Es sind nur fünf Buchstaben. Doch sie bereiten vielen Unternehmen derzeit Kopfzerbrechen. Wer die Buchstaben ignoriert, dem drohen drastische Strafen. Wer sich mit ihnen beschäftigt, ist oft überfordert. Die fünf Buchstaben lauten DSGVO und sind die Abkürzung für die neue Datenschutzgrundverordnung. Netigate erklärt, welche Auswirkungen die DSGVO auf Mitarbeiter- und Kundenumfragen hat, was Unternehmen in Zukunft beachten müssen und was der Datenschutz mit Mücken zu tun hat.

Zeit ist Geld. Wir haben die wichtigsten Informationen rund um die DSGVO für Sie in fett markiert. So erhalten Sie in 60 Sekunden einen ersten Überblick über das Thema.

markus-spiske-507983-unsplash

Die DSGVO ist in der Wirtschaftspresse momentan so allgegenwärtig wie Mücken im Sommer. Für viele Verantwortliche ist das Thema auch so nervig. Wer muss sich damit auseinandersetzen?

Alle, die personenbezogene Daten erheben und verarbeiten.

Also alle Unternehmen, die Kunden und Mitarbeiter befragen?

Nein, denn es gibt auch anonyme Umfragen ohne personenbezogene Daten. Bei diesen greift die DSGVO nicht. Anonymität ist jedoch relativ. Selbst, wenn sich ein Unternehmen weder für den Vor- noch Nachnahmen interessiert, ist eine Umfrage nicht zwangsläufig anonymisiert. Sobald Daten Rückschlüsse auf eine Person zulassen, ist die Umfrage personalisiert.

Was heißt das konkret?

Wer anonyme Umfrage durchführen will, muss verhindern, dass man Teilnehmer identifizieren kann. Das gelingt auch ohne Vor- und Nachnamen. Oft reichen zur Identifizierung E-Mailadresse, Telefonnummer, Bankverbindung oder das Autokennzeichen. Man kann Personen auch durch die Kombination von scheinbar ,harmlosen‘ Informationen identifizieren. Fragt man Mitarbeiter nach Alter, Geschlecht und Dauer der Betriebszugehörigkeit, kann das ausreichen, um sie eindeutig zu erkennen.

Was, wenn Unternehmen weiterhin nach Mailadressen, Telefonnummern oder dem Alter fragen möchten?

Grundsätzlich sind nach wie vor alle Fragen erlaubt, vorausgesetzt sie verstoßen nicht gegen Gesetze. Bei einer Mitarbeiterumfrage muss man zum Beispiel das Arbeitsrecht beachten. Wenn Unternehmen personenbezogene Daten abfragen, müssen sie jedoch die Vorgaben der DSGVO einhalten.

Welche Vorgaben sind das?

Es geht unter anderem um eine rechtmäßige und transparente Datenverarbeitung nach Treu und Glauben. Es geht um Zweckbindung, Datenminimierung, Mitteilungs-, Rechenschafts- und Informationspflichten sowie Vorgaben für den Datenschutzbeauftragten. Eine komplette Übersicht finden Interessierte in der DSGVO.

Nicht jeder möchte die 11 DSGVO-Kapitel mit 99 Artikeln durchlesen. Was muss man wirklich wissen?

Natürlich muss man nicht die komplette DSGVO lesen. Sie sollten aber wissen, welche Auswirkungen die Vorgaben darin auf ihr Unternehmen und den Geschäftsalltag haben. Was das im Detail bedeutet, lässt sich leider nicht pauschal sagen. Es kommt immer auf den Einzelfall an.

Trotzdem gibt es Vorgaben, die fast alle Unternehmen betreffen. In Artikel 7 steht zum Beispiel, dass Umfrageteilnehmer einwilligen müssen, dass man ihre Daten erheben darf. Was sollten Unternehmen dabei beachten?

Die Einwilligung ist nur wirksam, wenn mehrere Voraussetzungen erfüllt werden.Erstens müssen Unternehmen umfassend über die Datenverarbeitung informieren – und zwar in einer klaren und einfachen Sprache. Zweitens müssen die Teilnehmer wissen, zu welchem Zweck die Daten erhoben werden. Drittens muss die Einwilligung aktiv erfolgen. Das heißt, bei einer Online-Umfrage darf ein Kontrollkästchen nicht vorangekreuzt sein. Außerdem muss man deutlich machen, dass Umfrageteilnehmer ihre Einwilligung jederzeit widerrufen können.

