Die Datenschutzgrundverordnung wirft noch immer viele Fragen für
Unternehmer auf. Nutzereinwilligungen, Verfahrensverzeichnisse, Verarbeitung
sensibler Daten: Viele Fachbegriffe sind schwer verständlich. Im Tagesgeschäft
geht es schließlich eher um frische Ware als um Datenschutz. Was bedeutet also
Datenschutz im Fleischerhandwerk?
Mich betrifft die DSGVO nicht
Viele Betriebe glauben, dass
Datenschutz sie nicht betrifft. Schließlich verarbeiten sie ja Fleisch, keine
Daten. Doch auf den zweiten Blick stellt man fest, dass es doch jede Menge
personenbezogene Daten sind, die dort verarbeitet werden.
Das beginnt mit den Daten der
Mitarbeiter, Azubis und Bewerber. Hier fallen schon durch gesetzliche Vorgaben
viele Daten an, wie zum Beispiel Sozialversicherungsdaten. Dann fallen noch die
Daten von Lieferanten an. Denn das Fleisch kommt ja irgendwo her, also werden
mindestens der Name und die Kontaktdaten des Lieferanten gespeichert. Zu guter
Letzt gibt es dann noch die Kundendaten. Werden die in einem PC gespeichert –
und da genügt die E-Mail-Adresse – dann ist es bereits eine Verarbeitung
personenbezogener Daten und unterliegt der DSGVO.
Bietet eine Fleischerei außerdem
noch einen Catering-Service an, fallen weitere Daten an. Unter Umständen gibt
es beim Kunden Lebensmittelunverträglichkeiten, die dem Caterer genannt werden.
Das sind bereits Gesundheitsdaten, die unter die Kategorie der „besonderen
Daten“ fallen und stärker geschützt werden müssen – zumindest, wenn die Daten
im Kundenprofil gespeichert werden.
Datenschutzbeauftragte für Unternehmen
Laut DSGVO muss jedes Unternehmen,
bei dem mehr als zehn Mitarbeiter mit personenbezogenen Daten arbeiten, den
Aufsichtsbehörden einen Datenschutzbeauftragten (DSB) melden. Doch auch
kleinere Betriebe ohne DSB müssen im Umgang mit Daten die Vorgaben der DSGVO einhalten. In der Praxis sind die Anforderungen auch für
sie ohne professionelle Begleitung durch einen DSB nur schwer zu bewältigen.
Der Datenschutzbeauftragte tritt
im Unternehmen als Berater auf und sorgt dafür, dass die
Arbeit mit personenbezogenen Informationen datenschutzkonform ist. Er überwacht
die Einhaltung und Erfüllung der folgenden Maßnahmen:
Datensparsamkeit
Unternehmen sollen nach Möglichkeit mit Bedacht mit Daten umgehen. Das bedeutet, möglichst wenig personenbezogene Daten zu erheben und zu verwalten.
Datensicherung
Wesentlich ist auch die angemessene Sicherung der Daten. Sollen personenbezogene Daten an Mitarbeiter eines anderen Unternehmens weitergegeben werden, muss ein Auftragsverarbeitungsvertrag geschlossen werden. Verkauft eine Fleischerei also etwa ihre Ware nicht nur an der Theke im Geschäft, sondern bietet den Kunden auch Lieferungen über einen externen Dienstleister an, muss die Weitergabe der Daten vertraglich geregelt sein. Auch gilt es, Daten vor dem Zugriff durch Fremde zu schützen. In der Praxis bedeutet das z. B., dass Festplatten von Arbeitscomputern verschlüsselt werden müssen. Geht ein Laptop oder Diensthandy verloren oder wird gestohlen, kann eine unzureichende Sicherung als datenschutzrechtlicher Verstoß eingestuft werden.
Schulungen
Wie können Mitarbeiter das nötige Fachwissen erhalten? Darf ich eine Liste mit den Geburtstagen der Mitarbeiter ans Schwarze Brett hängen? In größeren Betrieben ist der DSB auch dafür zuständig, entsprechend zu schulen.
Dokumentation
Der DSB erstellt und pflegt die Datenschutz-Dokumentation (inkl. sogenannter Verzeichnisse von Verarbeitungstätigkeiten). Das kann viel Aufwand bedeuten.
Audits
Regelmäßige Datenschutz-Audits, bei denen geprüft wird, wo personenbezogene Daten wie verarbeitet werden, gehören ebenso zu den Aufgaben. Auf Grundlage der Analyse entstehen für das weitere Vorgehen Handlungsempfehlungen vom DSB.
Webseite
Ist das Unternehmen online präsent, z. B. in Form eines Webshops oder eines Partyservices, werden auch Fragen der IT-Sicherheit für den Unternehmer relevant.