Tecart BG dunkel

Perspektivwechsel im DSGVO: Der Kunde im Fokus

Aktuell ist es das große Reizthema bei Unternehmen - DSGVO. Glaubt man den Berichten sind ca. 80% der Unternehmen nicht bzw. unzureichend vorbereitet. Besonders beim Aufwand über die Dokumentationspflichten hinsichtlich der Prozesse kommt dem ein oder anderen schon ein wenig die Frage auf: Wozu das alles? Genau dieser Frage gehe ich im Artikel nach. Dabei begebe ich mich von der Unternehmersicht hin zur Kundensicht.

Welchen Vorteil bringt die DSGVO?

Für Unternehmen bietet sich die Möglichkeit Prozesse zu prüfen und potenzielle Datenlecks zu schließen. So wird das Vertrauen zu Ihnen, dem Kunden bzw. potenziellen Geschäftspartner, gesteigert.

Jetzt ehrlich – welche Vorteile existieren für mich?

Lassen Sie uns die Perspektive wechseln. Denken Sie mal nach, jeder von uns hat in den letzten Jahren seine persönlichen Daten irgendwo angegeben. Wissen Sie, wer welche Daten über Sie hat? Wenn ich von mir ausgehe und mal kurz den heutigen Tag betrachte, dann erscheinen im Onlinebanking Posten, wie Gehalt vom meinem Arbeitgeber, Abbuchung meiner Miete, Handyrechnung und ein Onlineeinkauf bei einer Modekette. Außerdem habe ich vorhin noch meine Vorteilskarte beim Bäcker und meine Kundenkarte im Supermarkt benutzt, um entsprechende Rabatte zu erhalten. Zudem habe ich gerade eben meine Lieblingszeitschrift aus dem Briefkasten geangelt. Anhand dieser alltäglichen Beispiele haben mindestens acht Verarbeiter meine persönlichen Daten irgendwo erfasst. Und dabei habe ich noch nicht ein Mal in mein E-Mail-Postfach geschaut.

Ab dem 25. Mai 2018 habe ich nun das Recht bei diesen Unternehmen nachzufragen, welche Daten sie konkret über mich gesammelt haben und zu prüfen, ob diese zweckmäßig sind. Als Beispiel möchte ich den Einkauf bei der Modekette näher betrachten. Aufgrund des Ansatzes der Datenminimierung sollten lediglich Rechnungsdaten in der Datenbank hinterlegt sein. Jedoch aufgrund des persönlichen Marketings sind auch Informationen, wie Lieblingsfarbe, Vorlieben im Kleidungsstil und Preissegment, hinterlegt. Diese Daten haben lediglich den Zweck, die zu mir passenden Produkte zu finden und via E-Mail und Webseite anzubieten (dies zählt nicht zum berechtigten Interesse). Die Modekette hat nun die Pflicht mich darüber in Kenntnis zu setzen und meine Zustimmung zu erhalten, dass diese Daten von Ihnen gesammelt und verwendet werden. Diese Zustimmung können Sie im Übrigen jederzeit entziehen und das Unternehmen „zwingen“ diese Daten zu löschen. Wenn jedoch ein gültiger Vertrag besteht (z.B. bei Smartphone-Verträgen) oder Aufbewahrungsfristen existieren, sind zumindest die Daten für die Rechnungsstellung nicht löschbar. Das Unternehmen hat jedoch die Möglichkeit Berechtigungen einzuschränken, sodass nur noch die Buchhaltung diese Stammdaten sieht.

