DS-GVO im Unternehmen

Hinweis:

Alle Beiträge in der Rubrik „Datenschutz-Grundverordnung„ wurden von mir gewissenhaft recherchiert und zusammengefasst.
Dieser Artikel stellt jedoch keine Rechtsberatung dar und erhebt keinen Anspruch darauf, vollständig und in jedem Detail richtig zu sein.

Was bedeutet „betrieblicher Datenschutz“

Da jeder Betrieb, Unternehmen oder Verein personenbezogene Daten (von Mitarbeiter, Mitglieder oder Kunden) in irgendeiner Form verarbeitet, werden besondere Anforderungen zum Schutz dieser Daten gestellt.

Verstöße gegen die DS-GVO sind meist auf Unwissenheit zurückzuführen oder sie kommen durch scheinbar unbedeutenden, routinemäßigen Handlungen im Büroalltag zustande.

Kommt es zu einer Datenpanne, muss schnell gehandelt werden!

Die Folgen sind nicht finanzielle Sanktionen oder Schadensersatzansprüche, auch das Ansehen der Firma leidet darunter.
Geschäftspartner und Kunden verlieren das Vertrauen in Sie und dieses wieder zurückzugewinnen, kann sehr mühsam sein.

Aus der Praxis

Der Betreiber der Social-Media-Plattform Knuddels wurde im Juli 2018 Opfer eines Hackerangriffs!
Hierbei wurden die Daten von Nutzern erbeutet. Im September wurden dann diese Daten (Pseudonymen, Passwörtern und E-Mail-Adressen) veröffentlicht.

Transparenz bewahrte Betreiber vor höheren Bußgeldern
Obwohl der Portalbetreiber gleich die zuständige Aufsichtsbehörde informierte und auch eng mit diesen zusammenarbeitete, wurde ein Bußgeld in Höhe von 20.000,00 € fällig.
Hätte das Unternehmen nicht so gut kooperiert, wäre das Bußgeld wohl höher ausgefallen.

Wen betrifft die DS-GVO?

Die zahlreichen Änderungen,
die die DS-GVO mit sich bringt, triff jeden Unternehmer
– mit Firmensitz (auch Niederlassungen) in der EU
– sofern Verbraucher in der EU als Kunden angesprochen werden.

Die DS-GVO sieht Strafen von bis zu 20 Mio. Euro, beziehungsweise von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, vor.

Fehlende Umsetzung oder Nichteinhaltung, kann zu empfindlichen Strafen führen!

Von Ratlosigkeit und den ersten Schritte!

1. Einsicht – Nichts ist umsonst
Wie wichtig die Umsetzung, aber auch Fortführung ist, dürfte Ihnen mittlerweile bekannt sein. Hier ist Fleißarbeit gefragt.
Wenn Sie sich selbst um das Thema kümmern wollen, müssen Sie sich erst einmal alle erforderlichen Informationen zusammensuchen.
Eigentlich stehen alle Informationen im Internet und dank Dr. Google, finden sich über 3.5 Millionen Ergebnisse allein mit dem Suchbegriff „Datenschutzgrundverordnung“.

2. Überblick verschaffen
Verschaffen Sie sich erst einmal einen Überblick aller erforderlichen Maßnahmen!
Da der Aufwand sehr umfangreich und zeitintensiv ist, sollte erst einmal ein „Roter Faden“ erstellt werden.
Sofern möglich, empfiehlt es sich, eine Person mit der Erstellung zu beauftragen.

3. Erfassung und Verarbeitung
Stellen Sie alle Daten zusammen, die Sie erfassen und verarbeiten!
Unterscheiden Sie dabei zwischen „Allgemeine Personendaten“ und „besonderer Kategorien personenbezogener Daten“.
Es geht nicht nur um Kundendaten! Auch die Ihrer Mitarbeiter sind davon betroffen.

4. Zulässigkeit der Datenerhebung
Alle von Ihnen erfassten Daten unterliegen der „Rechtmäßigkeit“!
Prüfen Sie anhand der unter „3“ aufgestellten Daten, ob der Umfang der Daten und die Notwendigkeit wirklich erforderlich sind?
Sie müssen dies gegenüber einer Aufsichtsbehörde in Form einer schriftlichen Dokumentation nachweisen können.

5. Datenschutzbeauftragter
Prüfen Sie, ob Ihr Betrieb bzw. Verein verpflichtet ist, einen Datenschutzbeauftragten zu bestellen?
Sind mindestens 10 Personen mit der Verarbeitung der Daten beschäftigt oder liegen besondere Arten personenbezogener Daten
(rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit,
Gesundheit oder sexuelle Orientierung) vor, muss in diesem Fall ein Verantwortlicher (Datenschutzbeauftragter) bestellt werden.
Begriffserläuterungen: https://www.datenschutz-wiki.de/3_BDSG_Kommentar_Absatz_9_Beispiele

6. Betroffenenrechte
Wer personenbezogene Daten erfasst und verarbeitet, unterliegt gewissen „Betroffenenrechte“.
Mitarbeiter, Mitgliedern, Kunden, Lieferanten und Interessenten haben das Recht auf:
– Auskunft
– Berichtigung
– Löschung
und Einschränkung der von Ihnen erfassten Daten.
Hierbei bleiben rechtliche Aufbewahrungspflicht unberührt!
Genauso sind Sie verpflichtet, bei Aufforderung des Betroffenen, diesem die Daten zur Verfügung zu stellen!

7. Auftragsverarbeiter
Werden „personenbezogene Daten“ z. B. durch einen Dienstleister verarbeitet, ist eine vertragliche Regelung erforderlich.
Man spricht hier von einem Auftragsverarbeitungs-Vertrag (AVV).
Sie – als Auftraggeber – haben in diesem Hinblick aber einige Pflichten und selbstverständlich auch Rechte.
Verfügen Sie über eine Webseite, so muss zwischen Ihnen und ihrem Provider ein solcher Vertrag bestehen.
Auch externe EDV-Dienstleister oder Webagenturen müssen unter Umständen eine AVV mit Ihnen abschließen.
Ihr Steuerberater zählt nicht als „Auftragsverarbeiter“.
Bei fremde Fachleistungen ist der jeweilige Anbieter selber für die Daten verantwortlich und nicht Sie als Auftraggeber.
Hierunter fallen Steuerberater, Rechtsanwälte, Bankinstitute, Postdienste, externe Betriebsärzte, Wirtschaftsprüfer, Inkassobüros.

8. Besondere Anforderung an Ihre EDV
Die DS-GVO stellt auch besondere Anforderungen an Ihre EDV-Technik, genauso wie an der von Ihnen eingesetzten Software.
Diese müssen entsprechend in der TOM (technische und organisatorische Maßnahmen) dokumentiert werden und ggf. den Aufsichtsbehörden vorgelegt werden.

Sie sehen also, dass es nicht ganz so einfach ist! Und es ist auch kein Thema, das man dem Praktikanten oder Azubi überlassen sollte.

Auch reicht es nicht, dass alle schriftliche Anforderungen erfüllt wurden. Vielmehr muss jeder im Betrieb die DS-GVO beachten!
Es sind meist Kleinigkeiten, die aber zu größeren Folgen führen kann.