Am 15. Mai 2018 tritt in Liechtenstein sowie in der EU die neue Datenschutzgrundverordnung (kurz DSGVO) in Kraft. Auch wenn der ursprüngliche Gedanke hinter der Gesetzgebung die grossen Internetkonzerne im Fokus hat, sind auch die KMUs betroffen – frei nach dem Motto, gleiches Recht für alle. Gleichzeitig kursieren Gerüchte in der Bandbreite von “unmöglich für KMUs umzusetzen” bis zu “ein KMU muss nichts machen”. Meistens ist die Wahrheit irgendwo in der Mitte. Wir haben das Thema genauer angeschaut und auch mit den zuständigen Stellen gesprochen.
Grundsätzlich ist festzuhalten, dass bereits heute eine Gesetzgebung zum Thema Datenschutz besteht, welches schon sehr vieles regelt. Es hätte also schon jetzt auch für KMUs Bedarf gegeben, sich dazu Gedanken zu machen. Nur war der Bussenkatalog bisher nicht so gross und deshalb sicherlich auch der Leidensdruck für eine Umsetzung nicht sehr gross.
Umgekehrt stellen wir auch fest, dass in vielen Firmen bereits das grundsätzliche Gedankengut für den Datenschutz vorhanden ist. Es ist ganz normal, dass keine Kundenlisten veröffentlicht werden oder Lohnabrechnungen offen herumliegen. Im Prinzip geht es jetzt vor allem darum, dieses “passive Bewusstsein” zu einem aktiven zu machen und das ganze auch zu dokumentieren. “Nachvollziehbarkeit” ist das Zauberwort der Stunde, auf welches auch die Datenschutzstelle grossen Wert legt. Im Prinzip dreht sich alles um folgende Fragen:
- Welche Daten werden erhoben?
- Über welche Personengruppen?
- Warum werden diese erhoben?
- Wie lange werden diese erhoben?
- Wann werden sie gelöscht?
- Falls sie nicht gelöscht werden, warum nicht?
Wenn diese Fragen beantwortet werden können, ist schon vieles erreicht. Das Ziel ist, dass bei einer Anfrage einer Person diese Fragen innert 30 Tagen beantwortet werden können. Das Gesetz schreibt auch vor, dass diese Antwort an die Person kostenlos erfolgen muss. Nur schon deshalb macht es Sinn, sich Gedanken zu diesem Thema zu machen, damit bei einer Anfrage klar ist, wo was und wie an Personendaten vorhanden ist, um schnell und effizient handeln zu können.
Als weiterer Punkt wird oft immer nur von “Kundendaten” gesprochen. Unter das neue Datenschutzgesetz fallen jedoch sämtliche Interessengruppen: Kunden, Lieferanten, Mitarbeiter, oder auch Interessenten in einer Marketingdatenbank. Sobald Personendaten systematisch abgelegt werden unterliegen die Daten dem Datenschutzgesetz.
Als Daten im Sinne des Datenschutzgesetzes gelten auch hier nicht bloss Computerdateien, elektronische Datenbanken oder irgendwelche LOG-Files: es reicht bereits ein A4-Ordner mit einem A-Z-Register.
Wie kommt man am besten ans Ziel? Die Datenschutzstelle Liechtenstein hat im Internet bereits viele Informationen zu diesem Thema gesammelt. Vor allem die 9 erste Schritte zur Datenschutzkompatibilität sind ein sehr guter Start und geben auch Ideen für eine systematische Aufstellung, um die oben stehenden 6 Fragen beantworten zu können.
Falls Sie an einer Beratung interessiert sind, nehmen Sie mit uns Kontakt auf.