Fünf Buchstaben, 99 Gesetzesartikel - ein großer Haufen Arbeit zeichnet die Datenschutzgrundverordnung aus. Wer sich bis zum 25. Mai nicht mit der DSGVO beschäftigt hat, läuft Gefahr, Bußgelder von bis zu vier Prozent des Jahresumsatzes zahlen zu müssen und abgemahnt oder gar verklagt zu werden. Jedes Unternehmen, jeder Selbständige und jede Organisation, die Daten von EU-Bürgern verarbeiten, könnte davon betroffen sein. Und die Sorge ist groß: Die Verordnung verlangt, die Daten nach bestem Wissen und Gewissen zu schützen. Was das genau heißt, ist in den 99 Artikeln oft schwammig formuliert.
Die gute Nachricht lautet: „Es ist kein Ding der Unmöglichkeit, sich abzusichern“, sagt der Unternehmensberater Steffen Grabowski. „Aber auf den letzte Drücker wird es stressig.“ Grabowski berät Unternehmen, in allen Fragen zur DSGVO und hat einen Ratgeber mit den wichtigsten Informationen veröffentlicht. Gemeinsam mit WirtschaftsWoche Online, gibt er einen Überblick über die wichtigsten Passagen der DSGVO und erklärt, was sie in der Praxis bedeuten können. Wer in letzter Minute tiefer in die Materie eintauchen muss - und eine gezielte Analyse für das eigene Unternehmen braucht, sollte jedoch darüber nachdenken, einen Experten zur persönlichen Beratung hinzuziehen.
1. Grundsätze für die Verarbeitung personenbezogener Daten
Darum geht es: Verarbeiten Unternehmen Kontaktdaten, Kontoinformationen oder sonstige Daten von Kunden, Mitarbeitern oder Nutzern, müssen sie diese schützen. Zur Verarbeitung zählt bereits das Speichern von E-Mail-Adressen.
Das sagt die DSGVO: „Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessen Sicherheit [...] gewährleistet.“ (Artikel 5)
Das sagt der Experte: „Sie sollten sichergehen, dass Ihre Website geschützt ist und Fremde nicht auf Daten zugreifen können, die Nutzer auf Ihrer Seite eingeben. Dabei hilft beispielsweise eine SSL-Verschlüsselung. Sie stellt sicher, dass sensible Daten nur verschlüsselt von einem Computer zum anderen übertragen werden. Ein grünes Schloss oben links in der Suchleiste verrät, ob die Website darüber verfügt. Die Speicherung von personenbezogenen Daten sollte ebenso stets verschlüsselt erfolgen. Wer Tools wie beispielsweise Google Analytics nutzt, sollte die IP-Adressen der Nutzer anonymisieren. Dabei kann Ihnen am besten der IT-Fachmann helfen, der Ihre Website eingerichtet hat.“´
2. Rechtmäßigkeit der Verarbeitung
Darum geht’s: Wer personenbezogene Daten verarbeitet ohne den Betroffenen zu fragen, begibt sich auf dünnes Eis. Optimalerweise liegt die Einverständniserklärung zur Datenverarbeitung schriftlich vor.
Das sagt die DSGVO: „Die betroffene Person hat ihre Einwilligung zu der Verarbeitung [...] gegeben.“ (Artikel 6) „Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags [...] von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.“ (Artikel 7)
Das sagt der Experte: „Viele Unternehmen bieten auf ihrer Website an, dass Besucher der Seite einen Newsletter bestellen können. Streng genommen benötigt das Unternehmen dafür nur die E-Mail-Adresse des Nutzers. Verpflichtet das Unternehmen aber auch zu Angaben über Name, Alter oder Geschlecht, geht das zu weit“, sagt Grabowski. Bei allem, was über die Notwendigkeit hinausgehe, müsse der Nutzer die Möglichkeit haben, Angaben zu verweigern, ohne dass ihm der Dienst verwehrt wird. Ähnliches gilt für die Nutzung von Cookies. Cookies werden genutzt, um mit einer Website verbundene Informationen kurzzeitig auf dem Computer zu speichern und dem Server auf Anfrage wieder zu übermitteln. Viele Websites verlangen, dass Nutzer den Cookies zustimmen. Tun sie das nicht, ist die Seite nicht benutzbar. „Mit der DSGVO muss es Besuchern einer Seite möglich sein, Cookies zu deaktivieren und die Seite trotzdem zu nutzen“, sagt Grabowski.
