Die neue Datenschutzgrundverordnung gilt ohne Einschränkungen ab dem 25.05.2018. In diesem Gastbeitrag geht Rechtsanwalt Michael Kunze auf die kommenden Anforderungen der DSGVO ein, mit der Unternehmen veranlasst werden, die persönlichen Daten von Mitarbeitern und Kunden besser zu schützen. Die aufgestellten neuen Regelungen sind sehr komplex und teilweise auch angreifbar, wenn man hiergegen verstößt.

Vor allem, wenn Sie eine Unternehmenswebseite oder einen Onlineshops betreiben gibt es zahlreiche Änderungen und notwendige Anpassungen, die Sie bis zum Mai auf den Weg bringen sollten.

Nachfolgend ersehen Sie einige Hinweise, für den Umgang mit der neuen Datenschutzgrundverordnung.

1. Dokumentation ist wichtig

Es ist wichtig, dass Sie sämtliche Vorgänge dokumentieren, die zur Umsetzung der Regelungen der Datenschutzgrundverordnung durch Sie vorgenommen werden. Dies beginnt z.B. bei Fragen wie:

  • Welche Verträge wurden hinsichtlich des Datenschutzes mit Dienstleistern geschlossen?
  • Wie und mit welchen Systemen und wann wurde Ihre Firewall installiert und gewartet?
  • Welche Seminare und Weiterbildungen hat der von Ihnen benannte Datenschutzbeauftragte besucht?

Die Aufzählung ist nicht abschließend, jedoch ist festzuhalten: Die Dokumentation ist wichtig, um diese bei Anfrage umgehend vorlegen zu können. Ebenso sollte Ihr Internetdienstleister in der Lage sein, nachvollziehbar zu dokumentieren, was mit Ihren Daten passiert.

2. Prozesse festlegen und umsetzen

Sie sollten im Rahmen Ihrer Tätigkeit analysieren, wie in Ihrem Unternehmen die Datenverarbeitungsvorgänge und die damit verbundenen Prozesse ablaufen. Diese sollten Sie dokumentieren und wenn möglich optimieren. Hier müssen Sie unter anderem prüfen, wie Ihre Mitarbeiter hinsichtlich dieser Datenverarbeitungsprozesse geschult sind.

  • Kennen alle Mitarbeiter die internen Prozesse und können diese ausführen?
  • Wie werden Daten gespeichert und vor allem von wem und welche Datensätze?
  • Wie ist der Datenschutz organisiert?
  • Was passiert bei Datenlecks?
  • Was muss ablaufen, wenn ein Kunde darauf besteht, dass seine Daten in Ihrem System gelöscht werden?
  • Welcher Mitarbeiter ist für welche Datenverarbeitungsprozesse verantwortlich?
  • Erhalten Kunden eine Information über die Datenverarbeitung?

Auch hier ist der Prüfungskatalog nicht abschließend. Die vorgenannten Punkte sind nur beispielhaft aufgeführt. Doch zeigen auch sie, wie wichtig es ist, Änderungen an Ihrer Website nachvollziehen zu können, gerade, wenn ein Dienstleister Zugang zu Ihren Daten hat.

3. Datenschutzbeauftragten bestimmen

Sie sollten als nächstes prüfen, ob in Ihrem Unternehmen ein Datenschutzbeauftragter zu bestimmen ist. Ein Datenschutzbeauftragter ist in Ihrem Unternehmen zu benennen, wenn es personenbezogene Daten automatisiert verarbeitet. Hierbei geht es nicht nur um Kundendaten, sondern auch um Daten Ihrer Mitarbeiter.

Haben Sie regelmäßig nur neun oder weniger Mitarbeiter, die Zugriff auf die personenbezogenen Daten haben, brauchen Sie keinen Datenschutzbeauftragten. Hier kann ggf. der Geschäftsführer selbst den Datenschutz übernehmen.

Hinweis: Bei der Bestimmung der Mitarbeiterzahl sind auch solche Mitarbeiter zu berücksichtigen, die nur ab und zu an Datensätzen arbeiten und etwaigen Datenzugriff haben. Teil- oder Vollzeitarbeit zählen dabei genauso als Mitarbeiter, wie freie Mitarbeiter, Praktikanten oder Azubis.

