Die ersten und nötigen Schritte mit der DSGVO

Die DSGVO bringt eine Fülle von Neuerungen, vor allem aber Unsicherheit gerade für mittlere und kleinere Unternehmen. Vom Skatverein bis zum grossen (E-Commerce) Unternehmen. Jeder hat Anpassungsbedarf und muss sich fragen, was getan werden muss, um die gestiegenen gesetzlichen Anforderungen zu erfüllen und sich so auch vor Abmahnungen und nicht nur vor drohenden Bussgeldern zu schützen. In einer Datenschutzerklärung muss die Art und Weise der Datennutzung so genau wie möglich beschrieben werden. Es geht dabei um Information des Kunden. Die bisher praktizierte Online Werbung, bspw. mittels dem Tracking, ist zukünftig zumeist unzulässig. Denn für die Nutzung von personenbezogenen Daten wird die explizite und freiwillige Zustimmung der Nutzer benötigt. Diese erhält man bekanntlich nur schleppend bis gar nicht. Wer setzt schon sein Häkchen bei „Ja“, wenn er über Cookies und Tracking erst einmal aufgeklärt ist. Auch ist es nicht mehr zulässig, wenn gesagt wird, die weitere Nutzung des Dienstes wie facebook sei nur dann möglich, wenn man „allem“ zustimmt. Dann ist die Zustimmung nicht mehr wirklich freiwillig. Unternehmen, Banken und Versicherungen werden sich auf den Standpunkt stellen, dass man zur umfassenderen Nutzung personenbezogener Daten auch zukünftig berechtigt sei, da eine Abwägungsentscheidung zwischen dem berechtigten Interesse des Unternehmens an dieser Nutzung und dem informationellen Selbstbestimmungsrecht des Kunden dies zulasse. Eine Abwägung, die so allenfalls für die direkte Umsetzung eines geschlossenen Vertrages rechtssicher wird und zutrifft. Nicht aber für Werbung und sonstige weitere Nutzungen. In einem sog. Verfahrensverzeichnis sollten die eingesetzte Software, der Datenfluss und die zugehörigen Mitarbeiter inkl. Zugriffsrechten sowie ein Daten-Löschungsmanagement aufgeführt werden. Die entscheidende Frage ist sodann: wohin verlassen eigentlich Daten das Unternehmen. Mit diesen Stellen/Dritten müssen ggf. Auftragsverarbeitungsverträge geschlossen werden. Um sich in einem ersten Schritt zu wappnen, sollten also das Impressum, die Datenschutzerklärung und die Auftragsverarbeitung auf den Prüfstand. Intern sollten sog. Verfahrensverzeichnisse angelegt werden. Diese werden auf die Schnelle kaum perfekt sein. Aber etwas zu haben ist dabei besser als gar nichts und die sukzessive Perfektion ist erreichbar. Denn, dem gesamten Markt geht es derzeit so. Das ist die erste „firewall“, um sich auf die neue Zeit des durchgesetzten Datenschutzes vorzubereiten. Stichtag ist der 25.5.2018.