Die Digitalisierung erfasst mittlerweile nicht nur alle Bereiche unseres Lebens; es gibt kaum ein Unternehmen, in dem nicht täglich eine Vielzahl an Daten und Informationen erfasst, verarbeitet und gespeichert werden. Unabhängig von der Betriebsgröße muss jedes Unternehmen, jeder Handwerksbetrieb oder Freiberufler seine komplette Datenverwaltung auf DSGVO-Konformität überprüfen und ggfs. entsprechend anpassen.
Im Vordergrund stehen dabei weniger die inhaltlichen Vorgaben zum Datenschutz, da auch vor dem Mai 2018 in Deutschland bereits recht strenge datenschutzrechtliche Vorgaben galten, sondern die Handhabung der Daten. Insbesondere sind hier zu nennen:
Dokumentations- und Nachweispflichten
Erweiterte Dokumentations- und Nachweispflichten, um der „Rechenschaftspflicht“ (Art. 5 Abs. 2 DSGVO) zu genügen. Der Verantwortliche – in der Regel der Inhaber oder der Geschäftsführer eines Unternehmens – muss nachweisen können, dass die datenschutzrechtlichen Pflichten mit Blick auf die interne Organisation, den Umgang mit Mitarbeiter- und Kundendaten sowie externen Dienstleistern erfüllt werden.
Informations- und Auskunftspflichten
Die DSGVO sieht neue Informations- und Auskunftspflichten (Art 13 und 14 DSGVO) gegenüber denjenigen vor, die von einer Verarbeitung ihrer Daten betroffen sind.
Den Betroffenen steht ein Auskunftsanspruch gegenüber dem Verein hinsichtlich des Umgangs mit ihren personenbezogenen Daten zu (Art. 15 DSGVO). Da die DSGVO hier eine sehr kurze Reaktionszeit von nur 4 Wochen vorschreibt, sollte dieser Prozess vorbereitet sein.
Technische und organisatorische Maßnahmen (TOM)
Geeignete technische und organisatorische Vorkehrungen (TOM) sind einzurichten, um ein angemessenes Schutzniveau zu gewährleisten (Art. 32 Abs. 1 DSGVO). Das erforderliche Schutzniveau ergibt sich aus der Art sowie der Kategorie der verarbeiteten personenbezogenen Daten.
Verarbeitungsverzeichnis
Zu den datenschutzrechtlichen Mindestanforderungen, die jedes Unternehmen – unabhängig von seiner Größe – zu erfüllen hat, gehört das Führen des sogn. „Verzeichnis der Verarbeitungstätigkeiten“ (VVT). Das VVT dient im Wesentlichen der Dokumentation und revisionssicheren Handhabung der zum Schutz von personenbezogenen Daten eingeführten Verfahren und Schutzmaßnahmen im Unternehmen. Die Pflichtangaben (Art 30 DSGVO) enthalten die wichtigsten Informationen zu den einzelnen Verarbeitungstätigkeiten. Das VVT kann in schriftlicher oder digitaler Form geführt werden.
Vorgehen bei „Datenpannen“
Datenschutzvorfälle – sogn. „Datenpannen“ – sind unverzüglich und möglichst innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Aufsichtsbehörde zu melden (Art. 33 Abs. 1 DSGVO). Für die meisten Verantwortlichen ist dies eine sehr kurze Frist! Daher empfiehlt es sich, auf einen etwaigen meldepflichtigen Vorfall vorbereitet zu sein.
Richtlinie für den Datenschutz im Unternehmen
Die datenschutzrechtlich relevanten Datenverarbeitungsvorgänge des Unternehmens sollten in einer geeigneten Form, z.B. einer unternehmensinternen Richtlinie, präzise festgehalten werden. U.a. sollte eindeutig festgelegt werden wer, wann welche Daten und zu welchem Zweck verarbeiten und übermitteln darf.
Einwilligung von Mitarbeitern und Kunden
Jede Datenverarbeitung bedarf entweder der Einwilligung der betroffenen Person oder einer sonstigen gesetzlichen Ermächtigungsgrundlage (Rechtmäßigkeit der Datenverarbeitung, Art. 6 DSGVO).
