Datenschutz-Grundverordnung (DSGVO): Was Sie jetzt tun müssen

von Wolfgang Laier

Am 25. Mai tritt die neue Datenschutz-Grundverordnung (DSGVO) in Kraft. Unternehmer sind damit gezwungen persönliche Daten von Kunden und Mitarbeitern besser zu schützen. Auch wenn der Sachverhalt schon länger bekannt ist, so wird dies vielen Unternehmen erst jetzt bewusst. Das Gesetzesungetüm (insg. 99 Artikel) hängt dabei wie ein Damoklesschwert über vielen Unternehmen. Denn die DSGVO ist es für Nicht-Juristen (und wohl auch für einige Juristen) kaum zu durchschauen, was getan werden muss. Auch wird sich erst noch zeigen wie die Umsetzung und der Umgang mit Verstössen in der Praxis sein wird. Zudem sind die Strafen, die mit der DSGVO im Raum stehen, für Unternehmen gewaltig bis existenzbedrohend.

Die DSGVO regelt dabei die Verarbeitung von Daten in Unternehmen: deren Erhebung, Speicherung, Übermittlung, Veränderung und Löschen. Bedenkt man allerdings den Hintergrund einer exponentiell steigenden Datenmenge, ist es verständlich, dass dem Datenschutz eine immer größere Bedeutung beigemessen werden muss. Neueste "Datendiebstähle" oder "Datenmissbrauch", wie z.B. bei Facebook und vielen anderen zeigen deren Notwendigkeit.

Für viele Unternehmer bedeutet dies aber auch einen weiteren Punkt auf der ToDo-Liste. Besonders KMUs sind davon betroffen, da diese oft nicht ausreichend die Ressourcen und Kompetenz haben um nun solche Themen zu bearbeiten. Dahingegen beschäftigen große Unternehmen hier eigene Abteilungen und Anwälte, und werden final die Kosten und Aufwände sicherlich an Ihre Kunden und Lieferanten durchreichen, so dass die Gefahr besteht, dass gerade KMUs hiervon doppelt betroffen sind.

Auf Grund der verbleibenden Zeit ist auf jeden Fall dringend angesagt hier zu handeln! Mit diesem Artikel haben wir Ihnen eine Hilfestellung ausgearbeitet. Mit einer Checkliste wollen wir Ihnen eine Hilfestellung geben und die wichtigen Punkte zusammenfassen, die Sie bei der Umsetzung Ihres eigenen Datenschutzkonzeptes im Unternehmen beachten sollten.

Neuerungen durch die DSGVO

Marktortprinzip

Mit der DSGVO gilt künftig das Prinzip des Marktortes. Entscheidend ist nun, auf welchen Märkten das Unternehmen aktiv ist und nicht mehr wo der Sitz des Unternehmens ist.

Verzeichnis der Verarbeitungstätigkeiten

Als Auftragsverarbeiter müssen Sie ein Verzeichnis aller Datenverarbeitungstätigkeiten führen. Dieses Verzeichnis muss der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden.

Informationspflichten

Jeder Betroffene muss vor der Erhebung personenbezogener Daten in einer präzisen, verständlichen, transparenten und leicht zugänglichen Form und in einer einfachen und klaren Sprache über die Verwendung informiert werden.

Ernennung eines Datenschutzbeauftragten

Jedes Unternehmen mit mehr als neun Mitarbeitern, die personenbezogene Daten automatisiert verarbeiten (dazu zählen auch z. B. E-Mails) muss laut DSGVO einen Datenschutzbeauftragten (DSB) haben. Dieser kann entweder ein interner oder externer DSB Mitarbeiter sein, dessen Fachkunde nachzuweisen ist.

Kinder und personenbezogene Daten

In der DSGVO ist festgehalten, dass Kinder erst mit 16 Jahren in eine Verarbeitung ihrer personenbezogenen Daten einwilligen können. Unter 16 Jahren ist immer eine Einwilligung der Eltern erforderlich, die zwingend vor der Verarbeitung abgegeben werden muss.

Das Recht auf Vergessenwerden

Mit dem „Recht auf Vergessen“ wird sichergestellt, dass jegliche personenbezogenen digitalen Daten nicht dauerhaft zur Verfügung stehen. D.h. ein Unternehmen muss sicherstellen, dass personenbezogene Daten gelöscht werden, sobald diese für den Zweck nicht mehr benötigt werden.

Meldepflicht von Verstößen für Unternehmen

Kommt es in einem Unternehmen zu einer Verletzung des Datenschutzes, so muss die verantwortliche Stelle innerhalb von 72 Stunden nach Bekanntwerden des Verstoßes den Fall bei der zuständigen Aufsichtsbehörde melden.

Haftung bei Verstößen

Nach dem Ende der Übergangsfrist am 25. Mai 2018 ist mit erheblichen Bußgeldern bei Verstößen gegen die DSGVO zu rechnen. Die Höhe des Bußgeldes richtet sich unter anderem nach der Art und Schwere des Verstoßes. Für leichtere Verstöße gegen die Pflichten aus der DSGVO sind Bußgelder in Höhe von max. 10 Mio. € oder 2 % des weltweiten Konzern-Jahresumsatzes vorgesehen. Bei schwerwiegenden Verstößen, z. B. gegen die Grundprinzipien der DSGVO kann das Bußgeld bis zu 20 Mio. € oder 4 % des weltweiten Konzern-Jahresumsatzes betragen. Dies sind die jeweiligen Höchstgrenzen.

