Datenschutz-Grundverordnung hat Gewerbetreibende „kalt erwischt“
Datenschutz ist wichtig, richtig und richtig kompliziert. Er kann damit beauftragte Unternehmen aber auch an den Rand der Verzweiflung bringen, wie ein Info-Abend beim Wehrheimer Gewerbeverein zeigte.
Die Uhr tickt: Der 25. Mai 2018 ist ein wichtiger Termin für Selbstständige und Freiberufler. Ab diesem Tag müssen sie – wie die meisten Unternehmer, Unternehmen und Behörden – die EU-Datenschutz-Grundverordnung (EU-DSGVO) umgesetzt haben. Ziel der Richtlinie ist ein einheitlicher Umgang in der Europäischen Union mit personenbezogenen Daten. Der Gesetzgeber verspricht sich davon mehr Sicherheit für sensible, digital verarbeitete Informationen über Verbraucher.
Wer sich darauf nicht einstellt, muss mit erheblichen Bußgeldern von bis zu 20 Millionen Euro rechnen. Was das alles bedeutet und was da auf sie zukommt, wissen Wehrheims Gewerbetreibende nun auch, zumindest können sie es nach einem Vortrag von IT-Spezialist Dominic Schneeweis erahnen.
Viele der rund 60 zur Monatsversammlung erschienenen Mitglieder fühlten sich von dem Gehörten „kalt erwischt“, schüttelten fassungslos mit den Köpfen und sahen sich ratlos oder auch ratsuchend an. „Ich glaub’, ich mach’ mein Lade’ zu“, meinte einer sarkastisch. Er dürfte es zwar nicht tun, es beschrieb aber die Stimmung im Saal. Nicht unbedingt zur Beruhigung trug auch die Information bei, dass Unternehmen, die mit besonders sensiblen personenbezogenen Daten umgehen, etwa größere Arztpraxen, aber auch Steuerbüros, nach der neuen Datenschutzverordnung kaum darum herumkommen werden, einen Datenschutzbeauftragten bei sich zu installieren. Und für noch mehr Unverständnis sorgte der Umstand, dass der dann praktisch schalten und walten kann, wie er will, niemandem im Unternehmen weisungsgebunden und noch dazu nahezu unkündbar ist.
Rechte stärken
In erster Linie sollen die DSGVO-Neuerungen die Grundrechte und Grundfreiheiten der Verbraucher stärken. Konkret folgt daraus ein weit strenger geregelter Umgang mit personenbezogenen Daten, die einen Menschen identifizierbar machen, als bisher, vor allem auch im elektronischen Zahlungsverkehr. Damit wirkt sich die Datenschutz-Grundverordnung auf alle Unternehmen aus, die im Internet aktiv sind. Betroffen ist beispielsweise, wer Facebook-Kanäle betreibt, Newsletter verschickt, Nutzerverhalten oder Kundendaten erfasst und auswertet. Unverlangt zugeschickte Werbung verletzt das Persönlichkeitsrecht. Ohne dezidierte – und jederzeit widerrufbare – Einverständniserklärung der Betroffenen geht da gar nichts mehr, und mit einem simplen „Bin einverstanden“-Kreuzchen ganz unten ist es nicht mehr getan. Kundenbezogene Daten dürfen auch nur noch so lange vorgehalten werden, wie es die Erfüllung eines Liefer-, Werk- oder Beschäftigungsvertrags erfordert.
Regelrecht gefährlich
Zunehmend problematisch wird es auch im E-Mail-Verkehr. Ohne durchgängige und Provider-übergreifende End-to-End-Verschlüsselung von Mails wird es sogar regelrecht gefährlich. Unabdingbar sei dabei der Austausch von Passwörtern zur Auflösung der Verschlüsselung. Die sollten aber besser telefonisch vereinbart und nicht elektronisch verschickt werden. Wie normale Geschäftsvorgänge zehn Jahre lang aufbewahrt werden müssen, ist das künftig auch im Mailverkehr. Dabei reicht es nicht, eine Mail auszudrucken und abzuheften: „Der Ausdruck ist nicht das Original, die Mail ist das Original, und die muss löschungssicher archiviert werden“, sagte der Wehrheimer IT-Spezialist Dr. Mark Sen Gupta, der dazu riet, wirklich Wichtiges besser wieder mit der richtigen Post zu schicken. Selbst vermeintlich unverfänglicher Mailverkehr könne datenschutzrechtlich relevant sein. Sen Gupta: „Da erkundigt sich ein Vater bei einem Restaurant nach den Preisen für die Kommunionfeier seines Sohnes. Eigentlich ist da nichts dabei. Der Wirt weiß aber über den Familienstand Bescheid, er weiß, dass der Gast katholisch ist, wo er wohnt, wie er heißt und wie er erreichbar ist, das alles sind sensible personenbezogene Daten.“
