Am 25. Mai 2018 trat die verschärfte Version der EU-DSGVO in Kraft. Dieses Jubiläum wird bei den meisten Yachthafenbetreiber wahrscheinlich kein Grund sein die Sektkorken knallen zu lassen. Denn auf dem Weg zur Datenschutzkonformität lauern eine Reihe von Fallstricken die vermeidbar sind. Ob aus Unwissenheit, aus Unverständnis oder aus einer Laussez-faire Einstellung heraus anders gehandelt wird, bleibt dabei unbeantwortet.

Ziel der EU-Datenschutzgrundverordnung ist es, die Daten jedes einzelnen EU-Bürgers nach einer strengen, einheitlichen Gesetzgebung zu schützen und ihm Kontrolle darüber zu geben, wer seine Daten auf welche weise und wie lange verwendet.

Die strengen EU-DSGVO Regeln nicht einzuhalten hat nicht nur für Yachthafenbetreiber strenge Konsequenzen: So wurde beispielsweise die Deutsche Wohnen SE, eine börsennotierte Deutsche Wohnungsgesellschaft mit Sitz in Berlin, Ende 2019 zu einer Strafzahlung von 14 Millionen Euro verurteilt, weil das Archivsystem der Wohnungsgesellschaft keine Löschmöglichkeiten hatte.

Auch 3 Jahren nach inkraft treten der verschärften Regelungen zur EU-DSGVO haben viele Unternehmen und leider auch Yachthäfen noch keine angemessenen Maßnahmen getroffen, um Daten entsprechend der Vorgaben zu verarbeiten, zu speichern und zu löschen. Anhand vieler Gespräche mit Yachthafenbetreiber beobachten wir ein Muster aus gefährlichen Fallstricken die vermieden werden können, wenn man aufmerksam damit umgeht:

Auskunftsrecht und Recht auf Vergessen von Personen

Ein zentrales Element der EU-DSGVO ist das Auskunftsrecht jeder Person in Bezug auf ihre gespeicherten Daten. Das heißt, der Betroffene darf umfassend Auskunft für die betreffenden personenbezogenen Daten einfordern,
• für welchen Zweck sie wie gespeichert werden,
• wie sie verarbeitet werden,
• welche Personen,
• auf welche Weise
• und warum Einsicht in die Daten haben und
• wann sie nachweislich gelöscht werden
verlangen.

Die schriftliche Auskunft dazu muss transparent, präzise, in verständlicher Form und in einem gängigen Dateiformat sein.
Damit man als Yachthafenbetreiber oder Yachtclubvorstand auf solche Anforderungen schnell reagieren kann, sind im Vorfeld wichtige Grundlagen zu schaffen. Voraussetzung ist ein gut strukturiertes Datenschutzkonzept und ein gut implementierter Prozess, der eine fristgerechte Beantwortung überhaupt erst möglich macht. Mit einer professionellen, zentralen Datenhaltung und den richtigen Tools, die die Auskunft idealerweise auf Knopfdruck erteilen, schaffst Du die technischen Vorraussetzungen, um den gesetzlichen Auflagen nachzukommen.
Das ist aber noch nicht alles, denn Personen haben darüber hinaus noch das Recht auf „Vergessen werden“! Als Yachthafenbetreiber musst Du Daten nachweislich löschen können wenn eine Person die erteilte Einwilligung zur Datenverarbeitung zurückzieht. Das bedeutet Du bist gesetzlich verpflichtet Deine verteilten Daten im Griff zu behalten. Die Löschung der Daten einer Person müssen bei Aufforderung also sowohl in all Deinen Datenbankgestützen Anwendungen (Mitgliederverwaltung, Adressverwaltung, Terminplaner für Karnterminverwaltung, usw.), in allen Datensicherungen, in allen Exceldateien incl. Kopien, auf Handys, Tablets, Notebooks, in Outlook Adressbüchern diverser Mitarbeiter, usw. erfolgen. Wenn Du bis hierher gelesen hast und jetzt dicke Backen bläst, dann bekommst Du ein Gefühl, was ich mit Stoplersteine meine.

