Bitte klicken Sie zur Auswahl auf eines der folgenden vier Logos:

Zwei Monate Datenschutzgrundverordnung: Was der Experte Kent Schwirz Betrieben rät

Der Datenschutzexperte Kent Schwirz auf der Terrasse des Helbach-Hauses in Meckelfeld (Foto: ts)

Die neuen Regelungen zum Datenschutz sind für kleine und mittlere Unternehmen nicht einfach zu durchschauen. Datenschützer Kent Schwirz informierte beim Mittelstands- und Gewerbeverein Meckelfeld

(ts). Seit knapp zwei Monaten wird die neue Datenschutzgrundverordnung umgesetzt. Die Regelungen sind offenbar für Vereine, kleine und mittlere Unternehmen nicht einfach zu durchschauen. Bei der Landesdatenschutzbeauftragten Niedersachsens sind im zweiten Quartal 2018 rund 3.700 Anfragen eingegangen - im ersten Quartal waren es nur 1.300.
Der Mittelstands- und Gewerbeverein Meckelfeld hat den Vorstandsvorsitzenden und Datenschutzbeauftragten der Wenza Deutschland GmbH mit Sitz in Hamburg, Kent Schwirz, eingeladen, um seine Mitglieder in einem Vortrag über die veränderten Anforderungen für kleine und mittelständische Betriebe zu informieren. Hier die zentralen Tipps und Aussagen des Experten:
"Im Wesentlichen hat sich nichts geändert"
Die Aufregung über die Datenschutzgrundverordnung vor allem in den neuen sozialen Medien hat Kent Schwirz als übertrieben empfunden. "Im Wesentlichen hat sich mit Inkrafttreten der neuen Datenschutzgrundverordnung am 25. Mai nichts geändert, denn Datenschutz gab es auch schon am 24. Mai", sagt er. Datenschutzverstöße werden jetzt mit höheren Bußgeldern geahndet. Vermutlich habe das die Aufregung gesteigert. Erfahrungen zeigen, dass Fachanwälte mit Abmahnhöhen zwischen 300 und 800 Euro konfrontiert werden.
"Unternehmen obliegt die Beweislast"
Das neue Datenschutzrecht bedeutet mehr Arbeit für das Unternehmen. Musste der Kunde bis zum 24. Mai beweisen, dass ein Unternehmen nicht rechtmäßig mit seinen Daten umgegangen sei, darf der Kunde seit dem 25. Mai von dem Unternehmen verlangen, zu dokumentieren, wie es mit seinen Daten umgegangen ist.
"Das Unternehmen muss innerhalb eines Monats Auskunft geben"
Das Unternehmen muss dem Kunden die Datenschutzauskunft innerhalb eines Monats erteilen. Die Auskunft muss beinhalten, woher das Unternehmen die Daten bezogen hat und erläutern, wie es die Daten des Kunden sichert. Sind Kunden mit den Aussagen unzufrieden, können sie bei den Landesämtern für Datenschutz Anzeige erstatten. Die Folge könnte eine Kontrolle im Unternehmen sein.
"Gravierende Datenschutzpannen melden!"
Betriebe müssen Datenschutzpannen melden. Bei als Bagatelle eingestuften Fehlern, reicht es, die Panne zu dokumentieren. Gravierende Datenschutzpannen muss das Unternehmen innerhalb von 72 Stunden der Landesdatenschutzbeauftragten melden. Das Problem dabei: Ungeklärt sei bis jetzt, was überhaupt als Bagatellpanne und was als gravierende Panne gilt. "Wenn wir das wüssten, wären wir klüger", sagt Kent Schwirz.
Der Experte nennt zur Orientierung zwei Beispiele: Sollte eine Auszubildende versehentlich per E-Mail nicht nur dem Steuerberater, sondern zusätzlich 30 weiteren Empfängern die Gehaltsabrechnungen aller Mitarbeiter zusenden, sollte das als gravierende, meldepflichtige Panne eingestuft werden. Unternehmer, die über das WLAN im Hotel Opfer eines Hackerangriffs werden und deswegen über das Firmennotebook Schadenssoftware verschicken, sollten das ebenfalls melden. "Ich empfehle, in solchen Fällen gemeinsam mit einem Experten zu entscheiden", sagt Kent Schwirz.
"Keinen Beauftragten für Datenschutz aus dem Betrieb auswählen"
Betriebe müssen einen Datenschutzbeauftragten haben, wenn mindestens zehn Mitarbeiter regelmäßig mit Daten zu tun haben. Halbtagskräfte zählen als ein voller Mitarbeiter. Kent Schwirz rät Unternehmern, keinen Mitarbeiter zum Datenschutzbeauftragten zu machen. "Er haftet persönlich und hat ein schweres Brot", sagt er. Das Unternehmen würde faktisch einen Betriebsrat einführen, denn der Datenschutzbeauftragte hätte zehn Jahre lang Kündigungsschutz. Kent Schwirz empfiehlt, einen externen Fachmann zu beauftragen.
"Papiere gehören in den Schredder"
Papiere, auch lose Zettel, die Kundendaten enthalten, dürfen nicht in den Müll oder in den Altpapiercontainer geworfen werden. Unternehmen sollten alle Papiere in einem Schredder bis zur Unkenntlichkeit zerkleinern - und zwar mindestens auf Konfettigröße. Das Schreddern in Streifen reiche nicht aus, sagt Kent Schwirz.
"Daten von Bewerbern sieben Monate aufbewahren"
Wenn Unternehmen Bewerbungen erhalten, sollten sie die Daten erst nach sieben Monaten löschen. Das könnte bei Gerichtsverfahren wichtig sein. Verbreitet sei die Auffassung, Bewerberdaten nach drei Monaten zu löschen.
"Nicht über WhatsApp kommunizieren"
Tauschen Monteure oder andere Mitarbeiter Kundendaten über den Nachrichtendienst WhatsApp aus, sei das nicht mit der Datenschutzgrundverordnung vereinbar, warnt Kent Schwirz. Er empfiehlt europäische Messengerdienste mit strengeren Datenschutzbestimmungen.
Die Datenschutzgrundverordnung ist also auch nach zwei Monaten ein Rechtskonstrukt mit Schwachstellen, das die Gerichte konkretisieren müssen. Der Datenschutz bleibt eine Baustelle.

Landesdatenschutzbeauftragte prüft 50 Unternehmen
(ts). Die Landesbeauftragte für Datenschutz in Niedersachsen, Barbara Thiel, prüft derzeit bei 50 Unternehmen die Umsetzung der neuen Datenschutzgrundverordnung. Dazu hat das Landesamt Fragebögen an 20 große und 30 mittelgroße Unternehmen mit Hauptsitz in Niedersachsen verschickt. Bei Verstößen könne es zu Bußgeldern kommen. Das Landesamt werde nicht den kleinen Handwerksbetrieb oder den Bäcker um die Ecke prüfen, heißt es dazu. Landesamt prüft 50 Unternehmen