1 54 Table of Contents 56 68

Berliner Wirtschaft 2/2020

reichenden technisch-organisatorischen Siche- rungsmaßnahmen bei der telefonischen Kun- denbetreuung ergriffen, sodass Unbefugte Kun- dendaten abfragen konnten. Rapidata hatte trotz mehrmaliger Aufforderung keinen betrieblichen Datenschutzbeauftragten benannt. Diese Fälle hätten alle vermieden werden können, wenn die Verantwortlichen das Thema Datenschutz rechtzeitig auf die Agenda gesetzt hätten. Folgende Aspekte sollten sich Unterneh- men unbedingt vor Augen führen: Die Verarbeitung von Informationen, die sich auf eine identifizierte oder identifizierbare natür- liche Person beziehen, ist grundsätzlich verbo- ten und nur ausnahmsweise erlaubt. Nämlich dann, wenn entweder eine wirksame Einwilli- gung (Opt-in) der betroffenen Person oder eine gesetzliche Erlaubnis vorliegt. Gesetzlich kann die Datenverarbeitung zur Erfüllung vertragli- cher oder rechtlicher Pflichten gestattet sein oder zur Wahrung eigener oder der Interessen Dritter, wenn die Interessen der Betroffenen nicht über- wiegen. Ein Beispiel: Webseitenbetreiber können Cookies ohne Einwilligung einsetzen, wenn sie zur Leistungserbringung notwendig sind und die Datenschutzinteressen der Nutzer nur geringfü- gig beeinträchtigen. Bei der Datenverarbeitung gelten die Prinzi- pien der Zweckbindung, Datensparsamkeit und Speicherbegrenzung. Personenbezogene Daten dürfen nur zu demZweck verarbeitet werden, für den sie rechtmäßig erhoben wurden, und nur im notwendigen sachlichen und zeitlichen Umfang. Danachmüssen sie gelöscht werden. Wer die Ein- willigung für den Versand eines Newsletters ein- holt, darf die mitgeteilte E-Mail-Adresse auch nur dafür nutzen. Die Datenverarbeitung muss zudem transparent erfolgen. Es muss klar sein, wer der dafür Verantwortliche ist. Zudem müs- sen geeignete technisch-organisatorische Maß- nahmen (TOMs) ergriffen werden, um die Daten vor Verlust zu schützen und deren Verarbeitung durch Unbefugte zu vermeiden. Dringend erforderliche To-dos Schließlich bestehen Melde- und Informations- pflichten: Verletzungen des Schutzes personen- bezogener Daten sind in höchstens 72 Stunden zu melden, es sei denn, die Verletzung birgt voraus- sichtlich kein erhebliches Risiko. Das alles kor- respondiert mit weitreichenden Betroffenen- rechten, etwa auf Auskunftserteilung, Berichti- gung, Löschung und Übertragbarkeit der Daten zwischen Anbietern sowie darauf, der weiteren Datenverarbeitung zu widersprechen. Daraus folgen einige ganz konkrete To-dos – die eigentlich bis zum Stichtag 25. Mai 2018 hät- ten umgesetzt sein müssen. Ein guter Anfang ist die Erarbeitung eines Verzeichnisses von Verar- beitungstätigkeiten (VVT). Darin enthalten sein müssen alle Datenverarbeitungsvorgänge mit Zweck, betroffenen Personenkreisen wie Mitar- beiter und Nutzer, den verarbeiteten Daten wie z. B. Name, Adresse, Geburtsdatum und Sozial- versicherungsdaten, den Datenempfängern wie demSteuerbüro und Finanzamt, Löschfristen und den zur Sicherung getroffenen TOMs. Sind alle Datenverarbeitungsprozesse einmal systematisch erfasst, kann bewertet werden, ob die Anforde- rungen der DSGVO erfüllt werden. Verantwortlich ist immer der Chef Zu den TOMs gehören die Pseudonymisierung und Verschlüsselung von Daten sowie die Sicher- stellung von Vertraulichkeit, Integrität, Verfüg- barkeit und Belastbarkeit der genutzten EDV-Sys- teme durch IT-Sicherheitskonzepte. Demnach sind Betriebssysteme und Anwendungen aktu- ell zu halten und durch Firewalls und Virenscan- ner abzusichern sowie datenschutzfreundliche Voreinstellungen zu wählen. Für Mitarbeiter sind Rollen- und Berechtigungskonzepte zu erarbeiten und Benutzerrechte und Passwörter zu vergeben. Datenverlusten ist mit Back-up-Lösungen vorzu- beugen. Kunden und Nutzer sind bei Vertrags- schluss (AGB) und auf Webseiten (Datenschutz- erklärung) über die Datenverarbeitung und ihre Rechte zu informieren. Beschäftigte sind auf die Einhaltung des Datenschutzes zu verpflichten. Mit Dritten, die mit der Datenverarbeitung beauftragt werden (IT- Dienstleister, Steuer- oder Personal- büro und Inkassodienstleister), sind Verträge zur Auftragsverarbeitung abzuschließen. Bei besonderen Risiken aus der Informations- verarbeitung, etwa durch neue Technologien oder bei besonders sensiblen Daten, muss eine soge- nannte Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden. Zudemmüssen Unterneh- men einen Datenschutzbeauftragten benennen, wenn ihre Datenverarbeitung eine systematische Überwachung erfordert oder bei ihnen zehn oder mehr Personen regelmäßig Umgang mit perso- nenbezogenen Daten haben. Doch auch dann bleibt der Datenschutz Chefsache: Verantwort- lich ist letztlich immer die Unternehmensleitung, meist der Vorstand oder Geschäftsführer. ■ Der Autor Rechtsanwalt Dr. Urs Verweyen ist Partner der Berliner Mittelstands-Kanzlei KVLEGAL. Seine Schwerpunkte liegen im E-Commerce und Wettbewerbsrecht, Datenschutz sowie im Urheber- und Medienrecht. www.kvlegal.de Melina Hanisch, Start-up-Koordinatorin Innovation der IHK Tel.: 030 / 315 10-527 melina.hanisch@berlin. ihk.de Link zur Website der Gründerszene Die Originalversion des Textes unter: gruenderszene.de FOTOS: GETTY IMAGES/JOHN LUND/BLEND IMAGES LLC, FOTOSTUDIO CHARLOTTENBURG/IHK BERLIN 55 IHK BERLIN  |  BERLINER WIRTSCHAFT 02 | 2020 SERVICE | Gründerszene

RkJQdWJsaXNoZXIy MzI1ODA1