Digitale Transformation – ein Interview zum Thema DSGVO

Die am 25. Mai 2018 in Kraft getretene EU-Datenschutz-Grundverordnung (DSGVO) erzeugt bei vielen Unternehmen noch Unsicherheit und wirft die Frage auf, ob sie alles richtig gemacht haben. Wir haben uns aufgrund dieser Ungewissheit mit einem Experten, dem Rechtsanwalt Daniel Rink, zusammen gesetzt und ihm die Fragen gestellt, die Ihnen wahrscheinlich auf dem Herzen liegen.

Tech Data: Herr Rink, wie wird seit dem 25. Mai grundsätzlich und im Detail mit Kundenstammdaten umgegangen?

Daniel Rink: Natürlich dürfen Kundenstammdaten auch weiterhin verarbeitet werden. Diese Aussage greift aber zu kurz.  Relevant sind häufig Kleinigkeiten. Auftretende Fragen sind:  Darf ich weiterhin Geburtstage speichern, um meinen Kunden einen Gruß zukommen zu lassen? Wie verhält es sich eigentlich mit Visitenkarten?
Häufig ist zu lesen, dass dies künftig alles nicht mehr erlaubt sei, weil nur notwendige Daten gespeichert werden dürfen. Diese Ansicht verkennt, dass die Datenschutzgrundverordnung eine Vielzahl von Erlaubnistatbeständen kennt. In diesen Fällen wird man sich wohl erfolgreich auf „berechtigte Interessen des für die Verarbeitung Verantwortlichen“ berufen können.
Vergessen wird aber, dass ich alle meine Kunden schon bei Beginn der Datenverarbeitung über Art und Umfang etc. informieren muss. Diese Pflicht ist nicht nur lästig, sondern stellt Unternehmen vor nicht leicht zu lösende Herausforderungen.

Tech Data: Sind weitere Sicherheitsvorkehrungen von Seiten der Unternehmen zum Schutz von Daten erforderlich? Falls ja, wie gestalten sich diese?

Daniel Rink: Wesentliche Änderung der Datenschutzgrundverordnung ist neben der Tatsache, dass die unzureichende Absicherung der Datenverarbeitung jetzt bußgeldbewährt ist, dass die Auswahl der zu treffenden Maßnahmen risikoorientiert ist. D.h. Sie müssen die personenbezogenen Daten, die Sie verarbeiten, klassifizieren und nach der jeweiligen Klassifizierung im erforderlichen Maße schützen. Das Ganze ist in der Informationssicherheit ein gängiger Prozess. Wir empfehlen hier die anschließenden Maßnahmen anhand gängiger Industriestandards auszuwählen.

Tech Data: Wie sollten Unternehmen mit Anfragen von Kunden umgehen, die nun Einsicht in diese Kundenstammdaten verlangen?

Daniel Rink: Ganz wichtig: Verifizieren Sie den Kunden, bevor Sie die Daten herausgeben. Ansonsten empfehle ich, bereits vor der ersten Anfrage einen Prozess zu etablieren, der es ermöglicht, schnell auf derartige Anfragen reagieren zu können. Wenn das Konzept durchdacht ist, ist die Beantwortung der Anfragen auch gar nicht so schwierig.

Tech Data: Was machen Unternehmungen, die z. B. europäisch oder global aufgestellt sind?

Daniel Rink: Die DSGVO schreibt ein sog. Verfahrensverzeichnis vor. Das Unternehmen soll, vereinfacht gesprochen, alle seine Verfahren, in denen personenbezogene Daten verarbeitet werden, dokumentieren. Von vielen Unternehmen wird dies als eine überflüssige Last empfunden. Hier zeigen sich aber die Vorteile: Durch das Verarbeitungsverzeichnis weiß ich, welche Daten ich an andere Konzernunternehmen übermittle und kann bedarfsgerecht prüfen, wie ich diese Übermittlungen legalisieren kann. Hierbei spielt es eine entscheidende Rolle, in welches Zielland diese Daten übermittelt werden. Häufig ist es sinnvoll, mit Binding Corporate Rules (BCR) zu arbeiten, die schlicht nichts anderes sind, als Verhaltensregeln, wenn nicht sogar eine Auftragsverarbeitung vorliegt.

Tech Data: Wie sind Mitarbeiter in Unternehmen auf die Änderungen am besten vorzubereiten? Was darf man seit dem 25. Mai nicht mehr und was ist noch statthaft?

Daniel Rink: Begreifen Sie Datenschutz als Chance, die Informationssicherheit in Ihrem gesamten Unternehmen zu verbessern. Mitarbeiter sind zu sensibilisieren. Auch heute noch wird mit der Speicherung von personenbezogenen Daten, sowie mit Daten, welche für das Unternehmen besonders wichtig sind, viel zu fahrlässig umgegangen. Der klassische Server im Unternehmen hat ausgedient. Neu sind eine Vielzahl unterschiedlichster Speicherorte. Diese werden eingesetzt, ohne sich vorher Gedanken über die Sicherheit oder auch Rechte an den dort eingestellten Informationen zu machen. Banalitäten wie die Sicherung des Bildschirms in der Bahn gehören natürlich auch dazu. Machen Sie keine klassischen Schulungen, sondern führen Sie Ihre Mitarbeiter kreativ an diese Themen heran.

Daniel Rink ist Gründer seiner gleichnamigen Rechtsanwaltskanzlei und hat mehr als 20 Jahre Erfahrung in der IT-Branche. Sein Fokus liegt auf der rechtlichen Beratung für Digitalisierungprozesse in Unternehmen und der Unterstützung für eine kosteneffiziente und effektive Datenschutzorganisation.