Am 25. Mai 2018 wird die EU-Datenschutz-Grundverordnung – kurz: DSGVO – verbindlich. Textilpflegebetriebe sollten ihre Abläufe schnellstmöglich auf DSGVO-Konformität überprüfen.
Viele haben es schon von ihrem Steuerberater gehört: Am 25. Mai 2018 läuft die Übergangsfrist für die neue Datenschutz-Grundverordnung (DSGVO) aus. Der Kölner Rechtsanwalt Christian Solmecke, Partner in der auf Medienrecht spezialisierten Kanzlei Wilde Beuger Solmecke, erläutert, welche Änderungen für Textilpflegebetriebe wichtig sind.
R+WTextilservice:Was ist die DSGVO?
Christian Solmecke: Die neue Datenschutz-Grundverordnung regelt den Umgang mit personenbezogenen Daten neu und ersetzt das bisherige Bundesdatenschutzgesetz. Damit soll der Datenschutz EU-weit vereinheitlicht werden. Inhaltlich bleiben aber zahlreiche Kernelemente der bisherigen Rechtslage erhalten. Es gibt nur wenige grundsätzliche Neuerungen, viele Änderungen betreffen eher die Details.
Was sind personenbezogene Daten?
Vereinfacht gesagt sind das alle Informationen, die einer natürlichen Person direkt zuzuordnen sind. Typische Beispiele sind Adresse, Telefonnummer, E-Mail-Adresse oder Bankverbindung. Darunter fällt aber auch die IP-Adresse eines Nutzers, der im Internet surft.
Ist mein Textilpflegebetrieb überhaupt von der DSGVO betroffen?
Ja, praktisch jedes Unternehmen fällt unter die DSGVO, alleine schon wegen der Mitarbeiterdaten in der Personalakte und der Lohnbuchhaltung. Auch wenn das Textilpflegeunternehmen Kartenzahlungen akzeptiert, E-Mails versendet, eine Website hat, Apps für den Kundenservice bereitstellt oder Social Media nutzt, fällt dies unter die DSGVO.
Was ändert sich bei der Website?
Hier sind zwei Punkte wesentlich: Zum einen muss die Datenschutzerklärung angepasst werden, da die Vorgaben der DSGVO detaillierter sind als bislang. Zum anderen gibt es Änderungen beim Setzen von sogenannten Cookies. Üblich ist ja eine Infobox, in der sinngemäß steht: „Mit die Nutzung unserer Webseite stimmen Sie der Verwendung von Cookies zu.“ Will der Nutzer die Seite nutzen, hat er vielfach keine Wahl und muss die Cookies akzeptieren. Dies ist nach der neuen Rechtslage nicht mehr zulässig. Auch wenn jemand die Cookies ablehnt, muss die Nutzung der Website grundsätzlich möglich sein. Hier sind häufig auch technische Anpassungen nötig.
Was ändert sich bei Einwilligungen und Nutzerinformationen?
Wie bisher darf das Textilpflegeunternehmen nur dann personenbezogene Daten verarbeiten, wenn dies zur Durchführung des Vertrages notwendig ist oder wenn der Betreffende seine Einwilligung dazu gegeben hat. Das gilt sowohl für Mitarbeiterdaten als auch für Kundendaten, etwa wenn das Unternehmen Kunden per E-Mail oder SMS benachrichtigt, Kundenkonten führt, Newsletter verschickt, Gewinnspiele durchführt und Ähnliches. Allerdings stellt die DSGVO höhere Anforderungen an eine wirksame Einwilligung, insbesondere bei Minderjährigen. Auch die Informationspflichten sind im Vergleich zu den bisherigen Regelungen deutlich erweitert. Diese gelten auch, wenn man personenbezogene Daten bei Dritten einholt, etwa Bonitätsprüfungen über die Schufa oder Creditreform durchführt. Deshalb sollten Textilpflegebetriebe überprüfen, ob das bisherige Vorgehen sowohl bei den Einwilligungen als auch bei den Informationen noch den neuen Vorgaben entspricht.
Auch nach der neuen Rechtslage hat der Nutzer weiterhin ein umfassendes Auskunftsrecht darüber, was mit seinen Daten geschieht, allerdings ändern sich hier einige Details. Neu ist außerdem, dass es nun einen gesetzlichen Anspruch auf das „Vergessenwerden“ gibt. Unter bestimmten Bedingungen muss das Textilpflegeunternehmen also Nutzerdaten löschen, beispielsweise wenn es einen Blog oder Ähnliches betreibt.
Darf man die Angebote von Facebook, WhatsApp, Google Analytics usw. nutzen?
Grundsätzlich ist die Nutzung solcher Dienste von US-Unternehmen weiterhin legal, wenn und insoweit sie entsprechend dem „Privacy Shield“ zertifiziert sind. Neu ist allerdings, dass es keine Rolle mehr spielt, wo ein Anbieter seinen Hauptsitz hat. Wenn ein solches Unternehmen innerhalb der EU seine Dienste anbietet, muss es auch die Vorgaben der DSGVO einhalten. Dies umzusetzen, ist natürlich Aufgabe der jeweiligen Konzerne.