Ist es wichtig, wann ich die Einwilligung einhole?

Ja. Spätestens, wenn ich die Daten erhebe, muss ich die Teilnehmer informieren und ihre Einwilligung einholen. Um beim Beispiel mit der Online-Befragung zu bleiben: Wenn ich Menschen über das Internet interviewe, sollte ich vor der ersten Frage auf einer speziellen Seite einen Hinweis veröffentlichen. Dort sollten alle Informationen stehen, die die DSGVO vorschreibt.

In Artikel 5 findet man das Stichwort Datenminimierung. Was verbirgt sich dahinter?

Die DSGVO schreibt vor, dass Unternehmen so wenige Daten wie möglich erheben sollten. Sie sollen nur die Informationen besitzen, die sie unbedingt benötigen. Ein Beispiel zur Verdeutlichung: Wenn es wichtig ist, das Alter einer Person zu kennen, reicht es, sie nach ihrem Alter zu fragen. Die Frage nach dem genauen Geburtsdatum ist überflüssig. Bei Onlineumfragen hat das Auswirkungen auf die verwendete Software. Pflichtfelder müssen zum Beispiel flexibel konfigurierbar sein. Apropos Onlineumfrage: Wer Daten über das Internet erhebt, muss dafür sorgen, dass diese verschlüsselt übertragen werden.

Ebenfalls in Artikel 5 wird die Rechenschaftspflicht erwähnt. Laut dieser müssen Unternehmen nachweisen, dass sie die DSGVO einhalten. Wie macht man das am besten?

Unternehmen müssen für jede Verarbeitung personenbezogener Daten nachweisen können, dass diese rechtskonform ist. Dies lässt sich durch verschiedene Maßnahmen erreichen; zum Beispiel durch ein Verarbeitungsverzeichnis, ein Datenschutzmanagementsystem und einer sorgfältigen Prüfung einer Datenverarbeitung vor dessen Inbetriebnahme.

Was genau ist ein Verarbeitungsverzeichnis?

Das Verarbeitungsverzeichnis ist eine aussagekräftige und aktuelle Dokumentation, mit der Unternehmen nachweisen können, dass sie die Vorgaben der DSGVO einhalten. Es hilft dem betrieblichen Datenschutzbeauftragten sowie der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben.

Was muss im Verzeichnis stehen?

Die Inhalte sind gesetzlich vorgegeben. Es geht insbesondere um die Zwecke der Verarbeitung, Art und Umfang der Daten, betroffene Personengruppen, die Dauer der Speicherung, Kategorien von Empfängern der Daten und Datensicherheitsmaßnahmen.

Brauchen alle Unternehmen, die Umfragen durchführen, jetzt einen Datenschutzbeauftragten?

Sobald in einem Unternehmen zehn oder mehr Mitarbeiter regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, muss es einen Datenschutzbeauftragten geben. Das trifft fast immer zu, denn das Lesen und Empfangen von E-Mails gilt als automatisierte Verarbeitung personenbezogener Daten. Auch kleinere Betriebe müssen einen Datenschutzbeauftragten benennen, wenn sie viele schutzbedürftige Daten verarbeiten, zum Beispiel Sozial- oder Gesundheitsdaten.

Wen sollten Unternehmen als Datenschutzbeauftragten benennen?

Mitarbeiter dürfen nur Datenschutzbeauftragte sein, wenn sie das erforderliche Fachwissen besitzen und Erfahrung in der Datenschutzpraxis haben. Außerdem darf es keine Interessenkollisionen geben. Der Geschäftsführer einer GmbH darf nicht der Datenschutzbeauftragte der GmbH sein.

Haftet der Datenschutzbeauftragte für Verstöße gegen die DSGVO?

Nein. Für Datenschutzverletzungen haftet fast immer das Unternehmen und nicht der Datenschutzbeauftragte. Es gibt aber einige Konstellationen, in denen auch eine persönliche Haftung in Betracht kommt. Das ist der Fall, wenn der Datenschutzbeauftragte vorsätzlich oder grob fahrlässig seine gesetzlich übertragenen Aufgaben verletzt.

