DSGVO & KMU: Wie lassen sich Daten rechtskonform verarbeiten?

DSGVO-konform in vier SchrittenIn gut vier Monaten ist es soweit: Die Datenschutz-Grundverordnung (DSGVO) wird wirksam. Ab dann gelten die Vorschriften zum Schutz von personenbezogenen Daten, denen quasi jedes Unternehmen unterliegt. Auch kleine und mittelständische Unternehmen, sofern sie mit Daten von EU-Bürgern arbeiten. Was aber bedeutet „DSGVO & KMU“ in der Praxis? Wie lassen sich persönliche Daten rechtskonform verarbeiten und was hat es mit den Löschvorschriften auf sich?

Diese Fragen sind nicht aus der Luft gegriffen, sondern sie stammen von Ihnen. Also von Anwendern. Gestellt wurden sie während unseres Webcasts zur DSGVO („In 4 Schritten auf die Datenschutz-Grundverordnung vorbereitet“). Dieser Beitrag soll einige dieser Fragen beantworten und so Hilfestellung leisten beim DSGVO-konformen Umgang mit persönlichen Daten.

Problemfall: Private E-Mails im Postfach

Was beispielsweise ist zu tun, wenn sich diese schützenswerten Daten in E-Mail-Postfächern von Mitarbeitern befinden, die ihr berufliches E-Mail-Konto auch für private Korrespondenz verwenden dürften? An sich sind die Postfächer dann ja aufgrund des anwendbaren Fernmeldegeheimnisses aus Sicht des Unternehmens tabu, was unter anderem Probleme macht, wenn der in der DSGVO verankerte Löschanspruch vom Kunden geltend gemacht wird: Nur der Postfachinhaber ist der Lage, den Löschanspruch umzusetzen, was schon in kleineren Unternehmen zu hakeligen Prozessen führen dürfte. Von daher ist es zu empfehlen, private und geschäftliche E-Mails strikt voneinander zu trennen.

Um bereits bestehende Postfächer DSGVO-konform zu bekommen, gibt es mehrere Wege. Die je nach Unternehmensgröße mehr oder weniger praktikabel sind. Zum einen kann die Geschäftsleitung die Mitarbeiter anweisen, innerhalb einer gesetzten Frist alle persönlichen Inhalte aus den Mailboxen zu löschen und so Zugriffe durch dazu befugte Kollegen beziehungsweise Löschmechanismen zu erlauben. Alternativ können sich Unternehmen auch die explizite Einwilligung der Mitarbeiter abholen, dass solche Zugriffe gestattet sind.

Mit im Blick der DSGVO: die Cloud

Die DSGVO erstreckt sich natürlich nicht nur auf in E-Mail-Postfächern gespeicherte persönliche Daten. Sondern auch auf Einträge in Datenbanken oder die Cloud. Der Speicherort spielt also keine Rolle, entscheidend ist alleine, ob die Daten personenbezogen sind und ob sie zu einem EU-Bürger gehören. An dieser Stelle sei der Hinweis erlaubt, dass Microsoft als erster weltweit aktiver Cloud-Anbieter sich schon im April 2017 vertraglich verpflichtet hat, alle seine Cloud-Dienste DSGVO-konform anzubieten. Cloud-Nutzer dürfen gemäß Datenschutz-Grundverordnung ab Mai 2018 nur noch mit Anbietern arbeiten, die diese Konformität garantieren. Kunden können sich also unter anderem darauf verlassen, dass DSGVO-konforme Anbieter ihnen zur Seite stehen, wenn Kunden Korrektur, Ergänzung oder das Löschen ihrer persönlichen Daten wünschen. Auch ein Export der durch den Kunden selbst eingegebenen Daten muss möglich sein.