Was ist zu tun?

1. Datenschutzbeauftragten benennen (wenn nötig)

Wenn im Unternehmen personenbezogene Daten automatisiert verarbeitet werden, also per EDV (personenbezogene Daten sind insbesondere Kundendaten und Mitarbeiterdaten), dann müssen Unternehmen unter bestimmten Voraussetzungen einen Datenschutzbeauftragten benennen.

Ausnahme: Sind regelmäßig nur neun oder weniger Mitarbeiter mit der Verarbeitung personenbezogener Daten beschäftigt, braucht ein Unternehmen keinen Datenschutzbeauftragten. Dann kann der Geschäftsführer selbst den Datenschutz übernehmen. Beachten sie aber dabei, dass auch die Mitarbeiter zu berücksichtigen sind, die nur ab und zu Daten verarbeiten. Es spielt keine Rolle, ob ein Mitarbeiter Teil- oder Vollzeit arbeitet, freier oder fester Mitarbeiter ist, Praktikant oder Auszubildender. Entscheidend ist die Anzahl der Köpfe

2. Verzeichnis der Verarbeitungstätigkeiten anlegen

Jedes Unternehmen muss ein sogenanntes „Verzeichnis der Verarbeitungstätigkeiten“ anlegen (siehe Art. 30 der DSGVO). Das hört sich nach viel an, ist aber eher eine einfache Tabelle. In der Tabelle listet man auf, welche Daten wie. wann und warum erhoben werden. Etwa die Daten seiner Kunden: Name, Adresse, Telefonnummer.

Abgefragt werden sollte:

  • Welche Informationen erhalten Betroffene über die Erhebung und Speicherung personenbezogener Daten?
  • Wie werden diese Informationen erteilt: Stehen Sie zum Beispiel in den AGB, in einem Text neben einer Checkbox auf der Website oder teil man sie mündlich mit?
  • Welche Daten werden erhoben, welchem Zweck dient die Datenerhebung, wie werden diese Daten weiterverarbeitet?
  • Werden Daten anonymisiert oder pseudonymisiert?
  • Wie lange werden die Daten gespeichert?
  • Werden die Daten weitergegeben? Wenn ja, an wen? Ist dieser ebenfalls für den Datenschutz verantwortlich?
  • Wo werden die Daten gespeichert? Werden sie außerhalb der EU gespeichert? Falls ja: Sind die Voraussetzungen zur Übermittlung in Drittstaaten erfüllt?
  • Werden die Daten ausreichend durch technische und organisatorische Maßnahmen geschützt?

3. Prozesse festlegen und Prozesshandbuch schreiben

Sie sollten alle mit Datenverarbeitung verbundenen Prozesse dokumentieren und (wenn nötig) optimieren. Dies betrifft zum Beispiel:

  • Wie werden Kunden über die Verarbeitung ihrer Daten informiert?
  • Wie reagieren Mitarbeiter, wenn Kunden fragen, welche Daten von ihnen gespeichert wurden?
  • Was ist der Prozess, wenn ein Kunde darauf besteht, dass seine Daten gelöscht werden?
  • Was ist der Prozess, falls es zu einem Datenleck kommt und personenbezogene Daten in falsche Hände geraten?
  • Ist das Ziel, warum Daten gespeichert wurden, erreicht, müssen die Daten gelöscht werden (z.B. bei einem Gewinnspiel nach der Ermittlung der Gewinner). Wie ist der Löschprozess organisiert?
  • Wie werden Mitarbeiter geschult, damit sie diese Prozesse kennen und ausführen können?

4. Datenschutz-Folgeabschätzung durchführen (wenn nötig)

Wer mit besonders sensiblen Daten arbeitet (wie z.B. Arztpraxen oder Versicherungsmakler) sollten unter Umständen eine so genannte Datenschutz-Folgeabschätzung (DSFA) durchführen. Das gilt im Besonderen für Unternehmen, die eine Identifizierung und Kategorisierung von Personen nach Themen ermöglichen (wie zum Beispiel Sexualität, Krankheiten, Finanzen, rassische oder ethnische Herkunft oder politischen Ansichten).

5. Alle Aktivitäten zum Datenschutz dokumentieren

Sie sollten alle ihre Anstrengungen dokumentieren: z.B. welches Seminar hat der Datenschutzbeauftragte besucht? Welche Sicherheitseinrichtungen wurden in der IT installiert? Welche Verträge wurden mit Dienstleistern geschlossen? So besteht bei Datenlecks oder Verstößen wie Fehlern in der Datenschutz-Erklärung, bei guter Dokumentation die Chance, ohne Strafe davonzukommen. Dafür muss man die Unterlagen aber auf Anfrage umgehend vorlegen können.

Checkliste DSGVO

Mit der der folgenden Checkliste können Sie schnell und einfach selbst überprüfen, wie in Ihrem Unternehmen der Status Quo ist und wo Sie noch aktiv werden müssen. Das Checkliste gibt Ihnen eine gute Grundlage für die anschließende Umsetzung der notwendigen Schritte.

Zurück