Happy Birthday DSGVO!?

Ich erinnere mich noch gut an meine Panik, als ich das erste Mal etwas über die Datenschutzgrundverordnung gelesen habe. Das war Mitte 2017 und in sämtlichen Facebook-Gruppen und auf Twitter kochten die Emotionen über und Hektik brach aus. Ich war mit meinem Blog gerade mal ein halbes Jahr online – und ich dachte auch ernsthaft daran, meine Webseite wieder vom Netz zu nehmen. Cookie-Einwilligung, Double Opt-In, Privacy Shield, Google Analytics würde verboten und viele andere Halbwahrheiten geisterten durchs Netz, insbesondere durch Social Media.

Einige rochen den schnellen Euro, erstellten Online-Kurse die sie für viel Geld an die Online-Marketer verkaufen wollten (und auch konnten). Ich las mich ein, stellte meine Fragen im Suchschlitz der Suchmaschine und fragte mich in meinem Netzwerk durch. Denn eins war sicher: Wenn viele namhafte Leute im Netz darüber diskutierten, dann war das einigermaßen wichtig. Und wenn schon Online-Marketer unsicher waren, wie man mit dieser neuen DSGVO umgehen sollte, dann war es für meine Leser und Leserinnen – Hoteliers – genauso unsicher. Außerdem befürchtete ich, dass die Digitalisierung in der Hotelbranche ins Stocken geraten könnte. Das durfte auf keine Fall passieren!

Ich machte mich auf die Suche, nach jemand der sich auskennt und mit dem ich über die DSGVO reden konnte. Über mein Netzwerk lernte ich Ingo Busch kennen. Zunächst unterstütze er mich in allem was die Technik hinter meinem Blog anging – das tut er bis heute! Deshalb mal: Danke, dass du die Technik am Laufen hältst.

Außerdem ist Ingo Datenschutzauditor. Wenn du mir schon länger folgst und auch meinen Podcast hörst, kennst du Ingo. Wir haben 2018 die DSGVO für die Hotellerie hörbar gemacht und in einer Serie aus fünf Teilen, haben wir versucht, wichtige Informationen weiterzugeben. Nach wie vor sind diese Podcast-Folgen aktuell; dennoch nehmen wir uns jede einzelne nochmal vor und aktualisieren sie in einer neuen Folge. Am besten abonnierst du – falls noch nicht geschehen – meinen Podcast. Du findest ihn überall dort, wo du Podcasts hören kannst.

Ich freue mich umso mehr, dass ich dir heute diesen Gastbeitrag von Ingo Busch präsentieren darf. Er schreibt zum 2-jährigen Geburtstag der DSGVO, was sich bisher in Unternehmen getan hat, wie du den Datenschutz umsetzen kannst und er gibt einen Ausblick. Viel Spaß beim Lesen!

Alles Gute zum Geburtstag, liebe DSGVO?

Es ist zwei Jahre her, dass die europäische Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 ihre Gültigkeit erlangte. Zuvor gab es eine zweijährige Übergangszeit zwischen dem Inkrafttreten der DSGVO und ihrer Anwendbarkeit.

Diese zwei Jahre wurden überwiegend nicht oder kaum von der Wirtschaft genutzt. Erst Anfang des Jahres 2018 entstand dann eine große Hektik, nachdem durch Wirtschaft und Medien bemerkt wurde, dass hier Handlungsbedarf seitens der Unternehmen besteht. Leider haben die Aufsichtsbehörden die Zeit ebenfalls nicht genutzt und – gefühlt – die Wirtschaft auch erst kurz vorm dem Stichtag 25. Mai 2018 mit Handreichungen und Erläuterungen unterstützt.

Idealerweise hätte jedes Unternehmen bereits vor zwei Jahren seine datenschutzrechtlichen Hausaufgaben erledigt haben müssen. Da es wie immer im Leben einen Unterschied zwischen Theorie und Praxis gibt, haben die Aufsichtsbehörden (Landes-Datenschutzbeauftragte) Nachsicht und Milde walten lassen. So zum Beispiel bei der Benennung und Meldung der betrieblichen Datenschutzbeauftragten, die bis zum 31. Dezember 2018 ohne Verhängung eines Bußgeldes vorgenommen werden konnte.

