Die Uhr tickt: Ab 25. Mai 2018 gilt die neue Datenschutzverordnung für die gesamte Europäische Union. Die meisten Unternehmen konzentrieren sich bei der Umsetzung auf ihre digitalen Daten. Völlig außer Acht gelassen wird dabei, dass die DSGVO genauso für Daten in Papierform gilt. Hier bestehen erhebliche rechtliche Risiken.
Verträge, Bewerbungsunterlagen, Visitenkarten oder Notizzettel auf dem Schreibtisch: Analoge Informationen machen einen Großteil der personenbezogenen Daten in Unternehmen aus. Zwar haben Unternehmen im Zuge die Digitalisierung ihre Daten zunehmend auf Servern oder in Clouds gespeichert. Eine aktuelle Bitkom-Studie zeigt allerdings, dass insbesondere in kleinen und mittelständischen Unternehmen mehr als die Hälfte aller Prozesse papierbasiert ablaufen.
Personenbezogene Daten auf Papier
Bei fast 20 Prozent der Betriebe sind Mitarbeiterdaten, Materialscheine, Stundenzettel, Rechnungen und Kundenverträge ausschließlich auf Papierdokumenten zu finden – alles Dokumente, die personenbezogene Daten erfassen und für deren Verarbeitung die DSGVO genauso gilt wie für digital gespeicherte Informationen.
Auch der mittelständische Handwerks- oder Industriebetrieb, der Einzelhändler oder das Versicherungsbüro sind laut DSGVO datenverarbeitende Unternehmen und somit verpflichtet, die neuen Vorschriften einzuhalten. Personenbezogene Daten dürfen demnach nur unter festgelegten Bedingungen und für legitime Zwecke erfasst werden, zum Beispiel zur Erfüllung von Verträgen.
Einwilligung einholen
Abteilungen, die persönliche Informationen erfassen und verarbeiten, müssen diese vor Missbrauch schützen. Sämtliche Daten dürfen nur so lange erfasst werden, wie es erforderlich ist. In bestimmten Fällen muss die Einwilligung der jeweiligen Personen eingeholt werden.
Wer dies nicht tut, muss nach Inkrafttreten der DSGVO mit möglicherweise existenzgefährdenden Strafen rechnen: Der Höchstbetrag des Bußgeldes liegt bei 20 Millionen Euro beziehungsweise vier Prozent des weltweiten Jahresumsatzes eines Unternehmens – Imageschaden inklusive.
Daten richtig ablegen
Damit Unternehmen personenbezogene Daten vorschriftsgemäß behandeln, müssen sie zunächst ihre sensiblen Daten kennen und wissen, wo diese abliegen. Ein übersichtliches Ablagesystem ist für den Datenschutz entscheidend. Dokumente müssen nach Zweck und Anwendungsbereich sortiert werden. Es sollte bei jedem Datensatz protokolliert werden, dass die Einverständniserklärung der betroffenen Personen zur Datenerfassung vorliegt. Ein Unternehmen kann den Aufsichtsbehörden damit nachweisen, dass es die gesetzlichen Vorgaben einhält.
Ein übersichtliches Ablagesystem hilft. Mit Transport- und Archivboxen können wichtige Unterlagen zudem sicher von A nach B transportiert werden. Müssen Daten nur kurzfristig abgelegt werden, eignen sich Wiedervorlagemappen. So geraten Dokumente auch nicht in Vergessenheit. Die Datenschutzverordnung regelt auch das „Recht auf Vergessenwerden“. Verlangt ein Kunde das Löschen der eigenen Daten, ist eine übersichtliche Archivierung sinnvoll, um alle Daten schnell zu finden und Zeit und Geld zu sparen.
Daten richtig sichern
Wer vertrauliche Dokumente offen herumliegen lässt, riskiert die Datensicherheit und muss schlimmstenfalls mit haftungsrechtlichen Folgen und Bußgeldern rechnen. Unternehmen sollten ermitteln, welche Mitarbeiter mit welchen Daten arbeiten. Nur so können Richtlinien für den sicheren Umgang mit sensiblen Daten erstellt werden.
Es sei zudem sinnvoll, ein Team innerhalb des Unternehmens zu ernennen, das prüft, ob diese Richtlinien eingehalten werden. Hierzu gehört auch, Dokumente mit personenbezogenen Daten vor unbefugten Dritten zu schützen.
Wer sensible Informationen wegschließt, senkt das Risiko des Datenmissbrauchs. Dafür erforderlich sind abschließbare Aktenschränke und Rollcontainer, in bestimmten Fällen auch Bürotresore. Damit gehen Unternehmen auf Nummer sicher.
Karteileichen sind nicht nur unnötig, sondern künftig auch strafbar. Schließlich dürfen Daten nur noch so lange gespeichert werden, wie sie einem bestimmten Zweck dienen. Wer deshalb hastig alte Visitenkarten, Notizzettel mit Namen und Telefonnummern oder abgelaufene Verträge in den Papierkorb wirft, begeht den nächsten Fehler: Sensible Daten landen auf diese Weise ungeschützt im Müll und können von Dritten für illegale Zwecke missbraucht werden.
Daten richtig entsorgen
Die DSGVO will dem einen Riegel vorschieben und regelt auch die Entsorgung von Akten. Demnach sind Dokumente so zu vernichten, dass ihr Inhalt nicht rekonstruiert werden kann.
Die Aktenvernichtung im eigenen Büro hat Vorteile: Sie ist sicher, günstig und schnell. Die Aktenvernichtung am Arbeitsplatz erleichtere das Einhalten interner Richtlinien für vertrauliche Daten. In den meisten Fällen sind Aktenvernichter kostengünstiger als die Entsorgung außerhalb des Betriebsgeländes.
Präventionskongress im Juni
Intensivseminar für Handwerker
Vom 20. bis zum 22. Juni 2018 findet der vierte Präventionskongress statt. Unter dem Motto „Gesund leben und arbeiten“ wird in der Filharmonie in Filderstadt über betriebliche Prävention informiert und diskutiert. 60 hochkarätige Referenten diskutieren dort mit rund 1.000 Teilnehmern brandaktuelle Themen, die Gesundheit und Sicherheit bei der Arbeit beeinflussen.
Parallel zum wissenschaftlichen Fachprogramm finden ein BGM-Praxis-Camp, ein Unternehmerseminar und ein Nachwuchssymposium zum Thema Arbeitsmedizin statt.
Am Freitag, dem 22. Juni, gibt es zudem ein Intensivseminar speziell für Handwerker, das über Ziele und Aufgaben von Gefährdungsbeurteilungen informiert und praktische Tipps und Unterstützung bietet. Ergänzend können sich die Teilnehmer in den Vortragspausen an rund 40 Ausstellerständen einen Überblick über Produktneuheiten verschaffen.
Der Autor
Andreas Guhl
ist Legal Director für Deutschland, Österreich, Schweiz bei Office Depot. Das Unternehmen vertreibt weltweit Büroartikel und bietet seinen Kunden umfangreiche Bürodienstleistungen.