Notwendige vertragliche Regelungen

Die personenbezogene Daten zentral zu verwalten und sich dabei auf professionelle Clouddienste zu verlassen ist zeitgemäß und trägt zum Schutz der Daten bei. Und da nicht jeder Besitzer einer Yacht dies öffentlich machen möchte, geht man besser sorgsam mit diesen Daten um.
Wenn man eine ganze Software als Dienstleistung einkauft, nennt man das Software as a Service, oder SaaS. Sobald man Datenverarbeitungstätigkeiten an Dritte überträgt, liegt in der Regel eine sogenannte Auftragsverarbeitung (AV) vor. Das heißt für Dich als Yachthafenbetreiber, dass Du im Rahmen der EU-DSGVO besondere Maßnahmen treffen musst. Pflicht ist ein entsprechender AV-Vertrag, dessen Inhalt überwiegend vorgegeben ist. Fehlt er, sieht die DSGVO bei Verletzungen der Datenschutzbestimmungen eine gemeinsame Haftung von Auftraggeber und Auftragnehmer vor. Als Nutzervon Up2Boat Yachthafenmanagement erhältst Du den AV-Vertrag bereits bei der Ersteinrichtung und hast an diesem Thema ganz schnell einen grünen Haken. In allen anderen Fälllen, solltest Du Dich um die Erstellung eines AV-Vertrags mit Deinem Dienstleister kümmern. Wir raten Dir hierfür einen erfahrenen Datenschutzberater zu Hilfe zu nehmen.

Definition und Implementierung von TOM’s

Technische und organisatorische Maßnahmen (TOM) beschreiben alle in Deinem Yachthafen beschriebenen Vorkehrungen zur Gewährleistung der Sicherheit personenbezogener Daten. Neben dem Datenschutz, der die rechtlichen Voraussetzungen für die Erhebung und Verarbeitung personenbezogener Daten regelt, kommt hier das Thema Datensicherheit ins Spiel. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Maßnahmen hierzu in der ISO 27001 (BSI Grundschutz) verankert.
Darunter fallen technische Vorkehrungen wie die Verwendung einer Firewall, die Protokollierung des Zugriffs auf Datenbanken oder die Verschlüsselung bei der Datenübertragung. Dazu zählen aber auch organisatorische Maßnahmen wie Mitarbeiterschulungen und die vertragliche Auflage zur Geheimhaltung zugänglich gemachter Informationen. Die Implementierung angemessener TOMs stellt eine gesetzliche Anforderung dar und ist dokumentationspflichtig. Bei der Auswahl angemessener Schutzmaßnahmen bildet eine Risikoanalyse die Grundlage. Auch hier empfehlen wir Dir einen erfahrenen Datenschutzberater, der Dich dabei unterstützt. Als Nutzer von Up2Boat Yachthafenmanagement liegen Deine Daten in unserer Cloud gleich von mehreren Firewalls und diversen Sicherheitssystem geschützt. Lässt Du personenbezogene Daten auf Deinem privatrechner, Smartphone oder Tablett liegen, trägst Du die Verantwortung und musst die Maßnahmen wie Du die Datensicherheit gewährleistest, in Deinen TOMs beschreiben.

Meldepflicht bei Sicherheitsverstößen

Als Yachthafenbetreiber oder Yachtclubvorstand hast Du gegenüber dem Gesetztgeber eine Meldepflicht bei Sicherheitsverstößen. Das können beispielsweise durch einen Mitarbeiter versehentlich veröffentlichte Daten sein, ein verlorenes Notebook, oder eine verlorene externe Festplatte mit personenbezogenen Daten darauf, oder ein Hackerangriff durch Malware, einen Trojaner oder sonstige Schadsoftware. Art.33 der DSGVO schreibt dazu folgendes vor:
„…Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.“
Solltest Du Zweifel haben, in welchen Fällen eine Meldepflicht begründet ist, empfehle ich Dir auch hier Dich professionell beraten zu lassen.