Trotzdem ist es immer wieder erstaunlich, wie viele Unternehmen auch heute, zwei Jahre später, immer noch nicht ihren Verpflichtungen nachgekommen sind. So trifft man in der Praxis immer noch auf

  • nicht oder unvollständig vorhandene Datenschutzinformationen auf Websites,
  • Websites, die immer noch ungefragt Informationen an Dritte, wie z.B. Facebook, weiter reichen,
  • Video-Überwachungsanlagen ohne Kennzeichnung,
  • Newsletter-Versand, ohne dass die Empfänger je in den Empfang eingewilligt hätten,
  • Personalausweiskopien im Personal-Bereich oder auch beim Hotel-Checkin,
  • und vieles mehr.

Alles halb so wild?

Man könnte denken, dass das alles halb so wild sei und die Aufsichtsbehörden die „kleinen Fische“ laufen lassen. Dem ist aber mitnichten so. Zwar steigt das Risiko einer Entdeckung von Datenschutzverfehlungen proportional mit der Unternehmensgröße, aber ein Großteil der Beschwerden erhalten die Aufsichtsbehörden von (ehemaligen) Mitarbeitern. Oder unzufriedenen Kunden und Gästen. Letztere sind meistens dann unzufrieden, wenn nicht glaubhaft dargelegt werden kann, warum eine Datenspeicherung in der konkreten Situation absolut notwendig sei.

Wir alle kennen die Situationen, in denen wir als Antwort ein „das machen wir schon immer so!“ erhalten. DAS ist allerdings keine zufriedenstellende Auskunft gegenüber dem Kunden, Gast oder Mitarbeiter. Und dann sollte man sich nicht wundern, wenn diese sich mit einer Beschwerde an die Aufsichtsbehörde wenden.

Mangel an Sensibilisierung

Das Hauptproblem in der Umsetzung eines modernen Datenschutzes ist immer noch die fehlende Sensibilisierung der Mitarbeiter. Damit ist nicht nur eine einmalige Belehrung der Mitarbeiter gemeint, sondern dauerhafte und wiederkehrende Schulungen. Die Mitarbeiter sollten insbesondere für die folgenden Fragen sensibilisiert werden:

  • Was sind personenbezogene Daten?
  • Was sind die besonderen Kategorien personenbezogener Daten?
  • Was ist „Verarbeitung“?
  • Was hat es mit der Zweckbindung auf sich?
  • Was bedeuten „Datenminimierung“ und „Speicherbegrenzung“?
  • Wie kann der Grundsatz der Vertraulichkeit und Integrität personenbezogener Daten erfüllt werden?

Wenn die Mitarbeitenden eines Unternehmens diese Fragen erfolgreich beantworten können, versetzt es sie in die Lage selbständig Datenschutz-Probleme und -Verstöße zu erkennen. Oder dass sie zumindest die Zulässigkeit der Verarbeitung spezifischer personenbezogener Daten hinterfragen können.

Erst wenn Mitarbeiter diesen Punkt erreicht haben, können sie die Geschäftsleitung und / oder die betriebliche Datenschutzbeauftragte über ihre Beobachtungen informieren. Geschäftsleitungen als Verantwortliche für die Datenverarbeitung sollten in jedem Einzelfall genau prüfen (lassen), ob die Bedenken der Mitarbeiter zutreffend sind und gegebenenfalls Maßnahmen zur Einhaltung und Verbesserung des Datenschutzes einleiten.

Pro und Contra Datenschutzbeauftragter

Die bzw. der betriebliche Datenschutzbeauftragte wird leider allzu häufig als bürokratisches Hemmnis angesehen, so wie die ganze Datenschutzgrundverordnung als „bürokratisches Monster“ tituliert wird. Häufig von den gleichen Protagonisten, die ihre Buchhaltung und Steuererklärung in professionelle Hände geben, um ja keinen Fehler zu machen. Wie mit dem Steuerberater verhält es sich auch mit den betrieblichen Datenschutzbeauftragten. Diese beraten den Verantwortlichen ebenfalls. Nur halt in datenschutzrechtlichen Fragestellungen. Daher ist es durchaus empfehlenswert einen Datenschutzbeauftragten freiwillig zu bestellen, selbst wenn der Betrieb weniger als zwanzig Personen beschäftigt, die ständig personenbezogene Daten verarbeiten. Diese Grenze wurde vor einem halben Jahr von zehn auf zwanzig Personen erhöht, nachdem Verbände und Kammern eine umfangreiche Lobbyarbeit geleistet hatten.

Was ist zu tun?

