Datenschutzverordnung: Der Tiger ist los... cool bleiben!
Der Tiger ist los... cool bleiben. DSGVO-Richtlinien beachten.

Fachartikel: Datenschutzverordnung

Der Tiger ist los .... cool bleiben!

Seit dem 25. Mai 2018 gilt die neue Datenschutzgrundverordnung (DSGVO) innerhalb der Europäischen Union. Was Sie unbedingt tun sollten...

In den letzten Wochen und Monaten fühlten sich viele an das legendäre „Jahr-2000-Problem“ erinnert. Vor knapp 20 Jahren, als alle Stellen des Jahreszählers in Computern, Servern und IT-Kleingeräten auf einmal gedreht wurden, befürchteten Experten den Stillstand vieler IT-Infrastrukturen und Chaos allerorten. Es wurden Vorsichtsmaßnahmen ergriffen, Produktionsanlagen angehalten und Verkehrsampeln deaktiviert. Passiert ist damals verhältnismäßig wenig.

„Viel Lärm um nichts“ also auch bei der DSGVO? Nein spätestens hier hinkt der Vergleich, denn die Unruhe der letzten Monate ist berechtigt. Die DSGVO wird sich nicht von alleine erledigen. Wer auch heute noch ohne Datenschutzkonzept da steht, sollte sich mit den Mindestanforderungen der DSGVO auseinandersetzen und diese in seinem Unternehmen umsetzen. Zwar dienen die Maximalstrafen von 20 Millionen Euro oder 4% des Jahresumsatzes vermutlich vor allem der Abschreckung. Sie zeigen aber auch, dass es dem Gesetzgeber mit der Durchsetzung der Verordnung ernst ist.

Den größten Aufwand und das größte Risiko tragen vor allem Online-Shops und Social-Media-Portale, die über eine Vielzahl von Datensätzen von Privatkunden verfügen und diese in Big-Data-Manier miteinander verknüpfen, um Rückschlüsse auf Konsumverhalten und Werbepräferenzen zu ziehen. Aber dennoch sollten auch Handwerksbetriebe gewissen Mindestanforderungen der DSGVO erfüllen und diese transparent dokumentieren.

In diesem Artikel beschreiben wir nochmals die wichtigsten dieser Grundvoraussetzungen ohne Anspruch auf Vollständigkeit oder rechtliche Verbindlichkeit. Es empfiehlt sich in jedem Fall eine professionelle Rechtsberatung bei der Umsetzung der Vorgaben der DSGVO.

Rund um die neue Datenschutzverordnung machten viele Gerüchte die Runde. Sie ließen besonders im Mittelstand und bei Kleinunternehmern Befürchtungen aufkeimen, die Verordnung gar nicht in Gänze erfüllen zu können. Inzwischen hat sich vieler orten der Nebel gelichtet und die wichtigsten Vorbereitungen auf die DSGVO konnten in den Betrieben fristgerecht zum 25. Mai 2018 umgesetzt werden.

Dazu gehören unter anderem:

1.  Einsetzen eines Datenschutzbeauftragten

Wenn in einem Unternehmen mehr als zehn Mitarbeiter regelmäßig mit personenbezogenen Daten arbeiten, so besteht die Verpflichtung, einen Datenschutzbeauftragten zu benennen. Dieser sollte weder aus der Geschäftsführung noch der IT-Administrator sein. Diese Personen müssten sich als Datenschutzbeauftragte ständig selbst kontrollieren und prüfen. Wenn Sie keinen Mitarbeiter als Datenschutzbeauftragten einsetzen möchten, besteht auch die Möglichkeit, auf einen externen Datenschutzbeauftragten zurückzugreifen. Dieser überwacht die Datenschutzvorgaben und -prozesse und macht auf entsprechende Missstände aufmerksam.

Weil mit der DSGVO die Aufgaben des Datenschutzbeauftragten noch stärker im Bereich der Prüfung und nicht unbedingt in der Konzeption und Umsetzung liegen, ist auch seine Verantwortung gewachsen. In seltenen Fällen kann er sogar persönlich haftbar gemacht werden. Ein interner Datenschutzbeauftragter sollte deshalb in entsprechenden Fortbildungen über seine Aufgaben informiert werden.

2. Das Verfahrensverzeichnis

Beim Verfahrensverzeichnis handelt es sich um das umfangreichste Dokument, das Unternehmen im Rahmen der DSGVO erstellen müssen. Hierin werden alle Prozesse dokumentiert, in denen personenbezogene Daten erfasst, gelöscht, bewegt, eingesehen, verändert, weitergegeben oder auf andere Art behandelt werden. Für das Verfahrensverzeichnis gibt es klare Vorgaben zum Inhalt. Die Form kann jedoch variieren. Je nach Umfang können Abteilungen in Einzelformularen jedes Verfahren dokumentieren oder es werden alle in einer Excel-Liste zusammengeführt. Ein Prozess kann zum Beispiel die Datenerfassung sein, aber auch der Versand von Werbebriefen oder die Archivierung von Belegen oder E-Mails. Einfach alle Prozesse, bei denen personenbezogene Daten eine Rolle spielen.

