Mehr Verantwortung für Datenschutzbeauftragte

Digitalisierung in der Logistik

An diesem Freitag tritt die Datenschutz-Grundverordnung (DSGVO) in Kraft. Noch vor einer Woche war nur ein Viertel der Unternehmen vollständig darauf vorbereitet, wie eine Umfrage des Digitalverbands Bitkom ergab. Betroffen sind alle Unternehmen in Deutschland, aber auch Verbände oder Freiberufler. Mit der Datenschutzgrundverordnung will die Europäische Kommission einen besseren und einheitlichen Datenschutz für personenbezogene Daten gewährleisten.

Transport- und Logistikverbände haben sich zusammengeschlossen, um ihre Mitglieder mit umfangreichem Material zu informieren. Derzeit nehmen sie außerdem Fragen ihrer Mitgliedsunternehmen entgegen, die sie, wenn möglich, selbst beantworten oder an die Datenschutzbeauftragten der Länder weiterreichen. Auch das neue Bundesdatenschutzgesetz tritt am 25. Mai in Kraft, in das die Vorgaben der DSGVO eingearbeitet wurden, falls sie nicht schon zuvor gültig waren. Rund 95 Prozent der Artikel aus der neuen EU-Verordnung sind in Deutschland bereits in Gesetzen umgesetzt. Teilweise wurden die Vorschriften nun aber verschärft.

Anzeige

Bereits heute müssen Unternehmen betriebliche Datenschutzbeauftragte einsetzen. Allerdings hatten sie nur die Aufgabe, auf die Einhaltung des Datenschutzes hinzuwirken. Von dieser Woche an müssen die Beauftragten nun auch die Einhaltung des Datenschutzes überwachen, ihre Kontaktdaten veröffentlichen und der Aufsichtsbehörde mitteilen.

Eine Öffnungsklausel in der DSGVO sieht allerdings vor, dass Unternehmen, in denen nicht ständig mindestens zehn Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, „Datenschutzbeauftragte einsetzen können, aber nicht müssen“, heißt es beim Bundesverband Möbelspedition und Logistik (Amö). Allerdings sei dann der Unternehmer für die Einhaltung der DSGVO verantwortlich.

Anzeige

Schon heute werden Verstöße mit einem Bußgeld von 50.000 EUR geahndet. Mit der DSGVO erhöht sich das Strafmaß empfindlich. Sollte ein Datenschutzbeauftragter absichtlich oder fahrlässig nicht bestellt worden sein, drohen Strafen bis zu 10 Mio. EUR oder 4 Prozent des weltweiten Jahresumsatzes.

„Die größte Gefahr droht von Abmahnkanzleien, die mit automatischen Prüfprogrammen schauen, ob die Internetseiten der Unternehmen auch an die DSGVO angepasst sind“, sagte Sue Ann Becker, Juristin des Möbelspeditionsverbands Amö.

Anzeige

Diese Kanzleien würden Mandanten vertreten, die beispielsweise auf Grundlage des Wettbewerbsrechts gegen Konkurrenten vorgehen. Die Argumentation lautet: Wer seine Website nicht nach den DSGVO-Vorschriften aufgebaut hat, verschafft sich einen Wettbewerbsvorteil. Deshalb rät Becker den Unternehmen, als erstes ihre Internetauftritte zu überarbeiten.

Hier müssen sie die Online-Datenschutzerklärungen überarbeiten, weil sich die Informationspflichten verschärft haben. Alle für die Öffentlichkeit oder für betroffene Personen bestimmte Informationen sollten präzise, leicht zugänglich und verständlich sowie in klarer und einfacher Sprache abgefasst sein.

Ein wichtiger Punkt sind auch Verträge zur Auftragsdatenverarbeitung. Dabei geht es darum, wie ein Auftragsverarbeiter mit Daten umgeht, die von einem Auftraggeber weitergeleitet werden. Das ist zum Beispiel bei externer Lohnbuchhaltung der Fall.

„Bislang war ein Vertrag zur Auftragsdatenverarbeitung nur erforderlich, wenn ein Dienstleister in Ihrem Auftrag personenbezogene Daten erhoben, verarbeitet oder genutzt hat“, heißt es beim Amö. Dieser Punkt wird nun durch die neuen Artikel 28 und 29 der DSGVO ersetzt. Sie verlangen vor allem Transparenz bei der Datenweitergabe.

Allerdings ist laut Becker noch nicht geklärt, ob Subunternehmer Auftragsverarbeiter sind, mit denen auf jeden Fall ein Vertrag über die Datenverarbeitung geschlossen werden muss, oder sogenannte Dritte. Dann müsste der Auftraggeber nur eine Information an den Kunden weiterleiten, dass er seine Daten an einen Subunternehmer weitergegeben hat.

Bei der Einwilligungserklärung setzt die DSGVO ebenfalls deutlich höhere Anforderungen als zuvor. „Der Betroffene ist nach Artikel 7 Absatz 3 DSGVO über die freie Widerruflichkeit seiner Einwilligung vorab zu unterrichten“, schreibt der Amö. Im Rahmen der neuen Verordnung müsse in der Datenschutzerklärung auf dieses Widerrufsrecht hingewiesen werden. Neue Einwilligungserklärungen nach dem 25. Mai müssten an die DSGVO angepasst sein. Die alten seien weiter gültig, wenn sie bereits nach der neuen Rechtslage verfasst worden waren. Neben einer Reihe weiterer Vorschriften müssen Unternehmen Datenpannen innerhalb von 72 Stunden an die Behörden melden. Ebenso sind betroffene Personen über Datenpannen zu informieren. Um die Betroffenenrechte zu gewähren, müssen zudem personenbezogene Daten bei Vorliegen spezifischer Gründe gelöscht werden können. (sl)

Anzeige
Über die DVZ Redaktion 247 Artikel
Internationale Fachzeitung für Logistik und Transport, Verkehrspolitik und -wirtschaft, Spedition, Lagerei, Umschlag, Industrie und Handel.

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*