Eines der unbeliebtesten und am meisten gemiedenen Themen bei meinen Kund*innen ist wohl die Datenschutzerklärung und die Absicherung der Kundendaten im Unternehmen.
Ich habe mit Elisa Drescher von SCALELINE – einer Unternehmensberatung für Datenschutzrecht über dieses nicht immer übersichtiche, aber so wichtige Thema gesprochen und ihr ein paar Fragen dazu gestellt:
Einzelunternehmer*innen und kleine Unternehmen sind oft unsicher, ob sie überhaupt eine Datenschutzerklärung auf ihrer Website brauchen. Woher weiß ich, ob ich eine DSE brauche?
Faustregel: Jede Unternehmenswebsite benötigt eine Datenschutzerklärung. Am besten ist, diese Rubrik im Footer der Website als „Datenschutz“ zu bezeichnen.
Auch wenn die Website als reine Visitenkarte aufgebaut ist, werden in der Regel bei jedem Zugriff auf die Seite Logfiles erstellt, in welchem auch die IP-Adresse der Seitenbesucher*innen gespeichert wird. Durch diese Logfiles kann nachvollzogen werden, ob Fehler vorliegen bzw. die Seite angegriffen wird (z. B. Hacker).
IP-Adressen sind personenbezogene Daten, daher bedarf es immer einer Datenschutzerklärung auf Unternehmenswebseite.
Reicht es aus, mir eine Muster-Datenschutzerklärung im Internet runterzuladen, oder brauche ich individuelle Formulierungen?
Aus unserer Sicht besteht beim Rückgriff auf Datenschutzerklärungen aus Generatoren die Gefahr, dass die Information nicht vollständig ist bzw. falsche Angaben Eingang finden.
Weiters ist einer der Grundsätze der DSGVO: Transparenz. Deswegen wird auch gefordert, dass Datenschutzinformationen verständlich sind, also für einen typischen Angehörigen Ihres Zielpublikums verständlich sind. Dies kann bei Mustern nicht immer sichergestellt werden.
Wichtig ist dabei: Zur Erfüllung der Informationspflicht auf den Websites müssen die Datenschutzerklärungen nämlich über die konkreten Datenverarbeitungen, Zwecke, Empfänger, usw. auf der Website informieren. Auch sollte bei jeder Aktualisierung der Website beachtet werden, dass die Datenschutzerklärung ggf. angepasst werden muss.
Was sind die datenschutzrechtlichen Bedingungen für das Abspeichern von Kundendaten? Viele kleine Unternehmen führen ja nur eine Exeltabelle oder warten ihre Daten im Mailprogramm. Wie kann ich diese Daten ordentlich absichern?
Aus unserer Sicht sind die Kundendaten mitunter die wichtigsten Daten eines Unternehmens. Daher sollten Excel-Liste mit diesen Daten mit einem Passwort geschützt werden.
Bei der Auswahl von Mailprogrammen sollte immer geprüft werden, wo die Anbieter sitzen und welche weiteren Dienstleister diese noch einsetzen. Aus datenschutzrechtlicher Perspektive ist es begrüßenswert, wenn die Daten ausschließlich in Europa gehostet werden. Wir haben uns bei Data Protection | SCALELINE für einen Schweizer Anbieter entschieden, der eine verschlüsselte Kommunikation standardmäßig gewährleistet.
Kundendaten können dann immer gespeichert werden, wenn a) mit ihnen bereits ein Vertragsverhältnis besteht oder b) ein Vertragsverhältnis angebahnt wird („Akquise-Phase“). Die DSGVO verlangt jedoch, dass nur die erforderlichen Daten gespeichert werden dürfen. Werden mehr Daten in den Listen gespeichert, als z. B. für den Vertragsabschluss und die Rechnungsstellung notwendig sind, ist immer zu prüfen, ob eine andere Rechtsgrundlage diese Verarbeitung auch rechtfertigt bzw. eine Einwilligung erforderlich ist.
Ein gutes Beispiel hierfür sind Geburtstagsglückwünsche an Ihre Geschäftspartner*innen. Hier vertritt z. B. eine deutsche Aufsichtsbehörde die Auffassung, dass eine Einwilligung der Betroffenen erforderlich ist. Begründung: Jede Person hat das Recht in Würde zu altern.
Muss ich meine Daten nur sichern, wenn ich sie online speichere? Was ist mit Datensätzen auf Papier? Unterliegen die auch dem Datenschutz? Und wie muss ich sie sichern?
Das ist ein wichtiger Punkt. Die DSGVO gilt auch dann, wenn die Daten nicht automatisiert verarbeitet werden, also auch auf Papier und wenn eine bestimmte Struktur oder Logik vorhanden ist. Zum Beispiel Ablage A bis Z nach Familiennamen oder eine kurze Beschreibung auf einem Aktendeckblatt.
Papiernotizen sollten nicht offen aufliegen und sicher verwahrt werden, z. B. in einen verschließbaren Schrank. Für Geschäftspartner*innen und weitere Besucher*innen in Ihrem Büro sollten die Notizen nicht einsehbar sein.
Notizen mit personenbezogenen Daten sollten keinesfalls über den normalen Hausmüll entsorgt werden, sondern geschreddert werden. Hier empfehlen wir die Sicherheitsstufe P-4 nach der DIN66399 zu wählen.
Uns ist es auch immer wichtig, darüber aufzuklären, dass der Begriff der „Verarbeitung“ denkbar alle möglichen Formen im Umgang mit personenbezogenen Daten enthält:
📝 Erheben, Erfassen,
🗃 📚 Verwenden, Organisieren, Ordnen, Anpassen, Verändern, Verknüpfen, Einschränken
💾 Speichern,
🔍 Auslesen, Abfragen, Abgleichen
🖨 Offenlegen durch Übermittlung, Verbreiten oder eine andere Form des Bereitstellens,
❌ Löschen, Vernichten
Was braucht es aus IT-technischer Sicht? Wie muss ich meinen PC absichern, damit er alle datenschutzrechtlichen Bedingungen erfüllt?
Diese Frage kann nicht pauschal beantwortet werden. Die Sicherheitsmaßnahmen, die ergriffen werden müssen, hängen unter anderem vom Umfang und Art der Daten sowie dem Risiko für die Betroffenen ab. Der Gesetzgeber lässt es auch zu, die Implementierungskosten in die Abwägung einzubeziehen.
Als Mindestmaß kann nach unserer Meinung vorausgesetzt werden, dass der Zugang zum PC, aber auch zum Geschäftshandy oder IPAD nur mit einer Passworteingabe möglich ist. Das Passwort sollte mindestens 8 Zeichen haben, darunter ein Sonderzeichen, einen Groß- und Kleinbuchstaben sowie eine Zahl.
Vielen Dank für das Gespräch!
Das waren erst mal ganz schön viele Informationen. Wenn Sie jetzt das Gefühl haben, dass professionelle Unterstützung bei Ihrer Datenschutzerklärung doch wirklich hilfreich wäre, dann gibt es eine ganz einfache Möglichkeit:
Elisa Drescher hat freundlicherweise speziell für meine Kund*innen ein günstiges Einstiegspaket geschnürt: Füllen Sie einfach einen Fragebogen aus und in Kürze halten Sie Ihre sichere Datenschutzerklärung in Händen!
Mag. Elisa Drescher ist Data Protection Enthusiastin, Juristin und Gründerin von SCALELINE, einer Unternehmensberatung für Datenschutzrecht. Mehr Informationen zu SCALELINE und zu den Einstiegspaketen unter Data Protection | SCALELINE – GDPR Consulting.
Kommentar schreiben