Die Verarbeitung personenbezogener Daten zur Begründung und Verwaltung des Beschäftigungsverhältnisses ist grundsätzlich zulässig. Bei der Durchführung von Bewerbungsverfahren sind besondere Aufbewahrungsfristen zu beachten.
Ebenso ist die Verarbeitung von Kunden- und Vertragsdaten solange unproblematisch, wie sie zur Auftragsabwicklung sowie Abrechnungszwecken erfolgt.
Werden personenbezogene Daten aber über den eigentlichen Zweck der Datenverarbeitung hinaus genutzt, etwa bei einer Datenweitergabe zu Werbezwecken, so ist hierfür die Einwilligung des Betroffenen zwingend erforderlich.
Datenschutzbeauftragter
Besteht die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung besonders sensibler Daten, oder sind dort in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, so ist die Benennung eines internen oder externen Datenschutzbeauftragten verpflichtend (Art. 37 DSGVO, § 38 BDSG-neu).
Vorteile eines externen gegenüber einem internen Datenschutzbeauftragten:
- schnelle, professionelle und gesetzeskonforme Umsetzung
- keine Kosten für Aus- und Weiterbildung
- Sie profitieren von der Erfahrung aus unterschiedlichen Projekten
- aktuelles Expertenwissen zu allen relevanten Fragen um den Datenschutz
- Schonung interner Ressourcen
- Neutralität des Externen Datenschutzbeauftragten; keine Interessenkonflikte
- Minimierung des Haftungsrisikos
- Transparente Kostenstruktur
- Erfahrung zahlt sich aus
Auch in kleineren und mittleren Unternehmen sowie Handwerksbetrieben muss ein Mindestmaß an Dokumentation vorhanden sein, um die Einhaltung des Datenschutzes nachweisen zu können.
Erfahrung zahlt sich aus
Aufbauend auf einer jahrelangen Erfahrung in mittelständischen Unternehmen sowie einer intensiven Beschäftigung mit den Herausforderungen, die die digitalen Entwicklungen für viele Betriebe bedeuten, haben wir mit dem SECUFIDES-Datenschutz Monitor ein Datenschutz-Management-System entwickelt, das auf die spezifischen Anforderungen kleiner und mittelständischer Unternehmen (KMU) und Betriebe ausgerichtet ist.
Unsere Beratungsleistung umfasst u.a.:
- Beratung in allgemeinen sowie branchenspezifischen datenschutzrechtlichen Fragestellungen
- Einrichtung eines Datenschutz-Management-Systems für das Unternehmen oder den Betrieb, um branchenspezifische Abläufe zu unterstützen und die Dokumentationspflichten revisionsfest sicherzustellen
- Analyse und Überprüfung der internen Verarbeitungsvorgänge und Erstellung des Verzeichnisses von Verarbeitungstätigkeiten
- Risikoabschätzung der einzelnen Verarbeitungstätigkeit und ggfs. Unterstützung bei der Durchführung von Datenschutz-Folgenabschätzungen
- Unterstützung bei der Einhaltung von Betroffenenrechten wie z.B. Auskunftsanfragen, Löschung oder Übertragung
- Beratung bei der Umsetzung von Datensicherheit und der Implementierung von geeigneten technischen und organisatorischen Maßnahmen
- Überprüfung und Anpassung vorhandener Verträge mit Ihren Dienstleistern
- Schulungen der Mitarbeiter
- Unverzügliche Hilfe bei akuten Datenschutznotfällen
- Vertretung gegenüber Aufsichtsbehörden (als externer Datenschutzbeauftragter)
Fördermöglichkeiten
Für eine Beratung im Datenschutz besteht die Möglichkeit einer Förderung durch das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) oder das Coaching-Bonus-Programm der Industriebank Berlin (IBB).
Datenschutz schafft Vertrauen
Ein professionell organisierter Datenschutz schafft Vertrauen bei Mitarbeitern, Geschäftspartnern und Kunden!
Sie möchten mehr über den Datenschutz für mittelständische Unternehmen erfahren?
Klicken Sie hier für mehr Informationen oder ein kostenfreies und unverbindliches Informationsgespräch.