Dokumentiert werden unter anderem:

  • Allgemeine Angaben zum Verfahren
  • Angaben zu verantwortlichen Stellen / Personen
  • der Zweck der Datenerhebung
  • Beschreibung betroffener Personengruppen
  • Fristen zur Löschung der Daten
  • nationale und internationale Nutzung / Übermittlung der Daten

Zusätzlich erfordert die DSGVO eine Folgenabschätzung bei den verschiedenen Verfahren der Handhabung von personenbezogenen Daten. Die Verordnung grenzt klar ab, wann die Abschätzung durchzuführen ist. Allgemein formuliert geht es um eine Risikoabschätzung zur Bewertung der notwendigen Maßnahmen, um den Datenschutz bestmöglich gewähren zu können.

Die Löschung der Daten ist ein komplexes Thema und wird oft in einem eigenen Löschkonzept ausgelagert, auf das sich vom Verfahrensverzeichnis aus bezogen wird.

3.  Technische und Organisatorische Maßnahmen (TOM)

Die TOM-Dokumentation beschreibt die Maßnahmen auf Seiten der Infrastruktur und der Unternehmensorganisation, die getroffen wurden, um alle Vorgaben der DSGVO erfüllen zu können. Hier werden zum einen verwendete Datenbanken, IT-Systeme, und -Anwendungen dokumentiert.

Zum anderen beschreibt dieses Dokument die Schulung von Mitarbeitern, die Zutrittskontrolle zum Unternehmen, räumliche Aufteilungen, abschließbare Bereiche und andere organisatorische Details, die eine gesetzeskonforme Umsetzung des Datenschutzes im Unternehmen gewährleisten.

4. Datenschutzerklärung

Ein wichtiges Papier, das auch nach außen klar signalisiert, dass ein Betrieb seine „Hausaufgaben“, im Bezug auf die DSGVO, gemacht hat, ist die Datenschutzerklärung. Diese muss künftig jedes Unternehmen transparent zugänglich machen. Unter anderem, indem sie auf der Internetseite verfügbar gemacht wird. Dort muss auch der Kontakt zum Datenschutzbeauftragten des Unternehmens genannt werden.

 

Im Internet finden sich inzwischen einige Generatoren für die Datenschutzerklärung. Diese füttert man mit Informationen zum Unternehmen, genutzten Services (z.B. Google Analytics oder Dropbox) und zu anderen datenschutzrelevanten Einzelheiten. Im Anschluss spuckt der Generator die fertige Datenschutzerklärung aus. Wichtig: Die Betreiber der Generatoren weisen ihre Nutzer darauf hin, dass es sich nur um ein Hilfsmittel handelt und keinerlei juristische Gewähr für die erstellten Texte übernommen wird. Auch hier lassen Unternehmen diese Unterlagen am besten von einer Rechtsberatung prüfen oder direkt von dieser erstellen.

5.  Auftragsverarbeitung

Schon vor der DSGVO gab es die „Auftragsdatenverarbeitung“. In diesem Dokument wurde eine Vereinbarung mit Dienstleistern geschlossen, die Daten eines Auftraggebers verwendet haben, um zum Beispiel personalisierte Drucksachen zu erstellen oder Datenbanken zu reparieren oder zu prüfen. In der DSGVO sind neue Pflichten des Auftragsverarbeiters vorgesehen, weswegen bestehende Verträge anzupassen sind.

Grundsätzlich verpflichtet die DSGVO alle Unternehmen zur Datensparsamkeit. Es sind nur jene personenbezogenen Daten zu speichern, die für den Betrieb relevant sind. Löschungswünsche sind im Rahmen der gesetzlichen Möglichkeiten zu erfüllen. Bestehen allerdings Aufbewahrungspflichten, so sind diese in der Regel zunächst zu erfüllen, bevor die Löschung durchgeführt wird.

Stellen Sie sicher, dass Sie die Mindestanforderungen der DSGVO erfüllen, um sich vor bösen Überraschungen zu schützen. Wie immer klingen juristische Vorgaben hölzern und umständlich. Eine Dokumentation bestehender Prozesse und Maßnahmen ist aber mithilfe von verfügbaren Musterformularen, -generatoren und -listen schnell erstellt und erspart eventuelle Strafzahlungen und Erklärungsnöte.

Autor: Tobias Funken, Streit Datentechnik GmbH