Bereits seit dem 25. Mai 2016 gilt die neue Datenschutzgrundverordnung (DSGVO). Doch am 25. Mai 2018 läuft die Übergangsfrist aus – und dann wird es endgültig ernst. Bis dahin müssen alle Unternehmen, und somit selbstverständlich auch die Caterer, die neuen Regelungen umgesetzt haben. Falls nicht, drohen hohe Bußgelder. Catering inside beantwortet die wichtigsten Fragen.
Was will die DSGVO?
Das Datenschutzrecht wird auf der Ebene der Europäischen Union vereinheitlicht. Dabei stehen das Verarbeiten und der Schutz personenbezogener Daten im Zentrum. Nicht nur die Daten von Kunden sind gemeint, sondern gegebenenfalls auch von Mitarbeitern und Lieferanten. In der Bundesrepublik löst die DSGVO das Bundesdatenschutzgesetz und das Telemediengesetz ab. Allerdings bleiben viele Bestandteile des bisherigen Rechts erhalten. Es wird also keine völlig neue Rechtslage geschaffen.
Wer ist von der DSGVO betroffen?
Alle Caterer sind betroffen. Denn die DSGVO geht alle Unternehmen, die Kunden- und Mitarbeiterdaten verarbeiten an.
Welche Einwilligungen werden bei der Datenverarbeitung benötigt?
Die Anforderungen an eine wirksame Einwilligung des Nutzers wurden verschärft: Wenn jemand etwa gegenüber einer Firma seine Daten angibt, kann er insbesondere der Verarbeitung zu Zwecken des Direktmarketings – einschließlich der Profilbildung für diese Zwecke – widersprechen. In der Einwilligungserklärung muss auf das jederzeitige Widerrufsrecht hingewiesen werden. Die Einwilligung muss dokumentiert sein. Die so genannten Opt-Out-Wahlmöglichkeiten werden somit durch eine Opt-In-Lösung ersetzt: Stillschweigen, Inaktivität oder vorangekreuzte Kästchen gehören der Vergangenheit an.
Das ebenfalls neue Kopplungsverbot soll verhindern, dass zum Beispiel eine Vertragserfüllung von der Einwilligung für die Verarbeitung von Daten abhängig gemacht wird. Parallel dazu wurden die Informationspflichten ausgeweitet. Anzugeben ist, wer die Daten erhebt beziehungsweise verarbeitet und gegebenenfalls der Name und die Erreichbarkeit des Datenschutzbeauftragten, warum die Daten erhoben und an wen sie eventuell weitergegeben werden. Ferner muss angegeben werden, wie lange gespeichert wird, welche Rechte der Dateninhaber hat und was die Grundlage der Datenerhebung (etwa aufgrund bestimmter Gesetze oder Verträge) ist.
Das Auskunftsrecht der Nutzer im Hinblick darauf, was mit ihren Daten passiert, muss auf Wunsch auch elektronisch erfüllt werden. Der Nutzer hat ferner einen Anspruch auf eine Kopie seiner Daten.
Was ist „TOMs“?
Damit rechtmäßig erlangte Daten gesichert und geschützt werden, müssen Caterer technisch-organisatorische Maßnahmen treffen – „TOMs“. Geregelt werden müssen unter anderem Zugriffsrechte, Passwortschutz, Firewalls und Back-ups gegen Datenverlust. Die Sicherheitsmaßnahmen müssen dokumentiert und auf Anfrage der Datenschutzaufsicht ausgehändigt werden. Hinzu kommt: Der Caterer muss sich permanent über neue Angriffsmaschen von „innen“ und „außen“, digital und analog informieren.
Was ist mit dem „Recht auf Vergessen“?
Künftig wird es für den Nutzer leichter werden, über ihn veröffentlichte Informationen löschen zu lassen. Laut DSGVO wird Betroffenen ein allgemeines Löschungsrecht insbesondere dann eingeräumt, wenn der Zweck der Datenverarbeitung weggefallen ist oder die Einwilligung widerrufen wird. Und das beschränkt sich nicht nur auf die eigenen Internetseiten, sondern beinhaltet auch die Verantwortung, dass andere Stellen über diese Löschung informiert werden.
Wann muss ein Verarbeitungs-Verzeichnis angelegt werden?
Kleinere Betriebe, die regelmäßig mit sensiblen Daten arbeiten sowie Unternehmen mit 250 Mitarbeitern und mehr sind verpflichtet, ein „Verzeichnis für Verarbeitungstätigkeiten“ anzulegen. Es entspricht dem nach dem alten Bundesdatenschutzgesetz bekannten Verfahrensverzeichnis. In diesem Verzeichnis werden alle Schritte der Datenverarbeitung vom Erfassen bis zum Löschen dokumentiert. Das Fehlen eines solchen Verzeichnisses ist künftig bußgeldbewehrt.
Was hat es mit der Datenschutzfolgenabschätzung auf sich?
Die Datenschutzfolgenabschätzung meint, dass der Caterer in bestimmten Fällen vorab analysieren muss, welche Risiken die geplante Verarbeitung von Daten für die betroffenen Personen hat. Ein Beispiel für die Notwendigkeit einer Datenschutzfolgenabschätzung: Der Caterer plant das Erstellen von Kundenprofilen oder Mitarbeiterstatistiken.
Was ändert sich im Hinblick auf die Homepage des Caterers?
Künftig muss die Datenschutzerklärung wesentlich detaillierter ausfallen. Außerdem benötigt der Caterer eine ausdrückliche Einwilligung des Nutzers, sofern er Cookies setzen will.
Was ändert sich beim Datenschutzbeauftragten?
Ein Datenschutzbeauftragter muss weiterhin berufen werden, falls bei einem Unternehmer in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. 450-Euro-Kräfte zählen voll mit. Haben Unternehmer mehrere Niederlassungen, genügt nun das Bestellen eines einzigen, gemeinsamen Datenschutzbeauftragten.
Was verlangt der Gesetzgeber bei Datenpannen?
Kommt es zu Datenpannen, muss der Caterer innerhalb von 72 Stunden die Aufsichtsbehörde informieren – in der Regel den Bundesbeauftragten für Datenschutz; Wochenenden und Feiertage werden mitgerechnet. Die Meldepflicht gilt zum Beispiel bei Hacking, Datenverlust, Fehlversand oder Softwarefehlern. Unter Umständen muss der Caterer die Betroffenen selbst informieren.
Welche Strafen drohen bei Verstößen gegen die DSGVO?
Die Bußgelder können bei kleineren Verstößen bis zu zwei Prozent des Gesamtumsatzes oder 10 Mio. Euro, bei größeren Verstößen bis zu vier Prozent des Jahresumsatzes oder 20 Mio. Euro betragen. Vorher lag das Maximum bei 300.000 Euro.
Beitrag aus der aktuellen Catering inside
(Foto: i-Stock)