Informationspflicht, Dokumentation und DSB DSGVO und Kundenbeziehungen: Der 5-Punkte-Notfallplan für Betriebe

Auch im vierten Jahr gibt es noch viele Verstöße gegen die Datenschutzgrundverordnung (DSGVO), wenn es um die Handhabe von Kundendaten geht. Jürgen Litz, Geschäftsführer Cobra, empfiehlt auch kleineren Betrieben einen Datenschutzbeauftragten zu bestimmen, um auf der rechtssicheren Seite zu sein.

Die Einführung der Datenschutzgrundverordnung (DSGVO) in der EU liegt bereits mehr als drei Jahre zurück, doch ist das Regelwerk in vielen Unternehmen noch nicht verankert. Im vergangenen Jahr stieg die Zahl der Datenschutzverstöße laut einer Umfrage des "Handelsblatt" sogar um 60 Prozent. "Nicht nur bei den Big Playern besteht in Sachen Datenschutz noch Verbesserungsbedarf, sondern auch bei kleinen und mittelständischen Handwerksbetrieben", beobachtet Jürgen Litz, Geschäftsführer des Herstellers für Kundenbeziehungsmanagement-Software Cobra mit Sitz in Konstanz.

Für handwerk magazin hat er einen Fünf-Punkte-Notfallplan aufgestellt, mit dem sich Verstöße und Strafen noch rechtzeitig vermeiden lassen:

1. Kein Datenschutz ohne Datenschutzbeauftragten

Komplexe Veränderungen etablieren sich am besten, wenn eine verantwortliche Person den Überblick behält. Ab einer Anzahl von zehn Mitarbeitern ist eine Beauftragter, der sich mit der Datenverarbeitung beschäftigt, sogar verpflichtend. Unternehmen können ihren Datenschutzbeauftragten sowohl aus dem eigenen Haus auswählen als auch extern anfordern. Sein Aufgabenbereich reicht von der Überwachung der getroffenen Maßnahmen über deren Dokumentation bis hin zu der Funktion als Ansprechpartner für andere Mitarbeiter.

2. Gut dokumentiert ist halb gewonnen

Artikel 30 der DSGVO befasst sich mit dem Verarbeitungsverzeichnis und macht dies – bis auf wenige zu vernachlässigende Ausnahmen – für Unternehmen jeglicher Art verpflichtend. Jede Nutzung von Kundendaten bedarf einer genauesten Erfassung, inklusive dem Zweck der Verwendung. Diese Dokumentation sollten Unternehmen gewissenhaft vornehmen, denn kommt es zu einer datenschutzrechtlichen Beschwerde, erwarten die Behörden eine unverzügliche Vorlage dieses lückenlosen Verzeichnisses.

3. Löcher suchen, finden und flicken

Besagtes Verarbeitungsverzeichnis eignet sich im nächsten Schritt auch schon zum Aufspüren vorherrschender Sicherheitslücken. Unternehmen und ihre Datenschutzbeauftragten sollten jede Nutzung von Kundendaten auf ihre Zulässigkeit prüfen, um böse Überraschungen im späteren Verlauf zu vermeiden. Im Mittelpunkt dieser Examinierung stehen beispielsweise folgende Fragen: Ist die Verarbeitung dieser Daten notwendig? Welchen Zweck verfolgt ihre Nutzung? Kann ihr Schutz trotz der Verarbeitung ausreichend gewährleistet werden?

4. Volle Transparenz gewünscht

Da sich mit der DSGVO die Informationspflichten geändert haben, müssen Unternehmen auch an anderer Stelle nachziehen: bei der Datenschutzerklärung. Vor allem die Ausführungen auf der Website dienen häufig als Ziel für Abmahnanwälte, aber auch Behörden werden bei falschen oder ungenauen Angaben schnell hellhörig. In eine korrekte Datenschutzerklärung gehören unter anderem die Kontaktdaten des Datenschutzbeauftragten, der Zweck der Verarbeitung und Informationen zu Fristen bei Löschanfragen sowie zum Widerrufsrecht von Betroffenen.

5. Bewusstsein bei Mitarbeitern schaffen

Der Erfolg aller genannten Maßnahmen steht und fällt allerdings mit einem Faktor: den Mitarbeitenden. Sie müssen beim Umsetzen der komplexen Anforderungen mit der notwendigen Bereitschaft agieren, um die hohen Standards zu erfüllen und beizubehalten. Dazu gilt es ein Bewusstsein für die Wichtigkeit von Datenschutz zu schaffen, das vielerorts einfach noch fehlt. Intelligente Tools wie CRM-Systeme können bei der Einhaltung der DSGVO unterstützen und die Motivation der Belegschaft hochhalten. Trägt ein jeder seinen Teil dazu bei, ist flächendeckender Datenschutz und damit die Vermeidung von Verstößen und Strafen für Unternehmen jeder Art und Größe umsetzbar.