Das teils eher stiefmütterlich behandelte Thema Datenschutz darf nicht auf die leichte Schulter genommen werden. Denn der europäische Gesetzgeber und die Aufsichtsbehörden der Länder haben sich entschieden, die Bußgelder für Datenschutzverstöße drastisch zu erhöhen, auch um dadurch eine abschreckende Wirkung zu erzielen.
Weit verbreitet ist die Meinung, dass die Einhaltung der DSGVO nicht für Selbstständige und Kleinbetriebe gilt. Das ist ein Irrtum. Die Vorschriften der DSGVO gelten für alle juristischen und natürlichen Personen, die personenbezogene Daten erheben, erfassen und verarbeiten. Unabhängig von der Menge oder Größe oder der Art der Verarbeitung.
Dabei kann die Konformität mit dem europäischen Regelwerk schon mit relativ einfachen Mitteln hergestellt werden. Die wichtigsten Massnahmen werden nachfolgend beschrieben.
1. Erfassung des Status Quo
In einem ersten Schritt muß eine Bestandsaufnahme der vorhandenen datenschutzrechtlich relevanten Prozesse durchgeführt werden, um zu sehen an welchen Stellen änderungsbedarf besteht Dann kann geklärt werden, auf welchem Stand sich der Datenschutz im Unternehmen befindet.
Aus den Ergebnissen dieser Analyse kann dann geprüft werden, inwieweit der Ist-Zustand von den Anforderungen der DSGVO abweicht. Anschließend sollte ein geeigneter Fahrplan für die verbleibende Umsetzungszeit festgelegt werden. So lässt sich systematisch mit entsprechenden Maßnahmen nach und nach der gewünschte Soll-Zustand erreichen
2. Verfahrensverzeichnisse aufbauen
Das Verfahrensverzeichnis ist eine Dokumentation und Übersicht über Verfahren, bei denen personenbezogene Daten verarbeitet werden.
Die Pflicht ein solches Verfahrensverzeichnis zu führen trifft sowohl den Verantwortlichen als auch den Auftragsverarbeiter. Inhaltlich werden aber geringere Anforderungen an das Verfahrensverzeichnis eines Auftragsverarbeiters gestellt. Aus Art. 30 Abs. 5 DSGVO ergeben sich auch Ausnahmen für die Erstellung eines Verfahrensverzeichnisses. Die Pflicht zur Führung gilt für alle Verantwortlichen, die regelmäßig personenbezogene Daten verarbeiten, also z.B. Emails schreiben, Kundenlisten mit Personennamen führen, personalisierte Rechnungen und ähnliche Dokumente ausstellen und speichern
3. Datenschutz-Management-System
Da Unternehmen nicht nur sicherstellen müssen, dass datenschutzrechtliche Vorgaben eingehalten werden, sondern dies auch nachweisen können müssen, empfiehlt sich die Einrichtung eines Datenschutz-Management-Systems. Zentrale Normen sind hier Art. 5 und Art. 24 DSGVO, aus denen sich eine Nachweis- und Rechenschaftspflicht für Unternehmen ableitet. Gleiches gilt auch im Bereich Datensicherheit – denn auch hier bedarf es eines Nachweises, dass „geeignete technische und organisatorische Maßnahmen“ eingesetzt werden, die dem Schutz der betroffenen Personen dienen. Das bedeutet, dass Massnahmen aus folgenden Bereichen nachweislich dokumentiert werden müssen
- Datenschutzorganisation und Verantwortlichkeit für Datenverarbeitungen
- Einbindung des Datenschutzbeauftragten (wo nötig)
- Verzeichnis von Verarbeitungstätigkeiten (an welchen Stellen liegen personenbezogenen Daten im Unternehmen vor?)
- Datenschutz-Folgenabschätzung, Art. 35 DSGVO
- Vertragsmanagement (welche Dienstleister werden eingesetzt?)
- Datenschutz-Schulung und Verpflichtung zur Vertraulichkeit der Mitarbeiter
- Prozess zur Wahrnehmung von Betroffenenrechten
- Meldung von Datenschutzverstößen
- Nachweis der Datensicherheit (Umsetzung von technischen und organisatorischen Maßnahmen)
angelegt und gepflegt werden sollten.
Ein DMS kann zwar bei unbeabsichtigten Datenschutzverstößen nicht mit Sicherheit den Vorwurf der Fahrlässigkeit entfallen lassen, ist jedoch nach Art. 83 Abs. 2 d) DSGVO zumindest bußgeldmindernd zu berücksichtigen. Zudem ermöglicht ein effizientes System eine schnelle Reaktion des Unternehmens, falls es tatsächlich zu Datenschutzverstößen kommt
4. Informationspflichten
Informationspflichten bei Datenerhebung und -verarbeitung sind fester Bestandteil des Datenschutzrechts. Die DSGVO sieht umfangreiche Pflichten in Bezug auf die Information der Betroffenen vor, die von Unternehmen und Verantwortlichen zu berücksichtigen sind. Maßgebliche Normen sind hier Art. 13 und 14 DSGVO. Nach Art. 13 DSGVO sind insbesondere die folgenden Informationen dem Betroffenen in präziser, transparenter, verständlicher und leicht zugänglicher Form zu erteilen:
- Identität des Verantwortlichen
- Kontaktdaten des Datenschutzbeauftragten
- Verarbeitungszwecke und Rechtsgrundlagen
- Empfänger der Daten
- Übermittlung der Daten in Drittstaaten
- Dauer der Speicherung
- Betroffenenrechte
- Widerrufbarkeit von Einwilligungen
- Beschwerderecht bei der Aufsichtsbehörde
- Verpflichtung zur Bereitstellung personenbezogener Daten
- Automatisierte Entscheidungsfindung und Profiling
Diese Informationen sind dem Betroffenen spätestens zum Zeitpunkt der Datenerhebung „in geeigneter Form“ bereitzustellen. Dies kann in Papierform geschehen oder aber als Download Link oder QR-Code in E-mails oder Anschreiben.
Aus Art. 14 DSGVO ergibt sich, dass nahezu dieselben Informationspflichten bestehen, wenn die Daten nicht beim Betroffenen selbst erhoben werden.
Bei Problemen konsultieren Sie Ihren Datenschutzberater oder schicken Sie eine E-Mail an Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
Hier anmelden und keinen Blogartikel mehr verpassen!