Wer überwacht die Wächter? Wer überwacht die Wächter? geralt @ pixabay
29 Aug
2018

Datenschutz für KMU

Published in Datenschutz

Was Betriebe und Einrichtungen hauptsächlich leisten z. B. Gebäude planen, Waren verkaufen, Heizungen und Bäder installieren, Studierende ausbilden, Klienten beraten oder vor Gericht vertreten, ambulante Hilfen bereitstellen, Wohn- und Gewerberäume vermieten, Kurse und Seminare anbieten, … bestimmt, was sie sind und was ihre Kerntätigkeit ausmacht. Auch Betriebe und Einrichtungen sammeln, speichern, verwenden, aktualisieren und löschen die Daten ihrer Mitarbeiter, ihrer Kunden/Klienten oder Lieferanten. Die Verarbeitung von personenbezogenen Daten stellt in der Regel nicht das Kerngeschäft dar (Ausnahmen: Dedekteien, Auskunfteien, Rating-Agenturen, … ).

Zum angesprochenen Kreis zählen z. B. Händler, Schreinereien, Metallbauer, Zulieferer, Transportunternehmen, aber auch Architekten, Konstruktions- und Planungsbüros, Rechtsanwaltskanzleien, Vermieter, Seminarveranstalter, Anbieter von Co-Working-Räumen, Sozial- und Pflegedienste, Interessenvertretungen, Mieterbund und Vermietervertretungen, Gewerkschaften, Bildungseinrichtungen z. B. Schulen, Universitäten, Erwachsenenbildungsstätten ... um nur einige zu nennen.

Wir vermuten, der Umstand gilt für ein Gros der Selbständigen, der Handwerksbetriebe, Dienstleister, Freiberufler kurz kleiner und mittlerer Unternehmen (KMU) sowie privater und wirtschaftlicher Einrichtungen in Deutschland als auch in Europa. (Hinweis: In der Folge sprechen wir zusammenfassend von Betrieben und Einrichtungen und wenden uns an KMU nach der im Glossar dargelegten Definition.)

Durch geeignete Vorkehrungen sorgen KMU für Datensicherheit. Ein angemessenes Datenschutzniveau stellt die verbindliche Voraussetzung für das Verarbeiten von Personendaten dar.


Datenschutz für Betriebe und Einrichtungen

Was bedeutet die Verordnung für die verantwortliche Leitung von Betrieben, Unternehmen, öffentlichen Einrichtungen und privatwirtschaftlichen Organisationen?

Verarbeitet eine KMU oder Einrichtung personenbezogene Daten oder plant Daten zu lebenden natürlichen Personen zu verarbeiten, verpflichtet dieser Umstand die Leitung dazu, ein hohes Datenschutzniveau unter nachweislicher Einhaltung der Datenschutzgrundsätze zu realisieren oder die Verarbeitung zu unterlassen.

Datenschutz ist Aufgabe der Leitung. Sie zeichnet für die Verarbeitung personenbezogener Daten im Betrieb verantwortlich.

Begriffsklärungen

Üblicherweise sammeln Betriebe/Einrichtungen im Rahmen der Geschäftstätigkeiten personenbezogene Daten, z. B. von Kunden, von Klienten, von Mitarbeitern, von Lieferanten. Klären wir die Begriffe „Verarbeitung“ und „personenbezogene Daten“.

Personenbezogene Daten

Die Betriebsleitung oder Mitarbeiter/-innen schreiben Kontaktdaten im klassischen Adressbuch auf, speichern Namen, Anschrift, Telefonnummern, E-Mail-Adressen, Twitter oder andere Kenndaten in Adressbüchern diverser Geräte, E-Mailprogramme oder zentraler Ablagen auf Servern, ergänzen Kunden-Listen, korrigieren Anschriften, löschen Einträge, erstellen Angebote, geben Stundenzettel an die Lohn-und Finanzbuchhaltung weiter, erhalten Krankmeldungen und leiten sie weiter, …

personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann; DSGVO Art. 4 Ziff. 1

Daten zu verstorbenen natürlichen Personen sind ausgenommen. Die Verwendung von Daten zu natürlichen Personen in privaten und familiären Bereich wird ausdrücklich nicht durch die DSGVO geregelt. Wohl aber die Sammlung und Auswertung persönlicher Daten auf Social-Media-Plattformen wie Facebook, Instagramm, Google+,...

Juristischen Personen wie z. B. Firmennamen, Anschriften von Einrichtungen zählen ausdrücklich nicht zu den personenbezogenen Daten. Eine Ausnahme besteht allerdings. Sobald im Datensatz einer Lieferanten-Firma z. B. der Ola GmbH, namentlich einen Ansprechpartner aufgeführt wird, sind Personendaten im Spiel.

Verarbeitung personenbezogener Daten

„Verarbeitung“ bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang im Zusammenhang mit personenbezogenen Daten im öffentlichen und wirtschaftlichen Bereich oder jede solche Vorgangsreihe.

Als Verarbeiten gilt das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten. Vgl. DSGVO Art 4 Ziff. 2

Wie KMU und Einrichtungen bzw. ihre Belegschaft die Daten verarbeiten, z. B. sie in Verzeichnissen oder Ordnern von IT-Systemen speichern, als Excel - Tabelle oder in Datenbanken vorhalten oder sie als gedruckte Dokumente systematisch in Aktenordnern abheften, ist dabei zweitrangig.

Verarbeiten Sie in ihrem Betrieb personenbezogene Daten? Dann sind Sie gefordert, die Grundprinzipien des Datenschutzes zu beachten und ein geeignetes Datenschutzniveau für Ihre Verarbeitungsprozesse zu gewährleisten oder die Verarbeitung einzustellen.

Der Schutz von Personendaten wird mit der neuen DSGVO zur Chefsache, das Managen von Datenschutzverletzungen und Datenschutzverstößen eingeschlossen. Die Verantwortung für die Verarbeitung liegt in den Händen der Betriebsleitung. Sie betraut Stellen, z. B. Personalabteilung bzw. Dienstleister, z. B. Internet-Service-Provider, Steuerberatungskanzlei mit der Verarbeitung.

Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; [...]. DSGVO Art. 4 Abs. 7'

Die Betriebsleitung entscheidet, ob und welche personenbezogenen Daten erhoben bzw. zu welchen Zwecken sie benötigt und wie sie verwendet werden. Sie gibt an, welchen untergeordneten Stellen die Daten außerdem zufließen. Sie bestimmt unter Beachtung gesetzlicher und betrieblicher Regelungen, in welchem Umfang und welcher Form sie weiterzugeben sind, z. B. an Sozialversicherungsträger, an Steuerberater, an Zulieferer.

Datenschutz umfasst die Verantwortlichkeit für alle Prozesse in einem Betrieb oder einer Einrichtung, in deren Verlauf Daten zu lebenden natürlichen Personen erhoben, abgelegt, verwendet, angepasst, eingesehen, weitergegeben, gefiltert, zusammengestellt, ergänzt, ... kurz gesagt, verarbeitet werden.

Last modified on Sonntag, 11 November 2018 20:38