Dem Löschen kommt wie erwähnt eine zentrale Bedeutung zu. Unter anderem auch im Zusammenhang mit Newslettern: Verlangt ein Kunde das Löschen seiner Daten, darf ihm keinesfalls mehr ein Newsletter zugeschickt werden. Auch wenn das Löschen noch eine Weile dauert. Die betreffende E-Mail-Adresse muss also sofort auf eine Blacklist, damit sie nicht weiter beschickt wird. Denn das Unternehmen hat keine rechtliche Grundlage mehr für den Versand des Newsletters.

Wildwuchs beim Speichern? Das war einmal

Genügte es bislang, eine weit gefasste Einverständniserklärung des Kunden zum Speichern seiner Daten einzusammeln, ist das in Zeiten der DSGVO nicht länger zulässig. Unter Umständen müssen also erneut Erklärungen der Kunden eingeholt werden. Insbesondere, wenn bislang die Hintergründe der Speicherung nicht erläutert wurde (was wird wie lange zu welchem Zweck gespeichert). Wichtig ist zu verstehen, dass künftig das Prinzip der Datenminderung gilt: Nur die Daten speichern, die unbedingt benötigt werden und nur so lange aufheben, wie nötig. Fällt die Rechtfertigung für die Datenhaltung weg, müssen sie vernichtet werden. Im Fall von beispielsweise mit BitLocker verschlüsselten Dateien genügt es nicht, das Passwort zu „vergessen“. Denn in Unternehmen existieren Recovery Keys. Von daher gilt: Nur gelöscht ist gelöscht.

Aufgepasst beim Lebenslauf

Im Fall von per E-Mail eingesandten Bewerbungen beziehungsweise Lebensläufen zeigt sich, dass es manchmal divergierende Bestimmungen gibt: Die DSGVO verlangt das Löschen der Unterlagen, sollte es nicht zur Anstellung kommen. Die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) hingegen fordert, dass alle Mails mit geschäftlichem Inhalt revisionssicher aufzubewahren sind. Daher muss im Rahmen eines DSGVO-Projekts jeder einzelne Prozess bewertet und anhand der jeweiligen Datenkategorien klassifiziert werden. Nur so können Unternehmen die einzelnen Daten nach den entsprechenden Löschfristen löschen (Löschkonzept).

Problematisch kann das Löschgebot für Personalabteilungen auch in anderer Hinsicht sein: Bislang hoben sie Bewerberunterlagen oftmals mehrere Jahre auf, um in Assessment Centern gescheiterte Bewerber nicht zu früh noch einmal in den Ring zu holen. Künftig ist das Speichern über einen Zeitraum von drei Monaten hinaus nur mit Einwilligung des Bewerbers möglich.

Weiterführende Informationen zum Thema DSGVO und IT-Sicherheit

 

Steigen Sie in die Konversation ein

2 Kommentare

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

  1. Wir haben Fälle wo der Kunde die Löschung seiner Daten verlangt hat und auch keine Emails mehr erhalten möchte. Damit sichergestellt ist das er wirklich ab sofort keine Emails mehr erhält wird er in eine Blacklist eingetragen. Ist nicht der Eintrag einer Emailadresse in eine Blacklist auch schon eine unerlaubte Speicherung personenbezogener Daten?

    • Sehr geehrter Herr Klima,

      interessante Fragestellung. In ihrem beschriebenen Fall wäre ein Teil der personenbezogenen Daten ja in der Tat immer noch vom Unternehmen gespeichert.

      Inwiefern dies gegen die neuen DSGVO-Bestimmungen verstößt, kann ich Ihnen hier leider auch nicht abschließend beantworten. Eine solche Beratung kann nur von Rechtsexperten vorgenommen werden. Unsere Technologie-Experten arbeiten bei DSGVO-Projekten in der Regel immer mit Rechtsanwälten und Kanzleien zusammen. Auf http://www.aka.ms/partnersuche können Sie einen Microsoft Technologie-Experte finden, der Ihnen bei Detailfragen zur Seite steht.

      Viele Grüße
      Niklas Sowa