5 nach 12 für die DSGVO

Man wusste eigentlich schon seit Monaten, dass die EU-Datenschutzgrundverordnung (EU- DSGVO) vor der Tür steht und entsprechende datenschutzrechtliche Anpassungen im eigenen Unternehmen vorzunehmen sind. Doch irgendwie war dauernd etwas wichtiger und Zeit und Muße fehlten. Jetzt, um 5 nach 12, ist die Not groß! Im folgenden Last Minute-Guide erfahren Sie, mit welchen Ad-hoc-Maßnahmen Sie Ihr Unternehmen dennoch schützen können.

Der Stichtag 25. Mai 2018 wird vielen, die in der EU Waren und Dienstleistungen anbieten, und sich deshalb auch mit dem Thema Datenschutz auseinandersetzen müssen, schon länger im Magen liegen. Sind doch bis dahin zahlreiche neue Vorgaben zu beachten und umzusetzen. Bei Verstößen stehen gravierende Sanktionen von bis zu 20 Mio. Euro oder 4% des Jahresumsatzes im Raum.

Anzeige

Wie also muss sich erst ein Unternehmer fühlen, der kurz vor Inkrafttreten der EU-DSGVO bemerkt, dass er den Termin bisher verschlafen und diesbezüglich noch keine Vorkehrungen getroffen hat? Erst mal kühlen Kopf bewahren. Mit folgenden Maßnahmen sollten Sie sich vor den schwerwiegendsten Risiken absichern:

1. Risiko in der Außendarstellung senken

Im ersten Schritt ist „Tarnung“ ein probates Mittel – d.h. nicht jeder sollte Ihre Mängel bezüglich der DSGVO auf den ersten Blick erkennen. Neben den zuständigen Aufsichtsbehörden haben vor allem Verbraucherschutzverbände, aber auch direkte Konkurrenten ein Interesse daran, solche Versäumnisse aufzudecken, um ggf. Abmahnungen gegen Sie durchzusetzen. Das betrifft vor allem den Onlinehandel. Die Außendarstellung erfolgt heute vor allem über den eigenen Webauftritt und die damit verbundenen Informations- und Transparenzpflichten als Anbieter von Waren und Dienstleistungen. Da die o.g. Interessensgruppen nur einen sehr eingeschränkten Einblick auf Ihre Geschäftsprozesse haben, ist die Absicherung der Außendarstellung ein wichtiger Baustein.

Deswegen sollte schnellstens sichergestellt werden, dass sämtliche Informationspflichten präzise von Ihnen eingehalten werden. So sollte beispielsweise die auf der Website verfügbare Datenschutzerklärung den aktuellen Vorschriften entsprechen. Auch sollte man Informationen zur DSGVO bereitstellen und konkret inhaltlich ausfüllen. Kunden bzw. Interessenten müssen hier über ihre wesentlichen Rechte hinsichtlich des Datenschutzes informiert werden. Das betrifft das Recht auf Auskunft, welche personenbezogenen Daten überhaupt im Unternehmen gespeichert werden, das Recht auf Löschung, auf Berichtigung, auf Widerspruch, auf Einschränkung der Datenverarbeitung, das Recht auf Datenweitergabe, Recht auf nicht ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung sowie das Beschwerderecht (siehe Art. 15-22 DSGVO). Diese Auskünfte müssen in verständlicher Sprache zur Verfügung stehen. Als Erste-Hilfe-Tool gibt es entsprechende Textbausteine im Web, wobei hier besonderes Augenmerk auf zutreffende Formulierungen zu legen ist. Das gleiche gilt für Hinweise darauf, ob und in welcher Form Cookies oder Social

Media-Programme wie Google Analytics, etc. Daten speichern und auswerten. Auch hierzu gibt es vorgefertigte Textpassagen, die man nach entsprechender Prüfung einbinden kann.
Die DSGVO schreibt informationspflichten zum Zeitpunkt der Datenerhebung vor. Deshalb sollte bereits in sämtlichen nach außen wirksamen Prozessen wie dem (auch automatisierten) Mailverkehr mit Kunden und Interessenten, Bestellung von Newslettern oder Downloads sowie auf sonstigen Bestellformularen per Link auf die eigene DSGVO- konforme Datenschutzerklärung hingewiesen werden.

