Taxi Times DACH - Januar 2018
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
GASTKOMMENTAR<br />
DAS TAXI UND DER<br />
DATENSCHUTZ<br />
Kürzlich sorgte der »Diebstahl« von<br />
Kundendaten bei Uber für Schlagzeilen.<br />
Bitte nicht wundern, aber das <strong>Taxi</strong>gewerbe<br />
sollte dies als Weckruf verstehen.<br />
Vorfälle wie das Uber-Datenleck können jederzeit und überall<br />
passieren. Wer sich bisher weder mit der Sicherheit<br />
gespeicherter Kundendaten noch mit den bevorstehenden<br />
Änderungen im Datenschutzrecht befasst hat und stattdessen lieber<br />
abwartet, bis am 25. Mai <strong>2018</strong> die EU-Datenschutzgrundverordnung<br />
(DSGVO) wirksam wird, setzt sowohl die eigene als auch<br />
die Existenz des Unternehmens und der Mitarbeiter aufs Spiel.<br />
DATENSCHUTZRECHTLICHE VERSTÖSSE<br />
WERDEN TEUER<br />
Die DSGVO sieht bei Verstößen Bußgelder bis zu 20 Millionen<br />
Euro oder vier Prozent des weltweit erzielten Umsatzes des<br />
Vorjahres vor. Entscheidend ist der höhere Betrag und<br />
das Abmahnrisiko ist nicht zu unterschätzen. Da sich<br />
mit Abmahnungen trefflich Geld verdienen lässt, kann<br />
davon ausgegangen werden, dass mancherorts bereits<br />
intensive Vorbereitungen getroffen werden.<br />
Dabei ist grundsätzlich zu beachten: Das Verbot<br />
mit Erlaubnisvorbehalt bleibt ebenso bestehen wie<br />
die Grundsätze der Datenvermeidung und -sparsamkeit,<br />
der Zweckbindung oder der Transparenz. Sofern<br />
nicht ein berechtigtes Interesse besteht oder eine<br />
Erforderlichkeit nachgewiesen werden kann, sollte die<br />
Datenverarbeitung eher zurückhaltend erfolgen und –<br />
sofern gesetzlich nicht anders bestimmt – möglichst<br />
nur mit Einwilligung des Betroffenen. Wer Apps oder<br />
Webdienste einsetzt, sollte darauf achten, dass diese<br />
„datenschutzfreundlich“ eingestellt sind. Ein Aspekt<br />
ist, dass die Voreinstellungen die Datenverarbeitung auf ein<br />
Minimum beschränken und darüber hinausgehende Umfänge die<br />
gesonderte Einwilligung des Betroffenen erfordern. Derjenige,<br />
dessen Daten gespeichert und verarbeitet werden, kann die<br />
He rausgabe einer Datenkopie in maschinenlesbarem Format, die<br />
Berichtigung, aber auch die Löschung der Daten verlangen. Die<br />
Daten sind ohnehin zu löschen, wenn sich der Zweck der Speicherung<br />
erledigt hat.<br />
Um auf den 25. Mai <strong>2018</strong> gut vorbereitet zu sein, sind einige<br />
Schritte zu erledigen, die „so nebenbei“ und ohne Fachkunde<br />
kaum zu bewerkstelligen sind. So ist zum Beispiel festzustellen,<br />
wo und auf welche Weise Daten erhoben und verarbeitet werden<br />
und wo gegebenenfalls Lücken und Mängel bestehen. Das gilt<br />
nicht nur für die elektronische Datenverarbeitung im Betrieb und<br />
bei Auftragsdatenverarbeitern, sondern auch für Formulare und<br />
Einwilligungserklärungen.<br />
Die Prüfung sollte nicht nur das eigene Unternehmen, sondern<br />
auch externe Dienstleister berücksichtigen. Wer Dienste nutzt,<br />
bei denen die Daten in die USA übertragen werden, sollte<br />
darauf achten, dass das Unternehmen unter dem sogenannten<br />
„Privacy Shield“ agiert. Bestehende Verträge<br />
sollten an die neue Rechtslage angepasst und<br />
entsprechende Erklärungen und Nachweise angefordert<br />
werden. Wenn diese nicht geliefert werden<br />
können, sollte die Kooperation mit dem Dienstleister<br />
überdacht werden.<br />
Das im Rahmen der Bestandsaufnahme erstellte<br />
Verzeichnis kann nicht nur als Grundlage für das<br />
Datenmanagementsystem, sondern auch für die<br />
Datenschutz-Folgeabschätzung dienen.<br />
Wenn es zu einer Datenpanne gekommen ist, ist die<br />
zuständige Aufsichtsbehörde innerhalb von 72 Stunden<br />
zu informieren. Unter bestimmten Voraussetzungen<br />
besteht die Informationspflicht auch gegenüber<br />
den Betroffenen.<br />
Diese Kurzdarstellung (ohne Anspruch auf Vollständigkeit)<br />
soll in erster Linie sensibilisieren und auf die<br />
Risiken der bevorstehenden Änderung des Datenschutzrechts<br />
hinweisen. Wer diese umfassend ausschließen will, dürfte bei<br />
der Analyse der existierenden Prozesse und der Erstellung eines<br />
Datenschutzkonzeptes um die Hinzuziehung eines Datenschutzexperten,<br />
der im Idealfall auch die Aufgaben des Datenschutzbeauftragten<br />
übernehmen kann, kaum umhinkommen. <br />
Dr. Wolf-Henning Hammer, Kanzlei Voigt, www. kanzlei-voigt.de<br />
GRAFIKEN: Raufeld Medien<br />
32<br />
DEZEMBER 2017 / JANUAR <strong>2018</strong> TAXI