Marion Kenklies zur Datenschutzverordnung: "25 % haben sie umgesetzt, 50 % irgendwie angefangen."
Für die europäische Datenschutzverordnung gibt es drei Gründe: Erstens die Digitalisierung, zweitens die Globalisierung und drittens der persönliche Schutz des Einzelnen. Am 25. Mai 2018 ist das Recht in Kraft getreten. Aber noch haben viele Betriebe die daraus entstehenden Forderungen nicht oder nur unvollständig umgesetzt. Die Rechtsanwältin Marion Kenklies warnt: "Man kann leicht eine Abmahnung erhalten. Dann sofort reagieren und zum spezialisierten Anwalt gehen, denn die Abmahner arbeiten mit sehr kurzen Fristen." Generell richtet sich der Inhalt einer Datenschutzerklärung danach, welche Datenverarbeitungsformen und Vernetzungen man im Betrieb hat. Sicherheit biete eine ISO 27001-Zertifizierung - "die hilft auch bei öffentlichen Aufträgen, die in Zukunft nur elektronisch ablaufen werden."
Handlungsbedarf gibt es auf allen Ebenen: Wer hat seine Website verschlüsselt? Wer hat eine Datenschutzerklärung auf der Facebookseite? Wer hat abschließbare Aktenschränke? Wer hat ein schriftlich niedergelegtes Notfallkonzept? Selbst geordnete Daten auf Papier fallen unter die Verordnung. Ein Schredder braucht die Sicherheitsstufe 4 oder 5. Manche E-Mails muss man löschen, andere nicht. Kenklies: "Daten, die gesetzlich erhoben werden, darf man halten. Alles andere setzt persönliches Einverständnis voraus. Und das muss man beweisen können."
Nach einem ersten Telefonat mit einem Auftraggeber sollte man ihm eine vorgefertigte E-Mail mit der Datenschutzerklärung senden. Auf die Einwilligung zur Datenspeicherung muss der Betrieb gezielt hinweisen. Und wie lange darf man Daten von nicht zustanden gekommenen Aufträgen aufheben? Eigentlich gar nicht. Zügiges Löschen ist die Devise. Geburtstagsgruß, Newsletter-Versand, kleine Gewinnspiele zur Kundengewinnung - all das sind nach aktueller Rechtslage heikle Angelegenheiten.
Ganz schwierig wird es, wenn sich ein Jugendlicher auf eine Lehrstelle bewirbt und diese Bewerbung per Whatsapp an verschiedene Adressen der Firma sendet. Wird er nämlich nicht genommen, muss sichergestellt werden, dass seine Daten überall wieder gelöscht werden. Noch existieren wenige Urteile zu den vielen Unsicherheiten, aber Fallstricke im neuen Datenschutz gibt es genug. Eines wird auf jeden Fall verlangt: Hat jemand sein Betriebs-Handy mit sensiblen Daten verloren, muss man das innerhalb von 72 Stunden der Datenschutzbehörde melden.
aus
Parkett Magazin 01/19
(Recht)