Unternehmen ab einer bestimmten Größe (Faustregel: ab 10 Angestellten mit personenbezogener Datenverarbeitung) benötigen zukünftig einen Datenschutzbeauftragten. Aber auch in kleineren Unternehmen sollten die Verantwortlichkeiten und Prozesse genau geregelt sein, damit im Falle einer Anfrage oder Beschwerde fristgerecht reagiert werden kann. Der Datenschutzbeauftragte ist den Behörden aktiv zu melden und wird registriert. Bei verspäteter Bestellung des Datenschutzbeauftragten können Bußgelder verhängt werden. Es sollte sich um eine entsprechend qualifizierte, unabhängige (ggf. externe) Person handeln, bei der es nicht zu Interessenskollisionen kommt. Diese liegen etwa dann vor, wenn der Datenschutzbeauftrage selbst ein hohes Interesse an der Speicherung und Verarbeitung der Daten hat oder selbst hierfür verantwortlich ist. Ungeeignet sind demnach beispielsweise IT-Leiter, Personalleiter sowie Inhaber, Vorstand oder Geschäftsführer.

2. Interne Absicherung

In einem zweiten Schritt sollten sich die Verantwortlichen Klarheit verschaffen, welche Prozesse mit Personenbezug eigentlich in ihrem Unternehmen existieren. Klassischerweise sind dies zumindest die Buchhaltung und das Personalmanagement. Hier ist jeweils zu prüfen, ob eine Rechtsgrundlage für die Verarbeitung existiert. Wenn keine Einwilligung des Betroffenen vorliegt, kann eine Rechtsgrundlage z.B. in der Erfüllung von Verträgen liegen. Insgesamt gilt aber das Prinzip der Datenminimierung; d.h. Daten, die für den Zweck der Erhebung nicht mehr erforderlich sind, müssen gelöscht werden, sofern nicht gesetzliche Vorgaben zur Aufbewahrung existieren. Beispiel Bewerbermanagement: wenn einem Bewerber abgesagt wird, sind auch dessen Daten – spätestens nach einer Sicherheitsfrist von sechs Monaten – zu löschen.

Zu überlegen ist, welche Prozesse im Unternehmen wie angepasst werden müssen, um dem Prinzip der Datenminimierung Genüge zu tun und wie entsprechende Transparenz bei der Datenspeicherung und-verarbeitung geschaffen werden kann. Welche Rechte und Ansprüche haben betroffene Personen, innerhalb welcher Fristen muss reagiert werden, wer ist zuständig? Was passiert bei Datenschutzverletzungen? Z.B. kann es erforderlich sind, diese innerhalb von 72 Stunden aktiv den Behörden zu melden.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

3. Dokumentation nach DSGVO

Schließlich ist ein internes Verfahrensverzeichnis nach DSGVO zu erstellen, das sämtliche Verarbeitungsvorgänge dokumentiert. Auch weitere Dokumentationen sind zu erstellen: Datengeheimhaltungsverpflichtung der Mitarbeiter, Maßnahmen zu Erreichung eines angemessenen Schutzniveaus, Risiko-Folgen-Abschätzung, d.h. wo im Unternehmen gibt es Risiken von Datenschutzverletzungen und wie können diese möglichst minimiert werden? Welche Auswahl- und Kontrollmechanismen gibt es bezüglich der
Auftragsdatenverarbeitung durch Dritte (Art. 28 DSGVO) Wie lässt sich deren Zuverlässigkeit überwachen?

Im Falle einer datenschutzrechtlichen Beschwerde eines Betroffenen bei den Behörden werden diese ggf. das Verfahrensverzeichnis einsehen wollen. Hier sollte man sich möglichst kooperativ zeigen und sämtliche Fristen penibel beachten. Gleiches gilt bei festgestellten Verstößen gegen Datenschutzrichtlinien. Sich tot zu stellen, kann als bewusstes Unterlassen ausgelegt werden und kann streng sanktioniert werden.

Fazit – Es ist nie zu spät

Keine Frage: Für den Aufbau einer umfassenden Datenschutzstrategie reicht die Zeit bis Ende Mai in den meisten Fällen nicht mehr aus. Das bedeutet jedoch nicht, dass Unternehmen schutzlos ausgeliefert sind. Mit einfachen Maßnahmen, die Sie teilweise selbständig durchführen können, lassen sich die größten Risiken effektiv reduzieren.
Klar ist aber auch: Im Falle einer Prüfung durch die Behörden reichen die oben beschriebenen Maßnahmen alleine nicht aus. Daher ist ein professionelles Datenschutz- Audit und mit umfangreichen Trainings- und Schulungsmaßnahmen dringend zu empfehlen – je früher, desto besser!

Björn Heinze, COO FGND Core

www.fgnd-core.de
 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.