Auch deine Buchhaltung verarbeitet personenbezogene Daten, die den Bestimmungen der Datenschutz-Grundverordnung unterliegen, sobald es um solche von EU-Bürgern geht. Welche Daten das sind – und welche Rolle die DSGVO auch bei Offline-Daten spielt, erfährst du hier.
Dieser Beitrag ist Teil der Blogserie zur DSGVO (GDPR) für die Schweiz.
DSGVO gilt für personenbezogene Daten – auch offline
Grundsätzlich soll der Datenschutz länderübergreifend einheitlicher – und somit professioneller werden. Bei der EU-basierten Verordnung geht es um den Schutz all jener Daten, mit denen sich Personen identifizieren lassen bzw. lassen könnten. Damit soll der – für die betroffene Person – unkontrollierte Datenhandel unterbunden werden.
Datenschutz fängt aber im Kleinen an – und das bereits in deiner Firma. Denn überall dort, wo Daten verarbeitet werden, sollen sie geschützt werden. Dabei spielt es auch keine Rolle, ob diese on- oder offline erhoben werden.
Die Kommission der Europäischen Union nimmt ab 25. Mai 2018 Unternehmen noch mehr in die Pflicht, Daten rechtmässig und zweckgebunden zu verarbeiten und sie vor dem Zugriff Unbefugter zu schützen.
Beispiele personenbezogener Datenablage
Um personenbezogene Daten zu schützen, muss man wissen, was sich für Daten im beruflichen Alltag ansammeln und wo genau sie sich befinden. Hier ein paar Beispiele:
- Daten, die sich in Aktenordnern befinden
- Adressen im Buchhaltungs-Laufwerk
- Bewerber- oder Mitarbeiterdaten in der Personalabteilung
- Gesprächsnotizen
- Daten und Dokumente auf fremden Servern
- Daten und Dokumente innerhalb einer Cloud
- Im Tresor gelagerte Personenangaben
- E-Mails mit personenbezogenen Inhalten
- Geburtstagslisten
- Kundendateien
- Gedruckte Korrespondenzen im Ausgabefach des Druckers
- Unterlagen im Ablagekorb
- Allgemeine Post mit Adressdaten auf dem Schreibtisch
und viele mehr.
Einhaltung der Grundsätze DSGVO
Das EU-Parlament sieht mit Art. 5 DSGVO vor, dass diese Daten
- rechtmässig,
- zweckgebunden,
- dem Zweck angemessen,
- auf das notwendige Mass beschränkt,
- inhaltlich und sachlich richtig und
- vertraulich
verarbeitet werden.
Hinzu kommt die Rechenschaftspflicht der Datenverarbeiter bzw. der Daten-Verantwortlichen. Es muss also dokumentiert und somit nachgewiesen werden, ob die oben genannten Grundsätze eingehalten werden.
DSGVO – Sichere Aufbewahrung
Im Grunde benötigt es die eierlegende Wollmilchsau, um 100%ig gegen Datenmissbrauch gefeit zu sein. Mit ein paar kleinen Veränderungen, kannst du jedoch schon eine Menge bewirken. Dabei solltest du dir ein paar simple Fragen stellen:
- Wer hat Zugriff auf das Laufwerk, auf dem personenbezogene Daten abgelegt sind?
- Wie kann dieser Personenkreis reduziert werden?
- Ist es möglich, diese Daten zu vervielfältigen (zum Beispiel mittels USB-Stick/CD)?
- Kann man diesen Vorgang für bestimmte Personen einschränken?
- Oder kann man diese Art der Kopie sogar für alle verunmöglichen?
- Wer hat Zutritt in den Raum, in dem sich Akten mit sensiblen Daten befinden?
- Wie kann der Zutritt kontrolliert oder überwacht werden?
- Benötigt es einen Sichtschutz für den Bildschirm?
- Ist der Aktenschrank abschliessbar?
- Ist mein Korpus/Trolley abschliessbar?
- Liegen noch Datenblätter im Drucker?
- Liegen Unterlagen mit personenbezogenen Daten offen auf dem Tisch herum?
- Habe ich an einen Auftragsverrbeitungsvertrag für den Steuerberater, Treuhänder oder sonstigen dritten Dienstleistern gedacht?
Übersicht durch interne Prozesse
Bei den vielen Datenquellen ist es zwingend notwendig, interne Prozesse aufzustellen. So hältst du schriftlich fest, wo sich personenbezogene Daten befinden (siehe oben beschriebende Beispiele) – und erhöhst somit die Möglichkeit, nichts zu vergessen. Berücksichtige dabei aber auch den Datentransfer.
Bsp.: Woher kommen die Daten?
- Kommen Sie vom Mitarbeiter?
- Vom Lieferanten?
- Vom Bewerber?
- Von anderen internen Abteilungen?
- Welche Daten erhältst du von Kunden?
- Welche von Dritten?
- Wer sind diese Dritten?
Wohin gehen diese Daten?
- Steuerberater?
- Finanzbehörde?
- Druckerei?
- Partnerunternehmen?
- E-Mail-Dienstleister?
In jedem Fall solltest Du dokumentieren, welche Daten für welchen Zweck verarbeitet werden, welche Absicht dahintersteckt und an wen sie weitergegeben werden.
Auch intern muss gewährleistet sein, dass Daten mit personenbezogenem Bezug sicher aufbewahrt werden. Es ist dafür zu sorgen, den Zugang zu vertraulichen Daten mit entsprechenden Sicherheitsmassnahmen zu kontrollieren und zu überwachen bzw. einzuschränken.
Persönlicher Eindruck
Wenn dies erledigt ist, musst du die beschriebenen Abläufe ordentlich und lückenlos dokumentieren, damit du dein Pflichtbewusstsein und deine Datenschutz-Bemühungen bei Bedarf nachweisen kannst. Der positive Nebeneffekt dabei: Wichtige Informationen gehen bei der Protokollierung nicht verloren - auch nicht bei den Folgeprozessen:
- Wie funktioniert das Backup?
- Werden noch Papierkopien aufbewahrt?
- Habe ich bei der Weitergabe der Daten an Dritte an eine Geheimhaltungserklärung gedacht?
Und zuletzt: Kriegen wir das alleine hin – oder sollten wir uns einen Berater ins Haus holen?
Persönlich habe ich die Erfahrung gemacht, dass die Dokumentation firmenintern funktioniert, aber Fleissarbeit ist. Dafür müssen die Abläufe aufgeschrieben werden. Dem Gesetzgeber geht es darum, dass wir Unternehmen den verantwortlichen Umgang mit sensiblen Daten noch ein bisschen ernster nehmen, als in der Vergangenheit. Und das werden wir, um uns – vor allem aber unsere Kunden zu schützen.
Ich wünsche dir viel Erfolg bei den Vorbereitungen und hoffe, dir mit diesem Beitrag ein Stück weiterhelfen zu können.
Herzliche Grüsse
Sven
Weitere Themen zur Übersicht der Blogserie: "DSGVO für die Schweiz" findest du hier.
Haftungsausschluss: Bitte beachte, dass die Beiträge innerhalb der Blogserie keine Rechtsberatung darstellen oder ersetzen. Für eine individuelle Abklärung der Massnahmen in deinem Unternehmen, empfehle ich ggf. einen Rechtsberater aufzusuchen.
Quellen: www.dsgvo-gesetz.de