Sollten in Ihrem Unternehmen Daten verarbeitet werden, wo Daten zur ethnischen Herkunft, sexuellen Orientierung, Gesundheit oder politischen Einstellung erfasst werden, müssen Sie auf jeden Fall einen Datenschutzbeauftragten benennen. Dies sind, allgemein gesagt, alle Unternehmen, für die eine Datenschutzfolgenabschätzung nötig ist.

Der Datenschutzbeauftragte selber sollte regelmäßig geschult werden. Die Schulungen sind, wie bereits unter Punkt 1 genannt, akribisch zu dokumentieren.

4. Datenschutzfolgenabschätzung?!

Arbeiten Sie in Ihrem Unternehmen mit besonderen sensiblen Daten (z.B. Arztpraxis, Steuerberater, Rechtsanwälte, Versicherungsmakler) müssen Sie mit den Datensätzen besonders umsichtig umgehen und ggf. auch die sog. Datenschutzfolgenabschätzung durchführen.

Dies gilt grundsätzlich für Unternehmen, die ihre Kunden oder Mitarbeiter kategorisieren und identifizieren nach Themen, wie Krankheiten, Finanzen, Sexualität, ethnischer oder rassischer Herkunft, wie auch der politischen Ansichten. Hier ist selbstredend ein hoher Missbrauchsfaktor vorliegend.

Das Ziel der Erstellung einer Datenschutzfolgenabschätzung ist es, Risiken für die Persönlichkeitsrechte der betroffenen Personen herauszuarbeiten, um dann geeignete Schutzmaßnahmen vorzunehmen. Als Inhalt einer Datenschutzfolgenabschätzung sind beispielhaft folgende Dinge zu erfassen:

  • Zweck der Datenverarbeitung und Begründung, warum das Unternehmen hieran Interesse hat.
  • Wie wird die Datenverarbeitung technisch und organisatorisch umgesetzt?
  • Welche Maßnahmen werden vorgenommen, um einen unberechtigten Zugriff oder Weitergabe zu verhindern?
  • Wie wird im Falle eines Datenlecks verfahren?
  • Wie sind die Datenverarbeitungsvorgänge zu beschreiben?
  • Welche allgemeinen Kontrollmechanismen greifen, um Daten zu schützen?

5. Verzeichnis der Verarbeitungstätigkeiten

Nach den Regelungen der Datenschutzgrundverordnung müssen Sie ein sog. Verzeichnis der Verarbeitungstätigkeit anlegen. Hier ist in tabellarischer Form aufgelistet, welche Datensätze man wann, wie und warum im Unternehmen speichert.

Gemeint sind hier nicht nur die Kundendaten, sondern auch die Daten der eigenen Mitarbeiter. In größeren Unternehmen könnte diese Aufgabe z.B. durch einen entsprechenden verantwortlichen Mitarbeiter koordiniert werden. Folgende Fragestellungen sind beispielsweise abzuarbeiten:

  • Welche Daten werden erhoben?
  • Wie werden die Kunden oder Mitarbeiter über diese Datenerhebung informiert?
  • Welchen Zweck hat die Datenerhebung?
  • Wer verarbeitet die Daten zu welchem Zweck weiter?
  • Sind die Daten anonym oder pseudoanonym erfasst verarbeitet?
  • Wie lange werden Daten gespeichert?
  • An wen werden Sie weitergegeben?
  • Wie werden die Daten gelöscht?
  • Wie sieht es mit den technischen Datenschutzmechanismen aus?

Und auch an dieser Stelle sehen Sie, wie wichtig bei der Zusammenarbeit mit einem Dienstleister ist, dass dieser bei Bedarf Änderungen oder Eingriffe in Ihrer Website nachvollziehen kann.

Fazit

Zusammenfassend können Sie erkennen, dass die Umsetzung der Datenschutzgrundverordnung einen erheblichen Verwaltungsaufwand und ggf. auch einen technischen Aufwand erfordert, den es umzusetzen gilt. Vor allem bei der Auswahl Ihres Internetdienstleisters sollten Sie drauf achten, dass dieser ebenso wie Sie die Regeln der DSGVO gewissenhaft umsetzt.

0 Comments