Ich spitze das Beispiel etwas weiter zu. Stellen Sie sich vor in einem Datenserver der Modekette wird eine Festplatte ausgetauscht. Und gehen wir davon aus das dieses Unternehmen Daten genauso speichert, wie die meisten deutschen Unternehmen – nämlich unverschlüsselt. Die Festplatte wird anschließend lediglich gelöscht und landet auf dem Elektroschrott (besser wäre die eigenhändige Zerstörung oder die Vernichtung einem professionellen Dienstleister zu überlassen). Jeder der diese Festplatte aus dem Schrott fischt, kann die Daten theoretisch wiederherstellen und Ihre persönlichen Daten könnten nun für Einkäufe des Finders Verwendung finden. Plötzlich wird Ihr Konto mit unbekannten Abhebungen leergeräumt. Sie werden Anzeige erstatten und im besten Fall Ihr Geld wieder bekommen. Richtig gut geht es für Sie aus, wenn der Verursacher – in diesem Fall die Modekette – gefunden wurde, weil dann diese in der Haftung steht und Maßnahmen für die Eindämmung entwickeln muss.

Auf den ersten Blick meinen Sie sicher, dass ist sehr unwahrscheinlich. Aber ganz ehrlich? Wollen Sie dazu nicht viel lieber eine Sicherheit bzw. Garantie haben, dass dieser und ähnliche Vorfälle mit Ihren persönlichen Daten nicht passieren können?

Was müssen Unternehmen für den Schutz Ihrer personenbezogenen Daten tun?

Alle Arten von Datenmissbrauch schaden Ihnen als Kunden, aber auch dem Unternehmen durch Verlust der Reputation. Deshalb motiviert die DSGVO Unternehmen, ab dem 25.05.2018 viel stärker sich um den Schutz Ihrer personengebundenen Daten zu kümmern. Unternehmen ab 10 Mitarbeitern oder wenn mit sensiblen Daten umgegangen wird (bspw. genetische oder Gesundheitsdaten), müssen Ihnen den dafür den Verantwortlichen (Datenschutzbeauftragten, kann auch externer Datenschutzbeauftragter sein) sogar auf der Webseite benennen. Der Datenschutzbeauftragte des Unternehmens muss Ihre Sicht (Kundensicht) einnehmen. Deswegen darf diese Person kein Geschäftsführer sein oder eine leitende Position im Unternehmen haben. Der Datenschutzbeauftragte ist weisungsfrei. Findet er oder sie also eine Datenlücke, wird dies der entsprechenden Stelle im Unternehmen und der Geschäftsführung mitgeteilt. Erfolgt daraufhin keine Korrektur, wechselt die Haftung von leichter zu grober Fahrlässigkeit und führt zu einer empfindlich höheren Strafe. Solche Lücken und Reaktionen müssen vom Datenbeauftragten genau dokumentiert werden. Auch darf er anonym den Verstoß der Aufsichtsbehörde melden, sodass Sanktionen drohen. Weisen Sie auf ein Problem hin, muss der Datenschutzbeauftragte dies untersuchen und alle betroffenen Kunden sofort und spätestens 72 Stunden nach einem bestätigten Vorfall, die Aufsichtsbehörde informieren.

Die Bestimmungen der DSVGO geben Ihnen also mehr Kontrolle über Ihre Daten. Sie können jederzeit verlangen wann, wie und zu welchem Zweck die Daten erhoben wurden. Im Anschluss bestimmen Sie, welche der Informationen beim Unternehmen bleiben und welche gelöscht werden. Sie haben sogar die Möglichkeit die Daten ausgehändigt bzw. an Dritte weitergeleitet zu bekommen (Umzug des Smartphonevertrags zu einem anderen Dienstleister). Gewährleistet wird dies durch den Datenschutzbeauftragten – Ihrem Freund in jedem Unternehmen.

Fazit

Auch wenn die DSGVO von Unternehmen als eine Art Strafe gesehen wird, dient sie lediglich dem Schutz Ihrer persönlichen Daten und denen Ihrer Mitmenschen. Außerdem ist es die große Chance, dass datengetriebene Unternehmen wieder eine vertrauensvolle Basis zu Ihnen dem Kunden schaffen. Sie müssen und werden transparenter auftreten.