Sicher ist sicher
Datenschutz-Grundverordnung: Ihre Daten in sicheren Händen
Ab dem 25. Mai 2018 gilt die neue Datenschutz-Grundverordnung (DSGVO), die dem noch besseren Schutz von personenbezogenen Daten dient. Für uns bei Sappi hatte Ihre E-Privacy bei der digitalen Kommunikation schon vor Einführung der neuen Regelung höchste Priorität: Wir optimieren permanent unsere Datenschutzprozesse und bieten Ihnen auf www.sappi.com/privacy-policy einen überblick darüber, wie wir Ihre Daten verarbeiten und schützen. Die neue DSGVO bestätigt uns darin, dass es richtig war, den konsequenten Datenschutz von Anfang an als Leitprinzip für Zusammenarbeit mit unseren Kunden in den Mittelpunkt zu stellen. Im Folgenden haben wir für Sie als Unternehmer wichtige Tipps zur DSGVO zusammengefasst.
DSGVO gilt auch für Kleinbetriebe
Ganz gleich ob Ein-Mann-Betrieb, Grafikbüro oder Großdruckerei: Für Sie als Unternehmer in der Druck-, Verpackungs- und Kommunikationsbranche ist die Beschäftigung mit der DSGVO Pflicht, denn der Gesetzgeber sieht bei Nichteinhalten der neuen Vorschriften Bußgelder vor. Dabei kommt die DSGVO immer dann ins Spiel, sobald Sie mit personenbezogenen Daten arbeiten. Die Verarbeitung dieser Kunden- bzw. Interessentendaten ist grundsätzlich verboten – es sei denn, die Verarbeitung ist zur Vertragserfüllung oder aus sonstigen berechtigten Interessen zwingend notwendig. Jede andere Verarbeitung (etwa zu Marketingzwecken) erfordert die Einwilligung der betreffenden Person. Sie sollten diese Einwilligung grundsätzlich vorher einholen und dokumentieren. Bereits erteilte Einwilligungen bleiben gültig, wenn sie der DSGVO entsprechen.
Das Einhalten von Vorschriften reicht nicht mehr
Die DSGVO führt für Betriebe zusätzliche Pflichten ein, die aktiv erfüllt werden müssen. Dazu zählt zum Beispiel, dass ein Verfahrensverzeichnis geführt werden muss, in dem Datenverarbeitungsvorgänge, der der Verarbeitungszweck und die Löschfristen erfasst werden. Das Verzeichnis kann zum Beispiel die Form einer Excel-Datei haben und muss auf Anfrage den Aufsichtsbehörden vorgelegt werden. Zwar sind Unternehmen mit weniger als 250 Mitarbeitern von der Verfahrensverzeichnis-Pflicht befreit – aber nur dann, wenn die Datenverarbeitung nur gelegentlich geschieht.
Auskunftsanfragen müssen zeitnah beantwortet werden
Neu ist auch, dass Ihre Kunden ab sofort ein generelles Widerspruchsrecht gegen die Verarbeitung ihrer Daten genießen. Zwar darf Ihr Unternehmen Daten, die für die Vertragserfüllung benötigt werden, auch in Zukunft speichern. Handelt es sich dagegen um Daten, die nur Marketingzwecken dienen, müssen diese ab sofort auf Verlangen gelöscht werden. Darüber hinaus müssen Auskunftsanfragen Ihrer Kunden über verarbeitete Daten unverzüglich erfüllt werden.
Datenschutzerklärung auch bei Beratungsgesprächen notwendig
Falls Sie eine Website betreiben, kennen Sie bereits die gesetzlich vorgeschriebene Datenschutzerklärung. Diese Erklärung ist in Zukunft auch dann vorgeschrieben, wenn die Daten offline erfasst werden – etwa in einem Beratungsgespräch.
Datenschutzbeauftragter ist oft Pflicht
Die DSGVO verlangt die Ernennung eines Datenschutzbeauftragten, falls Ihr Unternehmen Verarbeitungsvorgänge durchführt, die eine regelmäßige systematische Überwachung von Mitarbeitern erforderlich machen oder besonders sensible Daten (zum Beispiel Gesundheitsdaten) betreffen. Allerdings sah der deutsche Gesetzgeber schon bisher einen Datenschutzbeauftragten vor, wenn sich mehr als 10 Mitarbeiter im Unternehmen mit der Verarbeitung personenbezogener Daten beschäftigen.
Datenpannen müssen schnell gemeldet werden
Kommt es zu einer Datenschutzverletzung, muss diese grundsätzlich binnen 72 Stunden der Behörde gemeldet werden. Bislang galt dies nur in Ausnahmefällen. Falls ein hohes Datenverlustrisiko besteht, müssen auch die betroffenen Personen informiert werden. Um das Risiko von Datenpannen zu minimieren, schreibt die DSGVO außerdem eine risikoangemessene Datensicherheit Ihrer IT-Systeme vor.