In wenigen Wochen tritt die "Europäische Datenschutzgrundverordnung" (DSGVO) in Kraft. Auch Vermittlerbetriebe sind betroffen. Häufig liegt der Fokus der Aufmerksamkeit auf den digitalen Daten. Doch was ist mit analogen Daten? Wer diese vernachlässigt, geht ein großes Risiko ein. Wie Unternehmen richtig mit analogen Daten umgehen, erläutert Andreas Guhl, Legal Director DACH bei Office Depot.
Verträge, Bewerbungsunterlagen, Visitenkarten oder Notizzettel auf dem Schreibtisch: Analoge Informationen machen einen Großteil der personenbezogenen Daten in Unternehmen aus. Zwar haben Unternehmen im Zuge die Digitalisierung ihre Daten zunehmend auf Servern oder in Clouds gespeichert. Eine aktuelle Bitkom-Studie zeigt allerdings, dass insbesondere in kleinen und mittelständigen Unternehmen mehr als die Hälfte aller Prozesse papierbasiert ablaufen.
Empfindliche Strafen drohen
Auch ein Versicherungsbüro ist laut DSGVO ein datenverarbeitendes Unternehmen und somit verpflichtet, die neuen Vorschriften einzuhalten. Personenbezogene Daten dürfen demnach nur unter festgelegten Bedingungen und für legitime Zwecke erfasst werden, etwa zur Erfüllung von Verträgen. Sämtliche Daten dürfen nur so lange erfasst werden, wie es erforderlich ist. In bestimmten Fällen muss die Einwilligung der jeweiligen Personen eingeholt werden.
"Unternehmen müssen sowohl technische als auch organisatorische Maßnahmen ergreifen, um diese neuen Datenschutzbestimmungen einzuhalten", betont Guhl. Wer die neuen Bestimmungen nicht einhält, muss mit möglicherweise existenzgefährdenden Strafen rechnen: Der Höchstbetrag des Bußgeldes liegt bei 20 Millionen Euro beziehungsweise vier Prozent des weltweiten Jahresumsatzes eines Unternehmens - Imageschaden inklusive.
Folgende Hinweise gibt Guhl zum sicheren Umgang mit analogen Daten:
- Daten richtig ablegen
Damit Unternehmen personenbezogene Daten vorschriftsgemäß behandeln, müssen diese zunächst ihre sensiblen Daten kennen und wissen, wo diese abliegen. Ein übersichtliches Ablagesystem ist hilfreich. Dokumente müssen nach Zweck und Anwendungsbereich sortiert werden. Es sollte bei jedem Datensatz protokolliert werden, dass die Einverständniserklärung der betroffenen Personen zur Datenerfassung vorliegt.Ein Unternehmen kann den Aufsichtsbehörden damit nachweisen, dass es die gesetzlichen Vorgaben einhält.
Müssen Daten nur kurzfristig abgelegt werden, eignen sich Wiedervorlagemappen. So geraten Dokumente auch nicht in Vergessenheit. "Die DSGVO regelt auch das 'Recht auf Vergessenwerden'. Verlangt ein Kunde das Löschen der eigenen Daten, ist eine übersichtliche Archivierung sinnvoll, um alle Daten schnell zu finden und Zeit und Geld zu sparen", weiß der Rechtsexperte.
- Daten richtig sichern
Wer vertrauliche Dokumente offen herumliegen lässt, riskiert die Datensicherheit und muss schlimmstenfalls mit haftungsrechtlichen Folgen und Bußgeldern rechnen. "Wir empfehlen unseren Kunden, eine Datenschutzstrategie zu entwickeln", rät der Jurist. "Dafür sollten Unternehmen ermitteln, welche Mitarbeiter mit welchen Daten arbeiten. Nur so können Richtlinien für den sicheren Umgang mit sensiblen Daten erstellt werden." Es sei zudem sinnvoll, ein Team innerhalb des Unternehmens zu ernennen, das prüft, ob diese Richtlinien eingehalten werden. Hierzu gehört auch, Dokumente mit personenbezogenen Daten vor unbefugten Dritten zu schützen. "Wer sensible Informationen wegschließt, senkt das Risiko des Datenmissbrauchs", so Guhl.
- Daten richtig entsorgen
Kartei-Leichen sind nicht nur unnötig, sondern künftig auch strafbar. Schließlich dürfen Daten nur noch so lange gespeichert werden, wie sie einem bestimmten Zweck dienen. Wer deshalb hastig alte Visitenkarten, Notizzettel mit Namen und Telefonnummern oder abgelaufene Verträge in den Papierkorb wirft, begeht den nächsten Fehler: Sensible Daten landen auf diese Weise ungeschützt im Müll und können von Dritten für illegale Zwecke missbraucht werden. Die DSGVO regelt die Entsorgung von Akten genau. Demnach sind Dokumente so zu vernichten, dass ihr Inhalt nicht rekonstruiert werden kann. "Dafür erforderlich sind Aktenvernichter, die mit unterschiedlichen Zerkleinerungsstufen angeboten werden", ergänzt der Rechtsexperte.
Die Aktenvernichtung im eigenen Büro hat Vorteile: Sie ist sicher, günstig und schnell. "Externe Dienstleister stellen häufig ein Risiko dar", warnt Guhl. "Schließlich erhalten unternehmensfremde Personen Zugang zu Büros der Personal- oder Finanzabteilung und haben Zugriff auf sensible Daten." Zudem würden die Daten nicht sofort vernichtet, sondern nur nach Terminvereinbarung. Die Aktenvernichtung am Arbeitsplatz erleichtere hingegen das Einhalten interner Richtlinien für vertrauliche Daten.
Autor(en): Versicherungsmagazin.de
