Die Datenschutzgrundverordnung in der Logistik

Wer personenbezogene Daten erhebt oder verarbeitet, musste schon in der Vergangenheit viele gesetzliche Vorgaben einhalten um einer Bestrafung zu entgehen. Durch die Datenschutzgrundverordnung wird dies nun auf europäischer Ebene neu geregelt und viele Vorgaben noch erweitert und verschärft. Verstöße gegen die DSGVO können nun auch deutlich drastischere Strafen nach sich ziehen.

DSGVO: Nicht für mich?
Die DSGVO gilt übrigens für alle Unternehmen, die eine komplette oder teilweise automatisierte Verarbeitung von personenbezogenen Daten vornehmen. Tatsächlich können sich lediglich kleine stationäre Händler, die ausschließlich eine handschriftliche Kundendatei führen, davon ausnehmen. Auch wenn die DSGVO kleinere Unternehmen in vielen Aspekten von einem erhöhten bürokratischen Aufwand befreien will, ist die generelle Anwendbarkeit nicht an die Unternehmensgröße oder Umsatzhöhe gekoppelt.

Was sind personenbezogene Daten?
Daten an sich sind Einzelangaben oder Einzelinformationen jedweder Art und an sich in etlichen Vorgängen zu finden. Interessant wird es erst, wenn diese auch einen Personenbezug aufweisen, d.h. wenn sie eindeutig einer natürlichen Person zugeordnet werden können oder wenn durch die erhobenen Daten eine Zuordnung zu einer Person mittelbar erfolgen kann. Daher können sehr viele Informationen darunter fallen, z.B. Namen, Anschrift, E-Mail-Adresse, aber auch KfZ-Kennzeichen, Kontonummer und in der heutigen Zeit auch IP-Adressen. Sobald solche Informationen betroffen sind, sollte jeder an die DSGVO und ihre Änderungen denken.

Datenschutzerklärung – neu und sehr ausführlich.
Jeder, der mit den oben genannten Daten zu tun hat, sollte auch eine Datenschutzerklärung vorweisen können. Dies ist nicht neu, doch nun kommen neue Vorgaben hinzu, die auch in der Datenschutzerklärung enthalten sein müssen. Ein kleiner Auszug:

• Zweck der Datenverarbeitung
• Rechtsgrundlage
• Speicherdauer
• Betroffenenrechte: Auskunftsrecht, Löschungsanspruch, Widerspruchsrecht
• Widerrufsrecht

Der Clou: Alle Informationen müssen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermittelt werden.

Verarbeitungsverzeichnis und Dokumentationspflicht.
Im Rahmen der DSGVO kommen weitreichende Dokumentationspflichten auf die Unternehmer zu. Letzten Endes muss ein Unternehmen stets in der Lage sein, nachweisen zu können, dass alle Verarbeitungsvorgänge datenschutzkonform stattfinden. Zentrales Element der Dokumentation ist das sogenannte Verarbeitungsverzeichnis. Dieses katalogisiert und erfasst alle Datenverarbeitungsprozesse des Unternehmens und muss geführt werden, solange die Datenverarbeitung nicht gelegentlich stattfindet. Dieser so wichtige Begriff wird aber leider nicht konkretisiert, sodass erst einmal alle Unternehmer verpflichtet sind, jegliche Datenverarbeitungsprozesse in einem Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren. Das Verzeichnis kann auch in elektronischer Form geführt werden. Zu beachten ist aber, dass das Verarbeitungsverzeichnis aufgrund der Vorlagepflicht gegenüber der Aufsichtsbehörde ggf. auch in gedruckter Form exportierbar sein muss.

Folgender Mindestinhalt muss enthalten sein:

• Namen und Kontaktdaten des Verantwortlichen
• Zweck der Verarbeitung
• Kategorien betroffener Personen
• Kategorien personenbezogener Daten
• Kategorien von Empfängern, denen gegenüber Daten offengelegt wurden oder noch offengelegt werden
• Übermittlungen von Daten an ein Drittland oder eine internationale Organisation
• Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien
• Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gem. Art. 32 Abs. 1 DSGVO

Sanktionen drastisch erhöht.
Um den Datenschutz zu gewährleisten, werden die Behörden in allen EU-Staaten mehr Befugnisse als bisher erhalten. Als eine Neuerung dürfen sie dann gegenüber anderen Behörden Anordnungen und Sanktionen erlassen. Darüber hinaus werden die Behörden den Datenschutz nun gnadenlos durchfechten und bekommen dazu neue Bußgelder zur Seite gestellt. Nun sind Bußgelder möglich in Höhe von

• bis zu 4 Prozent des gesamten weltweiten Jahresumsatzes eines Unternehmens bzw.
• 20 Millionen Euro.

Logistik als Auftragsverarbeitung?
Logistiker erheben in der Regel keine personenbezogenen Daten selbst, sondern erhalten diese wiederum von ihrem Vertragspartner, einem anderen Unternehmer. In solchen Fällen sollte immer an eine Auftragsverarbeitung gedacht werden. Bei der Auftragsverarbeitung erhebt, verarbeitet und/oder nutzt ein externer Dienstleister die personenbezogenen Daten für einen anderen „Auftraggeber”. Die Daten dürfen in diesen Fällen nur anhand der konkreten Weisungen des Auftraggebers genutzt werden. Hierbei müsste mit dem Lieferanten der Daten immer ein Vertrag zur Auftragsverarbeitung geschlossen werden. Für Transportdienstleister, die jedoch nur Daten wie Name und Adresse zur Vertragsabwicklung, d.h. Auslieferung der Ware, erhalten haben, gilt dies jedoch nicht. Sie arbeiten nicht im Sinne der DSGVO als Auftragsverarbeiter, so dass kein separater Vertrag erforderlich ist. Davon würden auch Fälle des Dropshipping erfasst werden, solange ausschließlich solche Daten weitergegeben werden, die für die Lieferung der Waren zwingend erforderlich sind. Lieferanten sind jedoch immer verantwortlich für die Einhaltung der datenschutzrechtlichen Vorschriften in ihrem Unternehmen.

Um diesen Sanktionen zu entgehen, ist es immens wichtig, die Neuerungen zu kennen. Ob man selbst schon auf die DSGVO vorbereitet ist, kann man mithilfe der Checkliste zur DSGVO gern selbst erproben.

© Merkushev Vasiliy/shutterstock.com