem ist fast jeder damit konfrontiert. Kurz bevor am Freitag die Daten-schutzgrundverordnung der EU in Kraft trat, informierte der Unternehmerverband Weißeritztal am Mittwochabend im Freitaler Technologiezentrum über die Folgen der neuen Regeln für die vielen kleinen Firmen in der Region. „Mal sehen, was da Grauenhaftes auf uns zukommt“, raunte einer der Teilnehmer der Runde. Die Sächsische Zeitung verrät es.

Familie und Kinder
Familienzeit auf sächsische.de
Familienzeit auf sächsische.de

Sie suchen eine Freizeitplanung oder Erziehungsrat? Wir unterstützen Sie mit Neuigkeiten sowie Tipps und Tricks Ihren Familienalltag zu versüßen.

1. Neuerung: Es dürfen nur so viele Daten wie nötig gesammelt werden

Dass Unternehmen auf den Datenschutz achten müssen, ist nicht neu. In Deutschland gibt es bereits seit langem die sogenannte Datenschutzverordnung. Die EU führt die Datenschutzgrundverordnung nun ein, damit die Richtlinien in der gesamten Europäischen Union vereinheitlicht werden. Damit sollen auch strengere Kontrollen einhergehen. Wer gegen die Richtlinien verstößt, dem drohen Strafen von bis zu 20 Millionen Euro oder von vier Prozent des weltweiten Jahresumsatzes.

Erstes Prinzip der neuen Verordnung ist die Datensparsamkeit. Unternehmen dürfen nur jene personenbezogenen Daten sammeln, die sie tatsächlich für ihre Arbeit brauchen. Sie sind zweckgebunden. Beispiel Newsletter: Wer einen Newsletter verschickt, sollte von Kunden zur Anmeldung nur den Namen und die E-Mail-Adresse verlangen. Alle anderen Angaben sollten freiwillig sein. In der Verordnung steht explizit, dass jede Erhebung personenbezogener Daten, wie Geburtsdatum oder Adresse, grundsätzlich verboten ist. Es sei denn, es gibt eine gesetzliche Grundlage für die Erhebung – wie zum Beispiel die Standards für das Zustandekommen eines Kaufvertrags oder das Bundesmeldegesetz – oder der Kunde gibt seine Einwilligung.

2. Neuerung: Recht auf Auskunft, welche Daten gespeichert werden

Mit der neuen Datenschutzgrundverordnung hat jeder das Recht, Auskunft über die gespeicherten Daten zu bekommen. Für die Unternehmen bedeutet das im Zweifel Mehraufwand. Will ein Kunde zum Beispiel wissen, welche Daten das jeweilige Unternehmen von ihm gespeichert hat, muss das Unternehmen innerhalb von vier Wochen Auskunft geben. Das heißt, jedes Unternehmen sollte sich einen Plan zurechtlegen, wer bei einer solchen Anfrage zuständig ist. Voraussetzung ist auch, dass die Speicherung der Daten sauber dokumentiert worden ist.

3. Neuerung: Datenschutzerklärung und Datenschutzverantwortliche

Um die neuen Regeln einzuhalten, müssen die Unternehmen auch eine gewisse Infrastruktur aufbauen. Wichtig ist zunächst, dass die eigene Webseite den neuen Regularien entspricht. Unter anderem muss in einer sogenannten Datenschutzerklärung erläutert werden, wer für den Datenschutz zuständig ist und zu welchem Zweck Daten erhoben werden. Im Internet gibt es Programme, mit denen man sich leicht maßgeschneiderte Datenschutzerklärungen zusammenstellen kann. Wer persönliche Daten auf der Webseite erhebt, sollte auch darauf achten, dass die Nutzer die Möglichkeit haben, ihr Einverständnis zu geben.

Jeder Unternehmer braucht ein Datenschutzkonzept. Darin ist zum Beispiel aufgeführt, wer für den Datenschutz zuständig ist, welche Richtlinien es im Umgang mit Daten gibt, welche Informationen an Dritte weitergegeben werden oder wer Zugang zu den Daten hat. Einen festen Datenschutzbeauftragten brauchen die Unternehmen, bei denen sich mindestens zehn Personen mit der Verarbeitung personenbezogener Daten beschäftigen.

Noch mehr Aufwand kommt auf die großen Unternehmen ab 250 Beschäftigten zu. Sie sind verpflichtet, ein standardisiertes Verzeichnis der Verarbeitungstätigkeit zu führen. Tabellenartig wird hier dokumentiert, wie genau im Unternehmen mit bestimmten Daten umgegangen wird und wann die Daten wieder gelöscht werden. Bewerbungsunterlagen sollten zum Beispiel schnell gelöscht werden, wenn der Bewerber nicht infrage kommt.