DSGVO – kaum jemand konnte dieser Abkürzung seit dem 25. Mai 2018 entkommen. Die Postfächer der Europäer waren voll mit Mails und Newslettern, in denen Unternehmen über ihre neuen Datenschutzregeln informierten. Für den Bürger eine gute Sache, für Unternehmer ziemlich kompliziert. Denn sie müssen nun bereits ohne Verdacht oder Vorfall nachweisen, dass sie datenschutzkonform arbeiten, also alle personenbezogenen Daten schützen. Und das bedeutet viel Vorbereitung, Papierkram und Sorgfalt. Da die DSGVO für alle Unternehmen gilt, nicht erst ab einer bestimmten Größe, müssen sich auch Tankstellenbetreiber daran halten.
Keine Stunde null
Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Zweckbindung, Datensparsamkeit, Richtigkeit, Begrenzung der Speicherdauer sowie Integrität und Vertraulichkeit der Datenverarbeitung: Diese Grundsätze der Datenverarbeitung gelten also ausnahmslos auch für Tankstellen. Auf der sicheren Seite ist der Unternehmer, wenn eine Einwilligung der betroffenen Person zur Datenverarbeitung vorliegt. Ausnahmen bestehen, wenn die Verarbeitung nötig ist zur Erfüllung eines Vertrages oder Durchführung vorvertraglicher Maßnahmen, wenn lebenswichtige Interessen natürlicher Personen geschützt werden, zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder wenn die Verarbeitung aufgrund einer Interessenabwägung erforderlich ist.
„Für die Tankstellenbranche ist das aber keine Stunde null. Wir bauen zulässigerweise auch auf Genehmigungen, die wir vor Inkrafttreten der DSGVO in eindeutiger Weise von unseren Kunden erhalten haben. Das muss man jetzt nicht zwanghaft erneuern, wenn die Form stimmt“, sagt Stephan Zieger, Geschäftsführer des Bundesverbandes freier Tankstellen (BFT). Beispiel Videoüberwachung: Wenn die Aufzeichnung nur dem Schutz von Leib, Leben, Gesundheit und Eigentum dient und Kunden darauf etwa durch Schilder auf dem Forecourt hingewiesen werden, ist sie zulässig. Ein Tankstellenbetreiber, der die Videoaufzeichnung nur dann auswertet, wenn etwas passiert ist, handelt somit datenschutzkonform.
Ansonsten dürfen die Daten nicht länger als 48 Stunden gespeichert werden und nur einem begrenzten Mitarbeiterkreis zugänglich sein. Mitarbeiter müssen zudem die Möglichkeit haben, sich in einem nicht überwachten Bereich aufzuhalten und Hinweisschilder, die über die Überwachung informieren, müssen angebracht sein.
Viel Bürokratie
Neu sind die Verfahrensverzeichnisse, die nun für jeden Bereich angelegt werden müssen, in dem mit Daten umgegangen wird. Dazu gehören etwa Personaldaten, Kundendaten, die Website oder die Abwicklung des Zahlungsverkehrs. „Das ist zunächst eine unangenehme bürokratische Aufgabe, aber das ist einmal nötig, um das datenschutzkonforme Arbeiten nachzuweisen“, so Zieger. Das Verarbeitungsverzeichnis enthält wichtige Informationen: Name und Kontaktdaten des Verantwortlichen, seines Vertreters und des etwaigen Datenschutzbeauftragten, Zwecke der Datenverarbeitung, Kategorien betroffener Personen und personenbezogener Daten, Kategorien von Empfängern der personenbezogenen Daten, Beschreibung technischer und organisatorischer Schutzmaßnahmen sowie Fristen für die Löschung der Datenkategorien.
Zieger rät, nach Anlegen des Verzeichnisses in der Theorie den Abgleich mit der Praxis durchzuführen: „All das, was im Verfahrensverzeichnis diskutiert wird, darf man speichern, was dort nicht auftaucht, darf man nicht speichern.“ Neu ist zudem der Anspruch von Personen auf Auskunft über die gespeicherten Daten und deren Korrektur oder Löschung. Grundsätzlich müssen Daten gelöscht werden, wenn sie nicht mehr benötigt werden, also beispielsweise Bewerberdaten, nachdem eine Stelle besetzt wurde.
Vorbereitung auf Panne
Die Datenschutzerklärung auf der Webseite muss Folgendes enthalten: den Geltungsbereich, welche Daten protokolliert werden, wie mit personenbezogenen Daten, Kontaktdaten sowie Kommentaren und Beiträgen umgegangen wird, Abonnements, die mögliche Nutzung von Google Analytics und anderen Social-Media-Plug-ins sowie schließlich die Rechte des Nutzers auf Auskunft, Berichtigung und Löschung seiner personenbezogenen Daten. Die Datenschutzerklärung muss immer sichtbar sein, sie darf nie von anderen Informationen überlagert sein.
Wichtig ist zudem, sich auf die Möglichkeit einer Datenpanne schon vorzubereiten, bevor etwas passiert ist. „Sollte einmal eine Datenpanne passieren, muss sie binnen 72 Stunden nach Bekanntwerden an die Aufsichtsbehörde gemeldet werden“, sagt Zieger. Die Meldung sollte die Art der Datenschutzverletzung, Name und Kontaktdaten des Verantwortlichen, eine Beschreibung der wahrscheinlichen Folgen sowie der ergriffenen und vorgeschlagenen Maßnahmen zur Behebung und Abmilderung der Auswirkungen enthalten.
Der BFT stellt seinen Mitgliedern im Intranet viele Muster zur Verfügung, zum Beispiel für Verarbeitungsverzeichnisse, Datenschutzerklärung oder ein Hinweisschild zur Videoüberwachung.
(Autorin: Julia Richthammer; der Artikel erschien in Sprit+ 8/2018)
Eine Liste von weiteren hilfreichen Links finden Sie hier:
www.bmwi.de/Redaktion/DE/Artikel/Digitale-Welt/europaeische-datenschutzgrundverordnung.html
www.bmi.bund.de/SharedDocs/kurzmeldungen/DE/2018/04/faqs-datenschutz-grundverordnung.html
www.lda.bayern.de/de/kleine-unternehmen.html