Tag 25. Mai 2018 2011 wird in Polen eine neue EU-Verordnung über den Schutz personenbezogener Daten in Kraft treten. RODO). Es bleibt also wenig Zeit, um Ihr Unternehmen auf die sich aus RODO ergebenden Veränderungen vorzubereiten.
Die Factoring-Branche ist eine voll professionelle Branche, vergleichbar mit dem Bankwesen. Schon vor dem Inkrafttreten der RODO war es gängige Praxis, Maßnahmen zum Schutz personenbezogener Daten zu ergreifen. Es ist daher davon auszugehen, dass sich alle Factoring-Unternehmen in der Endphase der Anpassung an die neuen Datenschutzanforderungen befinden und entsprechende Verfahren einführen und umsetzen. Bestimmte Aspekte der RODO, die speziell für die Factoring-Branche gelten, könnten jedoch übersehen worden sein. Schauen wir uns die neuen Vorschriften aus der Sicht des Factoring an. Worauf sollten sie besonders achten?
- Es wird sicherlich notwendig sein, von Grund auf vorzubereiten Einwilligung in die Verarbeitung personenbezogener Daten die Anforderungen der RODO zu erfüllen (detaillierte Definition der Datenverwendungsflächen, Klarheit und Präzision, verständliche Sprache, Belehrung über das Recht auf freiwilligen Widerruf der Einwilligung, nicht markierte Einwilligungsfelder usw.);
- In den meisten Fällen müssen die Factoring-Unternehmen eine solche Zustimmung erneut erteilen, es sei denn, die zuvor erteilte Zustimmung genügte den Anforderungen der RODO;
- Die Fabriken, die mit Automatisierung des Entscheidungsprozesses über die Finanzierung von Rechnungen und die Anwendung automatischer Algorithmen in dieser Hinsicht müssen bedenken, dass wir es dann mit Profilierung durch die RODO im Detail geregelt. Die RODO nennt in Absatz 71 der Präambel ausdrücklich ein Beispiel für Profiling wie z.B. die "automatische Ablehnung eines elektronischen Kreditantrags". Zusätzlich zur Einholung einer genauen Zustimmung würde ich empfehlen, vor jeder Rechnungsfinanzierung einen menschlichen Entscheidungsfaktor einzuführen, um ein vollständiges Profiling zu vermeiden. Im Falle eines vollständigen Profilings ist gemäß Artikel 22 Absatz 2 Buchstabe c) RODO eine sehr genaue vorherige Einwilligung erforderlich;
- Faktoren, die aus Sicht des Faktors Unternehmen sind (d.h. theoretisch nicht den Bestimmungen von RODO unterliegen), sind jedoch in der Praxis aufgrund der in der Unternehmensstruktur vorhandenen Daten von Einzelpersonen in die RODO-Vorschriften eingebunden. In dieser Situation erscheint es sinnvoll, eine einheitliche Sicherheitspolitik zu schaffen, ohne sie in Personen und Unternehmen aufzuteilen;
- Jeder Großbetrieb sollte für sich selbst beurteilen, ob er auf der Grundlage einer Risikoanalyse einen Datenschutzbeauftragten und einen IT-Systemadministrator ernennen sollte. Dies scheint eine empfohlene Maßnahme zu sein, zumal viele Fabriken bisher eine ABI in ihrer Struktur hatten. Die Nichternennung eines DSB anstelle eines ABI wäre dann schwer zu verteidigen;
- Wo dies noch nicht geschehen ist, ist es auch ratsam, die Infrastruktur in den Büros zu ändern und geeignete Sicherheitsmaßnahmen einzuführen (Aktenschränke und verschlüsselte Schubladen, biometrischer Zugang zu ausgewählten Räumen, ein Safe usw.);
Es sei auch darauf hingewiesen, dass die RODO die Verarbeitung personenbezogener Daten, die die wirtschaftliche Situation einer Person (einschließlich eines Unternehmens) betreffen, als Verarbeitung personenbezogener Daten anerkennt, die zu einem potenziellen körperlichen Schaden, einer Beschädigung von Eigentum oder Nicht-Eigentum führen kann, die das Risiko einer Verletzung eines Rechts oder einer Freiheit darstellen kann (siehe Absatz 75 der Präambel der RODO).
Aus Sicht der Mitarbeiter wird RODO lästig sein - eine weitere Richtlinie, die gelesen, unterschrieben und geschult werden muss, und vielleicht eine Richtlinie für saubere Schreibtische und Bildschirme - wenn sie nicht bereits angewendet wurde.
Die Praxis wird zeigen, wie aufwändig die neuen Vorschriften werden und wie schwerfällig die Kontrollen sein werden. Ein unbestrittener Vorteil der Vorschriften ist die Einheitlichkeit für die gesamte EU, die es multinationalen Konzernen besonders leicht macht.
Dies sind nur ausgewählte Aspekte der zur Diskussion stehenden Verordnung, von denen es in der Praxis noch viele weitere gibt.
