Finale Deadline zur DSGVO: Ende Mai 2018 Beim Datenschutz auf der sicheren Seite
1. März 2018Kleinere und mittlere Unternehmen (KMU) geben sich in Sachen Datenschutz gerne mal entspannt. Ab Mai 2018 aber tritt die neue Europäische Datenschutzgrundverordnung (DSGVO) in Kraft mit umfänglichen 99 Artikeln, die es umzusetzen gilt. Warum KMUs jetzt aktiv werden müssen und, was am dringlichsten für sie ist, verdeutlichen die folgenden fünf Maßnahmen.
Kein Universalkonzept
Es gibt kein Universalkonzept, wie Unternehmen bis Ende Mai 2018 bestmöglich die neue Verordnung umsetzen. Fest steht nur: Sie sollten so schnell wie möglich damit beginnen. Hier sollten fünf wesentliche Aspekte abgedeckt werden.
Verfahrensverzeichnis erstellen und aktuell halten: Unternehmen müssen nun die Einhaltung der Anforderungen der DSGVO durch ein Verzeichnis ihrer Datenverarbeitungs-Tätigkeiten jederzeit nachweisen können. Sie sind daher verpflichtet, alle Vorgänge inklusive Zweck und Löschfristen aufzulisten. Um zügig ein Verfahrensverzeichnis anlegen zu können, sollten Unternehmer alle Bereiche überprüfen, die mit personenbezogenen Daten arbeiten – wie Personal, Buchhaltung, Marketing, Vertrieb und die eigentliche Leistungserbringung.
Werden Teile der Einzelbereiche mit einer Software erbracht, ist auch zu kontrollieren, welche Daten zu welchen Zwecken gespeichert werden und ob diese Datenverarbeitungs-Vorgänge mit dem neuen Recht in Einklang stehen. Die Datenverarbeitung ist nur zulässig, wenn eine Einwilligung vorliegt. Die Anforderungen an diese Einwilligung wurden verschärft.
Unverzüglich auskunftsfähig sein und bleiben: Schon immer konnte jeder Auskunft über seine Daten verlangen; ab jetzt ist diese allerdings unverzüglich zu erteilen. Der Umgang mit den Auskunftsansprüchen sollte also spätestens ab Mai kommenden Jahres klar geregelt sein. Laut DSGVO hat jede Person das Recht, auf ihre persönlichen Daten zuzugreifen oder diese korrigieren, löschen oder elektronisch übertragen zu lassen.
Unternehmer müssen nun Verantwortliche benennen und die entsprechenden Kapazitäten schaffen, um der neuen unverzüglichen Auskunftspflicht nachzukommen. Notwendige Basis dafür ist, die relevanten Daten immer aktuell und zugänglich zu halten. Das betrifft auch Dritte, die im Namen des beauftragenden Unternehmens personenbezogene Daten verarbeiten.
Die eigene Datenschutzerklärung aktualisieren – überall: Eine Datenschutzerklärung muss über die Verarbeitung personenbezogener Daten informieren. Diese Informationspflicht gilt für alle Datenverarbeitungs-Vorgänge: Auch wer offline Daten erhebt – etwa in einem Kundengespräch – muss über die Verarbeitung der Daten informieren. Außerdem wurde der Umfang der Pflichtinformationen noch einmal erweitert.
Unternehmer sollten auch nicht vergessen, ihre Texte, die nach außen sichtbar sind, der neuen Rechtslage anzupassen. Dies betrifft vor allem die Datenschutzerklärung auf der Website, aber auch Einwilligungserklärungen von Kunden, Newsletter-Empfängern oder Angestellten. Verträge mit Dienstleistern sollten besser ebenfalls einer Prüfung unterzogen werden, um sie gegebenenfalls anpassen zu können. Generell ist es ratsam, mit Dienstleistern zusammen zu arbeiten, die international anerkannte Standards für Datensicherheit und Datenschutz erfüllen, beispielsweise ISO 27018.
Optimierungspotenziale nutzen
Security optimieren, um Datenpannen bemerken und melden zu können: Das Gesetz schreibt Unternehmen vor, geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein angemessenes Schutzniveau zu gewährleisten. Sollte es dennoch zu Verletzungen kommen, sind diese der Datenschutz-Aufsichtsbehörde zu melden. Während eine Meldung bislang nur im Ausnahmefall erforderlich war, muss das Unternehmen nach neuem Recht grundsätzlich jede Datenschutzverletzung binnen 72 Stunden der Datenschutz-Aufsichtsbehörde – unter Umständen auch den Betroffenen – melden.
Aus dieser Pflicht folgt die Notwendigkeit, einen unternehmensinternen Prozess zu schaffen, der im Falle von Datenlecks greift. Eine versäumte Meldepflicht kann mit Bußgeldern geahndet werden.
Qualifizierten Datenschutzbeauftragten bestellen: Die DSGVO sieht auch eine Pflicht zur Bestellung eines Datenschutzbeauftragten vor, wenn sich mehr als zehn Mitarbeiter im Unternehmen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Für diese Aufgabe sind Ressourcen zu schaffen, und der Datenschutzbeauftragte sollte die Gelegenheit zu entsprechenden Fortbildungen im Bereich Compliance erhalten. (rhh)
Hier geht es zu Haufe-Lexware GmbH & Co. KG