Auf jeden Fall sollte jeder Verantwortliche prüfen, ob die Dokumentationspflichten erfüllt sind und alle Betroffenenrechte erfüllt werden können:

  • Ist ein Verzeichnis der Verarbeitungstätigkeiten, kurz: Verarbeitungsverzeichnis, vorhanden? Ist ein vor zwei Jahren erstelltes Verarbeitungsverzeichnis immer noch aktuell?
  • Wurden mit allen Auftragsverarbeitern Vereinbarungen über die Auftragsverarbeitung geschlossen?
  • Existieren für alle Situationen Datenschutzinformationen? Z.B. für Website-Besucher, Mitarbeiter, Hotel-Gäste?
  • Kann Betroffenen innerhalb von vier Wochen Auskunft über die verarbeiteten (gespeicherten) personenbezogenen Daten, Verarbeitungszwecke, Rechtsgrundlage, Speicherdauer etc. erteilt werden?
  • Wie sieht es mit der Umsetzung von Lösch-Pflichten und -Konzepten aus?
  • Sind die Mitarbeiter im Datenschutz sensibilisert?

Falls auch nur bei einer der Fragen Unsicherheit besteht, sollte ein Datenschutz-Audit in Betracht gezogen werden. Durch einen erfahrenen und zertifizierten (z.B. durch den TÜV) Datenschutz-Auditor können die vorhandenen Lücken im Datenschutz identifiziert werden.

Ausblick

In den letzten zwei Jahren waren die Aufsichtsbehörden noch sehr zögerlich mit der Verhängung von Bußgeldern bei Datenschutzverstößen. Doch das ändert sich zunehmend. Schon im letzten Jahr wurden die ersten Bußgelder in Millionenhöhe in Deutschland verhängt. Und nachdem sich die Aufsichtsbehörden auf ein einheitliches Bußgeldmodell geeinigt haben, ist davon auszugehen, dass der gesetzliche Bußgeldrahmen von bis zu vier Prozent des Vorjahresumsatzes auch ausgeschöpft wird. Das sind dann keine Bagatellen mehr!

Die DSGVO ist gekommen, um zu bleiben. Da hilft auch kein Jammern und Wehklagen. Von der ist jeder gut beraten, sich intensiv(er) mit dem Datenschutz auseinander zu setzen. Dabei helfen auch die vielfältigen Informationen und Handreichungen, die Aufsichtsbehörden und Verbände zur Verfügung stellen.

„Die DSGVO ist gekommen um zu bleiben“

Ingo trifft es auf den Punkt. Die Digitalisierung ist Teil unseres Lebens – und bleibt. Genauso wichtig sollte uns der Schutz unserer Daten, aber auch der von anderen sein. Die Menschen sind sensibler geworden und hinterfragen, warum sie Daten preisgeben müssen. Ein Beispiel ist die Diskussion um die Abgabe von Kontaktdaten im Restaurant, damit Infektionsketten in Zusammenhang mit Corona, nachverfolgt werden können. Auch darüber haben Ingo und ich uns schon im Podcast unterhalten: „Öffnung der Gastronomie & Hotellerie: Gäste-Kontaktdaten DSGVO-konform sammeln, aufbewahren und entsorgen“.

Natürlich war es viel Aufwand – und ist es für dich vielleicht bis heute, wenn du dich mit den Datenschutz noch nicht vollumfänglich beschäftigt hast – aber es hilft auch Prozesse zu analysieren und zu hinterfragen.

Hast du Fragen zur DSGVO? Stelle sie gerne im Kommentarfeld unter diesem Beitrag!

Über den Gastautor: Ingo Busch

Ingo Busch - freier DatenschutzberaterIngo Busch ist gelernter Fachinformatiker und langjähriger IT-Projektleiter. Als freier Datenschutzberater unterstützt er Unternehmen bei der Umsetzung des Datenschutzes und ist auch als externer Datenschutzbeauftragter tätig. Nebenbei kümmert er sich als „Blog-Doktor“ um WordPress-Websites und Blogs diverser Blogger und Unternehmen. Auf seiner Website datenschutz-beratung-koeln.de bloggt er zu Datenschutzrelevanten Themen.

Hat dir dieser Beitrag gefallen?

Kommentiere und teile den Beitrag oder spende mir einen Kaffee! Danke.

 

Newsletter: Bleib auf dem Laufenden!

Abonniere jetzt meinen Newsletter und erhalte regelmäßig kostenlos aktuelle Informationen über digitales Hotelmanagement.

Das könnte dich auch interessieren:

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*