Autoren: Stefan Luther & Elisa Jannasch, ALOS GmbH
Hier nun Teil II unserer Zusammenfassung der markantesten Punkte der DSGVO. Unser Fokus liegt auf der Auftragsdatenverarbeitung und dem Marketing.
Auftragsdatenverarbeitung
Ein Punkt hat nicht nur uns besonders getroffen, sondern sicherlich auch viele Kunden und Interessenten: das Thema Auftragsdatenverarbeitung. In dem Moment, in dem die Wahrscheinlichkeit gegeben ist, dass auf die Personendaten von Nutzern zugegriffen wird, dann sind Unternehmen in der Pflicht, einen Vertrag zur Auftragsdatenverarbeitung abzuschließen. Jeder weiß, dass Alos Solution als Dienstleister für den Support auch die Scanner ihrer Kunden wartet. Wenn im Zuge der Wartung in den Scanner geschaut wird und sich darin noch ein Stück Papier befindet oder bei der Software-Prüfung personenbezogene Daten eingesehen werden kann, ist schon ein Vertrag zur Auftragsdatenverarbeitung notwendig – egal, wie gering die Wahrscheinlichkeit für solche Vorkommnisse sein mag. Muster für Verträge zur Auftragsdatenverarbeitung finden Sie unter anderem bei der BITKOM: https://www.bitkom.org/Bitkom/Publikationen/Begleitende-Hinweise-zu-der-Anlage-Auftragsverarbeitung.html
Jedes Unternehmen ist zudem in der Pflicht, ein Verzeichnis über die Verarbeitungsschritte im Unternehmen in Bezug auf personenbezogene Daten zu führen. Wie sich das darstellen kann, erfahren Sie unter diesem Link: https://www.bitkom.org/Bitkom/Publikationen/Leitfaden-Das-Verfahrensverzeichnis.html
Mit einem Verzeichnis allein ist es jedoch nicht getan, auch die internen Mitarbeiter müssen geschult werden: Wie geht man mit dem Datenschutz um? Der Fokus der Schulung sollte auf folgenden Punkten liegen:
- Vertraulichkeit / Datengeheimnis
- Informationsrechte und ‑pflichten
- Auskunftsrecht
- Recht auf Vergessen-Werden
- Prinzipien des Datenschutzes durch Technik-Gestaltung (technische Integration des Datenschutzes / Privacy by Design)
- Datenschutz durch datenschutzfreundliche Voreinstellungen (Privacy by Default)
Unternehmen sollten nachweisen können, dass ihre Mitarbeiter geschult sind, dass sie proaktiv auf Kunden und Lieferanten zugegangen sind, um der DSGVO Genüge zu leisten.
Die Aufwände innerhalb der Unternehmen, die zur Einhaltung der DSGVO geleistet werden müssen, sind nicht zu unterschätzen. Dabei stellen sich auch noch viele ungeklärte Fragen: Welche Rolle nimmt die Aufsichtsbehörde ein, wie stringent ist sie aufgestellt? Wie geht man mit Beschlüssen um? Gerade die Landesbehörden wurden angewiesen, im Rahmen der Digitalisierung auch den Datenschutz wirklich zu forcieren. Der zweite Anstoß ist natürlich auch: Wenn die DSGVO mehr Personal und damit Neueinstellungen erfordert, wie kommt eine Kostendeckung zustande?
Auch im Marketing ist die DSGVO ein spannendes Thema: Die Formulierungen zum Datenschutz inkl. optionaler Abmeldung von Google müssen sich auf jeder Homepage wiederfinden. Gerade im Marketing lässt sich die Reichweite der Nutzung personenbezogener Daten leicht einsehen. Man kennt es aus dem Privatleben: Man sucht auf einem entsprechenden Portal nach einem Auto und wundert sich über die Werbung für Hotels an dem Reiseziel, das man zuvor für ein verlängertes Wochenende recherchiert hat. Dieser Algorithmus ist zwar nicht kritisch, aber wirkt störend. Es gibt aber auch Seiten, die ihre teils wichtigen Informationen mit Werbebannern überlagern. Diese müssen Sie dann aktiv schließen, was Sie in Ihrer Informationsbeschaffung behindert.
Es ist im Marketing also wichtig, die Richtlinien der DSGVO
- einzuhalten und
- die Einhaltung nachvollziehbar und vollständig zu dokumentieren
Als Fazit: Schauen Sie sich die wesentlichen Punkte der DSGVO genau an. Mit dem Thema Datenschutz sollte man in Zukunft sehr sensibel umgehen und auch für das Unternehmen ein Leitbild schaffen. In der Vergangenheit wurden Daten gesammelt. Jetzt muss man aufpassen, dass man mit diesen gesammelten Daten nicht in einen negativen Bereich wandert. Nehmen Sie die DSGVO als Anlass, einmal nachzuprüfen, ob Sie wirklich noch all diese Daten benötigen. Benötigen Sie noch den vollständigen Datensatz oder können eventuell die personenbezogenen Daten gelöscht werden.