Taxi Times DACH - Januar 2018

GASTKOMMENTAR
DAS TAXI UND DER
DATENSCHUTZ
Kürzlich sorgte der »Diebstahl« von
Kundendaten bei Uber für Schlagzeilen.
Bitte nicht wundern, aber das Taxigewerbe
sollte dies als Weckruf verstehen.
Vorfälle wie das Uber-Datenleck können jederzeit und überall
passieren. Wer sich bisher weder mit der Sicherheit
gespeicherter Kundendaten noch mit den bevorstehenden
Änderungen im Datenschutzrecht befasst hat und stattdessen lieber
abwartet, bis am 25. Mai 2018 die EU-Datenschutzgrundverordnung
(DSGVO) wirksam wird, setzt sowohl die eigene als auch
die Existenz des Unternehmens und der Mitarbeiter aufs Spiel.
DATENSCHUTZRECHTLICHE VERSTÖSSE
WERDEN TEUER
Die DSGVO sieht bei Verstößen Bußgelder bis zu 20 Millionen
Euro oder vier Prozent des weltweit erzielten Umsatzes des
Vorjahres vor. Entscheidend ist der höhere Betrag und
das Abmahnrisiko ist nicht zu unterschätzen. Da sich
mit Abmahnungen trefflich Geld verdienen lässt, kann
davon ausgegangen werden, dass mancherorts bereits
intensive Vorbereitungen getroffen werden.
Dabei ist grundsätzlich zu beachten: Das Verbot
mit Erlaubnisvorbehalt bleibt ebenso bestehen wie
die Grundsätze der Datenvermeidung und -sparsamkeit,
der Zweckbindung oder der Transparenz. Sofern
nicht ein berechtigtes Interesse besteht oder eine
Erforderlichkeit nachgewiesen werden kann, sollte die
Datenverarbeitung eher zurückhaltend erfolgen und –
sofern gesetzlich nicht anders bestimmt – möglichst
nur mit Einwilligung des Betroffenen. Wer Apps oder
Webdienste einsetzt, sollte darauf achten, dass diese
„datenschutzfreundlich“ eingestellt sind. Ein Aspekt
ist, dass die Voreinstellungen die Datenverarbeitung auf ein
Minimum beschränken und darüber hinausgehende Umfänge die
gesonderte Einwilligung des Betroffenen erfordern. Derjenige,
dessen Daten gespeichert und verarbeitet werden, kann die
He rausgabe einer Datenkopie in maschinenlesbarem Format, die
Berichtigung, aber auch die Löschung der Daten verlangen. Die
Daten sind ohnehin zu löschen, wenn sich der Zweck der Speicherung
erledigt hat.
Um auf den 25. Mai 2018 gut vorbereitet zu sein, sind einige
Schritte zu erledigen, die „so nebenbei“ und ohne Fachkunde
kaum zu bewerkstelligen sind. So ist zum Beispiel festzustellen,
wo und auf welche Weise Daten erhoben und verarbeitet werden
und wo gegebenenfalls Lücken und Mängel bestehen. Das gilt
nicht nur für die elektronische Datenverarbeitung im Betrieb und
bei Auftragsdatenverarbeitern, sondern auch für Formulare und
Einwilligungserklärungen.
Die Prüfung sollte nicht nur das eigene Unternehmen, sondern
auch externe Dienstleister berücksichtigen. Wer Dienste nutzt,
bei denen die Daten in die USA übertragen werden, sollte
darauf achten, dass das Unternehmen unter dem sogenannten
„Privacy Shield“ agiert. Bestehende Verträge
sollten an die neue Rechtslage angepasst und
entsprechende Erklärungen und Nachweise angefordert
werden. Wenn diese nicht geliefert werden
können, sollte die Kooperation mit dem Dienstleister
überdacht werden.
Das im Rahmen der Bestandsaufnahme erstellte
Verzeichnis kann nicht nur als Grundlage für das
Datenmanagementsystem, sondern auch für die
Datenschutz-Folgeabschätzung dienen.
Wenn es zu einer Datenpanne gekommen ist, ist die
zuständige Aufsichtsbehörde innerhalb von 72 Stunden
zu informieren. Unter bestimmten Voraussetzungen
besteht die Informationspflicht auch gegenüber
den Betroffenen.
Diese Kurzdarstellung (ohne Anspruch auf Vollständigkeit)
soll in erster Linie sensibilisieren und auf die
Risiken der bevorstehenden Änderung des Datenschutzrechts
hinweisen. Wer diese umfassend ausschließen will, dürfte bei
der Analyse der existierenden Prozesse und der Erstellung eines
Datenschutzkonzeptes um die Hinzuziehung eines Datenschutzexperten,
der im Idealfall auch die Aufgaben des Datenschutzbeauftragten
übernehmen kann, kaum umhinkommen.
Dr. Wolf-Henning Hammer, Kanzlei Voigt, www. kanzlei-voigt.de
GRAFIKEN: Raufeld Medien
32
DEZEMBER 2017 / JANUAR 2018 TAXI