Verteilte Daten in der Yachthafenorganisation

Die Auflagen der EU-DSGVO sind mit den richtigen Tools und einer zentralen Datenhaltung gut beherrschbar. Dezentrale Datenhaltung kann in Bezug auf die Auflagen der EU-DSGVO aber schon fast als fahrlässig angesehen werden. Vielleicht ist es auf Unwissenheit, oder auf Nachlässigkeit zurückzuführen, aber in vielen Yachthäfen ist die Datenhaltung alles andere als zentral.
Da gibt es die eine Anwendung (oder Exceltabelle) mit der Rechnungen erstellt werden. Mit einer anderen Anwendung (oder Exceltabelle) werden die Liegeplätze verwaltet. In einer Adressverwaltung, Outlook, oder wieder einer Exceltabelle werden Kontaktdaten verwaltet, Anschreiben gepeichert, E-Mail Adressen, und Telefonnummern verwaltet usw.. Vielleicht gibt es noch eine weitere Exceltabelle mit Bootsnamen, Bootseigner, Liegeplatz und Liegeplatzreservierungen für das kommende Wochenende? Monatliche Exceltabellen mit Rechnungen Namen und Beträgen? Das Ganze in unterschiedlichen Versionsständen und auf mehrere Personen verteilt?

Wem das etwas überspitzt klingt, der wird überrascht sein, wie häufig das die Praxis wiederspiegelt.
Wenn ein Yachthafen auf diese Weise mit personenbezogenen Daten umgeht und dann eine Löschaufforderung kommt, wird es kritisch, denn dann stellt sich die Frage: Welche Exceltabellen mit personenbezogenen Daten gibt es auf den unterschiedlichen Rechnern der Kollegen, auf Laufwerken, in Email Postfächern usw.? Wie verteilen sich die personenbezogenen Daten eigentlich auf die einzelnen Anwendungen? Wie kann ich die Daten einer einzelnen Person sicher und vorallem nachweislich(!) aus dem Datenbestand und aus sämtlichen Datensicherungen löschen? Wie weise ich das nach?

Die Sicherheit bei der Verarbeitung personenbezogener Daten ist zentraler Bestandteil der EU Datenschutzgrundverordnung. Als Yachthafenbetreiber oder Yachtclubvorstand bist Du verpflichtet, mögliche Datenrisiken vorausschauend zu ermitteln und entsprechende Gegenmaßnahmen umzusetzen. Wenn Du dabei Unterstützung brauchst empfehlen wir Dir gerne erfahrene Datenschutzexperten aus unserem Umfeld, die Dir helfen können.

Wir von Up2Boat unterstützen unsere Kunden- und Partneryachthäfen auf dem Weg in die Digitalisierung. Die sich immer rasanter entwickelnde Digitalisierung aller Lebensbereiche ist genauso real, wie das Internet selbst real ist. Der Einsatz von IoT (Internet der Dinge), Künstlicher Intelligenz, Big Data und Blockchain werden immer schneller, immer größere Anforderungen an Yachthafenbetreiber stellen. Gut wer da einen erfahrenen Partner an seiner Seite hat. Wer Digitalisierung für einen vorübergehenden Trend hält, der könnte mit dieser Einschätzung genauso daneben liegen wie Thomas Watson, damaliger Chef von IBM im Jahr 1943: „Ich denke, dass es einen Weltmarkt für vielleicht fünf Computer gibt.“

Mit Up2Boat Yachthafenmanagement hast Du in Deinem Yachthafen alle Daten an zentraler Stelle. Jede Datenänderung wird automatisch protokolliert und ist damit nachweisbar. Solange Du Deine Daten also an zentraler Stelle pflegst, kannst Du Deine Verfahren auch sauber beschreiben und personenbezogene Daten bei Bedarf auf Knopfdruck an zentraler Stelle löschen. Und verstehe meine Spitzen Richtung Excel nicht falsch. Excel ist ein geniales Werkzeug das ich selbst nicht missen möchte und selbstverständlich hat Up2Boat Yachthafenmanagement auch eine Excel Exportschnittstelle. Exportiere Dir Daten die Dich interessieren in Excel, bereite sie auf, aber lösche sie anschließend. Denn wenn Du die Daten konsequent an zentraler stelle pflegst, egal ob mit Up2Boat Yachthafenmangagment oder einer anderen vollumfänglichen Yachthafen Verwaltungssoftware, dann ist das schon die halbe Miete und die Basis für die digitale Zukunft Deines Yachthafens.