Apropos Verstöße: Was sollten Unternehmen tun, wenn es trotz aller Vorkehrungen und Bemühungen eine Datenpanne gibt?

Unternehmen müssen eine Datenpanne innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde melden. In Deutschland ist das immer die Aufsichtsbehörde des Bundeslandes, in dem das Unternehmen sitzt. Bei der Meldung sollten die Verantwortlichen den Vorfall konkret schildern. Dabei sollten sie auch die Risiken für die Betroffenen erwähnen. Insbesondere sollten sie erklären, welche Maßnahmen getroffen wurden, um einen weiteren Schaden auszuschließen oder zu minimieren.

Was passiert, wenn Unternehmen bei der Umsetzung der DSGVO wissentlich oder unwissentlich einen Fehler machen?

Bei Fehlern, die zu Datenschutzverletzungen führen, können Betroffene verlangen, dass ihr Schaden ersetzt wird. Aufsichtsbehörden dürfen Bußgelder verhängen. Abhängig von Art und Schwere des Verstoßes können diese bis zu zwanzig Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes betragen. Wenn jemand vorsätzlich Datenschutzverstöße begeht, kann zudem eine Straftat vorliegen, die mit einer Freiheits- oder Geldstrafe geahndet werden kann. Dies ergibt sich jedoch nicht aus der DSGVO, sondern aus der Neufassung des Bundesdatenschutzgesetzes (BDSG), die ebenfalls ab 25. Mai gilt.

Angenommen, ich habe keine Lust, mich mit dem Thema auseinanderzusetzen. Könnte ich einen externen Dienstleister für Umfragen beauftragen, der dafür verantwortlich ist, dass alle Vorgaben der DSGVO eingehalten werden?

So einfach ist das leider nicht. Wer möchte, kann gerne einen Dienstleister beauftragen, Umfragen durchzuführen sowie Daten zu erheben und zu verarbeiten. Das ist aber nur zulässig, wenn der Dienstleister überprüft und ein Auftragsverarbeitungs-Vertrag mit ihm abgeschlossen wurde. Ist dies der Fall, macht es aus juristischer Sicht keinen Unterschied, ob ein Unternehmen oder der Dienstleister Umfragen durchführt und auswertet. Doch aufgepasst: Der Auftraggeber ist trotzdem der Umfrage-Veranstalter und damit verantwortlich für die Datenverarbeitung des Dienstleisters.

Woran erkenne ich seriöse Dienstleister, denen ich vertrauen kann?

Bei der Auswahl von Dienstleistern gilt der Grundsatz „Trau, schau, wem?“. Die Verantwortlichen sollten genau prüfen, ob sie dem Dienstleister vertrauen können. Gerade im Hinblick auf die Datensicherheit. Auch die Erreichbarkeit und die Qualität des Supports sollten eine wichtige Rolle spielen. Eine Möglichkeit einen seriösen Umfrage-Anbieter zu erkennen ist, dass sie im Rahmen von Richtlinien, wie z.B. ISO 9001 und 27001, arbeiten. ISO 9001 legt fest, wie ein Qualitätsmanagementsystem aussehen muss, während ISO 27001 die Informationssicherheits-Managementsysteme definiert.

Ab dem 25. Mai müssen Unternehmen die Vorgaben der DSGVO einhalten. Hat das auch Auswirkungen auf Umfragen, die vor diesem Stichtag durchgeführt wurden?

Ja. Wenn Unternehmen Altdaten weiterverarbeiten wollen, und dazu gehört schon das Speichern, müssen sie die Vorgaben der DSGVO einhalten. Es ist deshalb sinnvoll zu prüfen, ob man die Daten wirklich noch benötigt, oder, ob man den Personenbezug entfernen kann und die Daten so anonymisiert.

Übrigens: Netigate ist DSGVO konform. Unsere weltweit führende Befragungsplattform erfüllt alle Vorgaben der DSGVO. Mehr dazu erfahren Sie unter https://www.netigate.net/de/impressum/#gdpr . Gerne können Sie uns ansprechen, falls Sie dazu Rückfragen haben. Sie erreichen uns per E-Mail unter info@netigate.de oder telefonisch unter der 0611 141039 45. Falls Sie sich weiter in das Thema einlesen wollen, empfehlen wir folgende drei Links: