BMD: 2018 wird das Jahr der Datenschutzgrundverordnung Statement von Dr. Markus Knasmüller/BMD - Nach der Registrierkasse kommt das nächste gesetzlich bedingte IT-Projekt auf die Unternehmen zu (Mit Checkliste für Unternehmen) Steyr, 23. April 2018 – Grundsätzlich ist die Datenschutzgrundverordnung (DSGVO) eine sehr sinnvolle Verordnung der Europäische Union, um Datenkraken wie Google oder Facebook in den Griff zu bekommen, was wohl auch die hohen Strafandrohungen von teilweise über 20 Millionen Euro erklärt. Die Strafen, die aber jetzt alle treffen können, werden durch ein strenges Regelwerk begleitet, das viele Fragen offen lässt. Eine vollständige Umsetzung, die alles berücksichtigt, erscheint kaum möglich, eine praxisbezogene Umsetzung ist gewünscht. Hohe Strafen ab 25. Mai vorgesehen Mit 25. Mai tritt die Datenschutzgrundverordnung in Kraft. Grundsätzlich sind viele der dann geltenden Regeln gar nicht so anders als bisher, jedoch hatten diese oft nicht die Bedeutung wie jetzt. Vielen waren die Regeln einfach schlicht unbekannt. Etwa das Recht auf Auskunft, das jedermann berechtigt bei jedem Unternehmen in der EU anzufragen, ob Daten über ihn gespeichert werden, gab es bereits jetzt in ähnlicher Form. Die Nichterfüllung war bisher aber mit maximal 500,- Euro bestraft, nun mit bis zu 20 Millionen Euro, wobei bei internationalen Konzernen die Strafe sogar höher, nämlich bis zu 4 % des Jahresumsatzes sein könnte. Übrigens, sollten Daten über die Person gespeichert werden, muss eine vollständige Kopie dieser Daten ausgefolgt werden. Kein Grund in Panik zu verfallen Es ist ganz klar, dass hier auf europäischer Ebene die Unternehmen mit hohen Strafdrohungen gezwungen werden den Datenschutz nun ernst zu nehmen. Angesichts einer Vielzahl ausgebuchter Seminare zu diesem Thema dürfte dies auch gelungen sein. Dennoch, so Knasmüller, sollte man nicht in Panik verfallen. Checkliste zur DSGVO Eine praxisorientierte Vorgehensweise ist sinnvoll, folgende Checkliste kann dafür herangezogen werden: Auch wenn ein Datenschutzbeauftragter für die meisten Unternehmen nicht nötig ist, so ist doch sinnvollerweise eine verantwortliche Person für den Datenschutz zu bestimmen. Diese benötigt die Unterstützung des gesamten Unternehmens und vor allem die des Top-Managements, das mit gutem Beispiel vorangehen sollte. Ein Verzeichnis der Verarbeitungstätigkeiten ist zu führen, dies ist vielfach ohnehin verpflichtend, aber jedenfalls sinnvoll. Darin sollten – vereinfacht gesagt – die Programme angeführt werden mit denen personenbezogene Daten verarbeitet werden. Hier werden auch die Softwareanbieter gefragt sein, BMD hat etwa beim Jahresupdate ein vollständiges Verzeichnis seiner Programme diesbezüglich ausgeliefert. Dieses Verzeichnis muss nicht nur bei etwaigen – wohl eher unwahrscheinlichen – Kontrollen der Datenschutzbehörde vorgelegt werden, es dient vor allem dazu selbst die Übersicht zu bewahren. Wo sind bessere Datensicherheitsmaßnahmen zu setzen, in welchen Systemen muss nachgesehen werden, wenn jemand das Recht auf Auskunft begehrt, welche Löschfristen sind wo festzulegen, etc. Werden bei der Verarbeitung von Daten andere Unternehmen, sogenannte Auftragsverarbeiter, eingebunden? Beispiele dafür könnten etwa Newsletter-Agenturen, Steuerberater oder auch IT-Dienstleister (z. B. Cloudanbieter) sein. Mit diesen müssen die Vertragsverhältnisse wahrscheinlich überarbeitet werden, um die DSGVO-Vorschriften zu erfüllen. Aber auch andere Verträge und insbesondere die AGBs sind wahrscheinlich zu überarbeiten. Alle Mitarbeiter sollten eine Verschwiegenheitserklärung unterzeichnen und sind entsprechend zu schulen. Werden Daten in das EU-Ausland übertragen? Derartige Datenflüsse sind nur unter gewissen Umständen zulässig und müssten genauer betrachtet werden. Im Internet sollte eine Informationsseite angeboten werden, die offenlegt, welche Datenkategorien über welche Personen gespeichert werden. Auf diese kann dann bei der Erhebung von Daten, etwa bei Online-Shops, verwiesen werden. Gerade der letzte Punkt ist dabei besonders hervorzuheben, die DSGVO hat die Transparenz im Vordergrund. Eine Person sollte wissen, wann über sie Daten gespeichert werden und sie sollte darauf vertrauen können, dass sorgsam mit ihren Daten umgegangen wird. Grundsätzlich etwas Selbstverständliches und wenn nach dieser Checkliste vorgegangen wird, sollte der Aufwand auch überschaubar bleiben. Markus Knasmüller (46) ist Abteilungsleiter für Software-Entwicklung und Prokurist bei BMD-Systemhaus in Steyr sowie gerichtlich zertifizierter Sachverständiger, unter anderem für Datenschutz.