DSGVO Datenschutz

Datenschutz und DSGVO für computergestützte Kassensysteme

Seit dem 25. Mai 2018 gilt die neue EU Datenschutzgrundverordnung (EU-DSGVO) auch in Deutschland und alle Unternehmen müssen ihren Umgang mit personenbezogenen Daten den Vorgaben anpassen. Die DSGVO soll Bürgern so die Hoheit über ihre Daten wieder zurückgeben. Missachtet eine Firma die Verordnung, so drohen empfindlich hohe Strafen.

Sind PC-Kassen und computergestützte Kassensysteme von der DSGVO betroffen?

PC-Kassen verarbeiten persönliche Informationen in digitaler Form und speichern diese ab – sei es auf einem eigenen Server oder in einer Cloud. Also ja, computergestützte Kassensysteme unterliegen der Verordnung. Achten Sie also unbedingt darauf, die Richtlinien einzuhalten, um Bußgelder zu vermeiden.

Welche Daten sind personenbezogen?

Per Definition gehören dazu alle Einzelangaben über persönliche oder sachliche Verhältnisse, wie zum Beispiel:

  • Name, Alter, Familienstand, Geburtsdatum
  • Anschrift, Telefonnummer, E-Mail Adresse
  • Konto-, Kreditkartennummer
  • Kraftfahrzeugnummer, Kfz-Kennzeichen
  • Personalausweisnummer, Sozialversicherungsnummer
  • Vorstrafen
  • genetische Daten und Krankendaten
  • Werturteile wie zum Beispiel Zeugnisse

Personenbezogene Daten von Kunden

Zu den personenbezogenen Daten gehören zum einen die Daten der Kunden, aber auch der Mitarbeiter, die die Kasse bedienen.

Bei Lieferscheinkunden werden zum Beispiel Name und Adresse gespeichert. Außerdem werden im Sinne der Kundenbindung häufig Daten erfragt und diese dann unverschlüsselt im Kundenstamm der PC-Kassensoftware eingetragen. Hier besteht ein Sicherheitsrisiko durch Lücken im Betriebssystem, die durch eine Malware entstehen können. Werden diese Daten entwendet, ist der Inhaber der Kasse sogar laut neuer Verordnung verpflichtet, den Verlust selbst zu melden.

Kundendaten dürfen Sie auch nicht ewig für Ihre Treueprogramme oder sonstige Aktionen speichern, sondern nur für einen begrenzten Zeitraum, der in einer Richtlinie zur Archivierung der Kundendaten festgelegt werden muss.

Der Tipp: Vergessen Sie nicht die Kunden zu informieren, dass personenbezogene Daten in Ihrem System vermerkt werden. Laut DSGVO haben Kunden ein Recht auf Zugang, Berichtigung und auch ein Recht darauf, dass ihre Daten gelöscht werden.

Personenbezogene Daten von Mitarbeitern

Was viele Unternehmer vergessen: Auch die Daten der Bediener des Kassensystems unterliegen der DSGVO. Vorbei die Zeiten, in denen der Name des Kassierers auf den Kassenbon bedenkenlos gedruckt wurde. Heute kann dort statt des Namens oder einer Personalnummer eine generische ID stehen, deren Zuordnung zum Mitarbeiter nur berechtigte Personen des Unternehmens kennen.

Um zwischen den Bedienern schnell wechseln zu können bieten moderne Kassensysteme eine leichte Zuordnung zum Beispiel mit Fotos auf der Personalkachel an. Das ist zwar weiter erlaubt, allerdings nur nach expliziter schriftlicher Zustimmung des Mitarbeiters darf ein Bild dafür verwendet werden.

Mit verschlüsselten Passwörtern wird der Zugang auf Daten erschwert und mittels spezieller Berechtigungskonzepte für jede Kasse kann nur die Filialleitung die personenbezogenen Daten und auch zugeordneten Umsatzdaten der Kassierenden sehen.

Der Datenschutz hört noch lange nicht an der einzelnen Kasse in der Filiale auf. Um den Kreis zu schließen, werden alle personenbezogenen Daten verschlüsselt über HTTPS an die Zentrale des Unternehmens übertragen und dort auf einem Serversystem hinterlegt. Alternativ zum Server beim Bäcker kann die Kassensteuerungssoftware auch in unserer Samuelson Cloud betrieben werden. Der Betrieb läuft dann auf eigenen Servern in einem Berliner Rechenzentrum, das deutschem Recht unterliegt.

Kann mein Kassensystem DSGVO-konform arbeiten?

Nicht alle elektronischen Kassensysteme können an die Datenschutzrichtlinien angepasst werden. In diesem Fall ist ein Austausch des Kassensystems ratsam. Meistens können Peripheriegeräte wie Bondrucker, Kassenschublade, Etikettendrucker und andere Hardwaregeräte weiterhin verwendet werden. Lediglich das Grundsystem muss erneuert werden.

Der Tipp: Um zu wissen, ob Ihr Kassensystem DSGVO-konform ist, bitten Sie Ihren Anbieter am besten um eine schriftliche Bestätigung zu diesem Thema.

Steuerrecht versus DSGVO

Trotz der DSGVO gelten natürlich weiterhin die Vorgaben des Steuerrechtes, die unter anderem vorgeben, dass alle Umsatzdaten eines Mitarbeiters mindestens 10 Jahre aufbewahrt werden müssen. Die elektronische Registrierkasse muss nun also beides können: steuerlich relevante Daten komplett speichern – und das aber unbedingt DSGVO-konform. Journal-, Auswertungs-, Programmier- und Stammdatenänderungsdaten (z. B. Preisänderungen, Anlegen und Löschen von Nutzern der Kasse) können also nicht einfach gelöscht werden, sondern müssen für das Finanzamt vollständig und unveränderbar in digitaler Form aufbewahrt werden. Die Einzelaufzeichnungspflicht bedeutet sogar, dass alle Verkaufsvorgänge vollständig erfasst und dokumentiert werden müssen, inklusive Datum, Zeit, Bediener bzw. Verkäufer, Artikelbezeichnung, Anzahl mit Einzelpreis sowie Gesamtpreis. Anbieter von Kassensystemen sind hier besonders gefragt, wenn es darum geht, beiden Ansprüchen gerecht zu werden. Vor allem, weil laut Datenschutz-Grundverordnung auch die Anbieter von Kassensystemen zur Verantwortung gezogen werden, weil sie personenbezogene Daten weiterverarbeiten.

Noch keine Kommentare vorhanden

Schreibe einen Kommentar