3. Auskunftsrecht
Darum geht’s: Wer seine Daten abgibt, hat ab dem 25. Mai das Recht, zu erfahren, was mit den Daten geschehen ist. Wurden sie beispielsweise an Partnerunternehmen weitergeleitet, muss der Nutzer das auf Anfrage erfahren.
Das sagt die DSGVO: „Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten.“ (Artikel 15)
Das sagt der Experte: „Unternehmen müssen Kopien der von ihnen verarbeiteten personenbezogenen Daten innerhalb von vier Wochen herausgeben. Jedes Unternehmen sollte Musterauskünfte bereithalten und optimalerweise ein Programm benutzen, das die Datenverarbeitung protokolliert“, sagt Grabowski. Was dort drinstehen muss, ist im Artikel 15 der DSGVO verständlich aufgelistet.
4. Informationspflicht
Darum geht’s: Bevor ein Unternehmen Daten wie beispielsweise Kontaktdaten in einem Online-Formular erhebt, muss er den Nutzer darüber informieren, wofür die Daten verwendet werden.
Das sagt die DSGVO: „Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen [...], die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.“ (Artikel 12)
Das sagt der Experte: „Unternehmen sollten eine Datenschutzerklärung anfertigen und diese auf der Website platzieren“, sagt Grabowski. Vorlagen und Anwälte, die solche erstellen, gebe ist im Internet zuhauf. Muster für Ihre Website, Facebook, Twitter und Co finden Sie hier. „In die Datenschutzerklärung gehört alles rein, was das Unternehmen mit Daten tut. Auch, was sie mit Kontaktdaten von Kunden, die sie über soziale Medien kontaktieren, passiert“, sagt Grabowski. Dienste wie Google Maps müssen auch in der Datenschutzerklärung auftauchen. „Das ist so, weil Google zumindest meine IP-Adresse erhält, wenn ich die Seite nutze, die den Dienst verwendet“, sagt Grabowski. Auf den Seiten von Unternehmen in Sozialen Medien sollte ein Link auffindbar sein, der zur Datenschutzerklärung auf der Website führt. „Auf einer Facebook-Seite muss der Link innerhalb von zwei Klicks auffindbar sein. Also fügen Sie ihn am besten in das Kästchen ,Infos‘ ein“, erklärt Grabowski.
5. Benennung eines Datenschutzbeauftragten
Darum geht’s: Ein Datenschutzbeauftragter ist dafür zuständig, Protokolle über verwendete Daten auf dem neuesten Stand zu halten und sicherzugehen, dass das Unternehmen jederzeit DSGVO-konform arbeitet.
Das sagt die DSGVO: „Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen.“ (Artikel 37)
Das sagt der Experte: Wenn in der Regel mindestens zehn Personen regelmäßig mit der Verarbeitung von personenbezogenen Daten zu tun haben, muss ein Unternehmen einen Datenschutzbeauftragten berufen. „Dieser kann auch von extern kommen“, sagt Grabowski. Außerdem muss diese Person fachlich geeignet sein und unabhängig und objektiv arbeiten können. „Der Inhaber des Unternehmens kann also kein Datenschutzbeauftragter werden“, merkt der Unternehmensberater an. Damit ein Mitarbeiter als fachlich geeignet gilt, sollte er eine Schulung belegen. Diese werden beispielsweise durch die Industrie- und Handelskammern durchgeführt. „Arbeitgeber sind verpflichtet, die Aus-und Weiterbildung des Datenschutzbeauftragten zu fördern und die Kosten zu übernehmen“, sagt Grabowski. „Die Kosten liegen bei circa 1500 Euro“, fügt er hinzu.
Der Berufsverband der Datenschutzbeauftragten Deutschlands hat Anforderungen an einen Datenschutzbeauftragten formuliert. Verbindliche Standards gibt es nicht. Ist ein Datenschutzbeauftragter ausgewählt und ausgebildet, muss der Arbeitgeber ihn der Datenschutzbehörde melden. Ein Musterformular finden Sie hier unter „Anhang 1“. „Die Meldung an die Behörde muss noch bis zum 25. Mai erfolgen“, sagt Grabowski. Kontaktdaten des Datenschutzbeauftragten müssen zusätzlich auf der Internetseite des Unternehmens leicht auffindbar sein und in der Datenschutzerklärung genannt werden.