Was gilt bei der Nutzung externer Dienstleister, z.B. für die Lohnbuchhaltung?
Diese sogenannte Auftragsverarbeitung bleibt auch nach dem neuen Recht möglich. Für die jeweiligen Anbieter gelten zukünftig jedoch strengere Regelungen, beispielsweise müssen sie ein „Verzeichnis der Verarbeitungstätigkeiten“ führen. Das Textilpflegeunternehmen sollte deshalb prüfen, ob bestehende Verträge DSGVO-konform sind. Aktuell gibt es noch keine entsprechend zertifizierten Unternehmen, daran wird gerade gearbeitet. Die DSGVO sieht jedoch die Möglichkeit zu Zertifizierungen ausdrücklich vor, dies wird also kommen.
Was hat sich beim Thema Datenschutz und Datensicherheit geändert?
Hier sind die Anforderungen strenger geworden. Die DSGVO verlangt sowohl technische als auch organisatorische Schutzmaßnahmen. Geräte und IT-Anwendungen müssen z.B. jetzt grundsätzlich so voreingestellt sein, dass nur die Daten erhoben werden, die für den jeweiligen Vorgang auch tatsächlich notwendig sind. Welche Nachbesserungen hier im Einzelnen notwendig sind, hängt aber von den jeweiligen Abläufen in Wäscherei oder Textilreinigung ab und muss individuell geklärt werden.
Völlig neu ist die sogenannte Datenschutzfolgeabschätzung. Das bedeutet, dass ein Unternehmen in bestimmten Fällen bereits vorab analysieren muss, welche Risiken für den Nutzer mit der geplanten Verarbeitung von Daten verbunden sind. Das wäre z.B. der Fall, wenn das Textilpflegeunternehmen Kundenprofile oder Mitarbeiterstatistiken erstellen will. Selbstverständlich müssen dazu auch alle anderen Anforderungen der DSGVO erfüllt sein, u.a. eine wirksame Einwilligung.
Was gilt beim Datenschutzbeauftragten?
Im Wesentlichen ist die Rechtslage hier unverändert. Nach wie vor braucht ein Unternehmen einen Datenschutzbeauftragten, wenn mindestens zehn Personen regelmäßig mit der Datenverarbeitung beschäftigt sind. Dazu gehört z.B. auch die Bedienung von elektronischen Kassen, der Versand von E-Mails oder die Nutzung dienstlicher Smartphones. Dabei werden 450-Euro-Kräfte voll gezählt. Neu ist, dass größere Unternehmen mit mehreren Filialen nur noch einen einzigen Datenschutzbeauftragten bestellen müssen, vorausgesetzt, dass dieser jederzeit erreichbar ist.
Was ist bei Datenpannen, z.B. bei Hackerangriffen oder bösartigen Apps?
Bei Datenpannen gelten verschärfte Informationspflichten. In bestimmten Fällen muss das betroffene Unternehmen den Vorfall jetzt innerhalb von 72 Stunden mit genau vordefinierten Informationen an die zuständige Aufsichtsbehörde melden. Außerdem muss es unter bestimmten Bedingungen auch die betroffenen Nutzer informieren. Wenn so etwas geschieht, sollte sich das Textilpflegeunternehmen umgehend beraten lassen.
Wann sollte ein Textilpflegebetrieb seine Abläufe auf DSGVO-Konformität überprüfen?
Unternehmer sollten so schnell wie möglich aktiv werden, denn die neue Rechtslage wird bereits ab dem 25. Mai 2018 angewandt. Für juristische Laien ist es nicht empfehlenswert, die DSGVO auf eigene Faust umzusetzen, denn dabei können zu viele Fehler passieren. Vor allem wenn es um den Außenauftritt des Textilpflegebetriebs im Internet geht, kann man davon ausgehen, dass die gefürchteten Abmahnkanzleien nur darauf warten, systematisch nach Verstößen gegen die DSGVO zu suchen und Unternehmen gegebenenfalls gnadenlos zur Kasse zu bitten.
Welche Strafen drohen bei Verstößen gegen die DSGVO?
Hier sind die Bußgelder drastisch erhöht worden, je nach Schwere des Verstoßes können sie bis zu vier Prozent des Jahresumsatzes betragen. Im Zweifel muss ein Betrieb nachweisen, dass er DSGVO-konform arbeitet. Ich kann nur jedem Unternehmen empfehlen, detailliert zu dokumentieren, wie es die neuen Vorgaben umgesetzt hat.
Weiterführende Infos und Tipps zur DSGVO
Die Wirtschaftskammer Österreich gibt ihren Betrieben eine Schritt-für-Schritt-Anleitung für die DSGVO mit an die Hand.
Außerdem hat R+WTextilservice hier Links zu einem Leitfaden und einem Onlinetool zusammengefasst.