Umgang mit personenbezogenen Daten neu überdenken

WirtschaftsTalk informiert über EU-Datenschutz-Grundverordnung

Mitteilung von

Über 60 Teilnehmerinnen und Teilnehmer begrüßte Bürgermeister Otto Steinkamp am Donnerstag (8. Februar) zum 22. Wallenhorster WirtschaftsTalk zum Thema „EU-Datenschutz-Grundverordnung (EU-DSGVO) – Rechte und Pflichten für Unternehmen“. „Vor 20 Jahren hätten zu dem Thema nur zwei bis drei Leute teilgenommen, doch heute sind Daten so wichtig und teuer wie nie“, resümierte er gleich zu Beginn. Mitveranstalter Stefan Ludwig, Vorstand „Wir für Wallenhorst“ – Marketing e.V. und selbst Unternehmer, bestätigte dies mit der These „Daten sind das Gold des 21. Jahrhunderts und wir leben heute von Daten.“

Als Referent stellte Rechtsanwalt Stephan Beume von der DSO Datenschutz Osnabrück UG in einem Überblick den aktuellen Stand des Datenschutzes in Deutschland und den neuen ab dem 25. Mai 2018 geltenden Stand vor. An diesem Datum wird die EU-DSGVO europaweit in Kraft treten. „Es geht nur um Daten von natürlichen Personen und nicht um alle Daten“, konnte Beume zunächst beruhigen. Aber wenn in einem Schreiben an ein Unternehmen der Name eines Mitarbeiters stehe, sei hierdurch bereits ein Bezug zu einer natürlichen Person hergestellt und das Datenschutzrecht greife ein. Betroffen sei nicht nur die elektronische Verarbeitung von Daten, sondern auch alle Schriftstücke in Papierform mit Personenbezug. Werde beispielsweise in einem Lager mit Lieferscheinen gearbeitet, auf denen Personendaten stehen, seien auch die Lagerbeschäftigten mit personenbezogenen Daten in Kontakt.

Die Beschäftigtenanzahl sei wichtig, wenn es um die Pflicht zur Bestellung eines Datenschutzbeauftragten gehe, so Beume. Zwar bestehe nach der EU-DSGVO eine solche Bestellpflicht erst ab 250 Beschäftigten. Das deutsche Bundesdatenschutzgesetz lege jedoch verschärfend fest, dass in Deutschland bereits ab zehn Beschäftigten ein Datenschutzbeauftragter zu bestellen sei.

Am meisten Arbeit für die Unternehmen dürfte die Erstellung von sogenannten Verfahrensverzeichnissen sein, in denen der vollständige Datenfluss dokumentiert werden müsse, erläuterte der Rechtsanwalt. Außerdem müssten weitere Informationen wie Zeitpunkte, wann Daten wieder gelöscht werden und auch eine Risikobewertung aufgeschrieben werden. Beume zeigte weitere Aspekte auf, welche erweiterten Rechte und Aufgaben zukünftig die Landesdatenschutzbehörde habe. Diese werde nicht nur informieren und für Fragen zur Verfügung stehen. Ihr sei auch Zugang zu Geschäftsräumen und Computern zu gewähren und sie dürfe die weitere Verarbeitung von Daten verbieten oder sogar die Löschung anweisen.

Bislang gebe es bei Verstößen gegen den Datenschutz nur Bußgelder von maximal einigen Tausend Euro, zukünftig könnten bis zu vier Prozent des Jahreskonzernumsatzes als Bußgeld verhängt werden. Insgesamt zog Beume als Fazit, dass jedes Unternehmen sich mit dem Thema Datenschutz beschäftigen müsse. Es sei auch weiterhin die Verarbeitung von Daten erlaubt, aber es müsse zu Beginn konzeptionell erarbeitet werden, welche Daten wann und wie verarbeitet werden dürfen. Daten seien zukünftig, wenn sie nicht mehr verarbeitet werden dürfen, zu löschen. Dieses stehe jedoch noch nicht im Einklang mit allen gesetzlichen Anforderungen, denn auch das Finanzamt möchte über zehn Jahre eine unveränderliche Aufbewahrung von Daten der Finanzbuchhaltung. Wie IT-Abteilungen die Löschung von personengebundenen Daten in komplexen Software- und Serversystemen sicherstellen wollen, sei auch noch ungelöst. Am besten werde das Prinzip der Datensparsamkeit von Beginn an verfolgt, aber steht dieses im Einklang mit der weltweiten Erkenntnis, dass Daten das Gold des 21. Jahrhunderts sind?