Die EU-DSGVO bereitet vielen Unternehmern Angst und Sorge, doch das ist nicht nötig

Ein satirischer Expertentipp der IT Südwestfalen AG

 

Freitag, der 25. Mai 2018|Datenschutz|

Wir schreiben den 25.05.2018, 06:30 Uhr in Lüdenscheid.

Es ist soweit, seit heute Morgen ist die EU-Datenschutz-Grundverordnung in Kraft getreten. Ich habe die ganze Nacht kaum schlafen können, verbreiteten die Medien doch bis auf die letzte Minute Angst und Schreckensmeldungen über riesengroße Bußgelder, die als Folge bei Nichtbeachtung der Verordnung verhängt werden. Als ich heute Morgen aufwachte war alles anders – und doch nicht! Es war es entgegen der Erwartungen keine Weltuntergangsstimmung. Es war ein fast typischer Morgen – die Sonne ist aufgegangen, ich habe meinen Kaffee getrunken und bin ins Büro gefahren. Keiner der Mitarbeiter des Landesbauftragten für Datenschutz in NRW standen für ein Audit vor unserem Büro – Glück gehabt. Für Lüdenscheider Verhältnisse war es sogar ein ausgesprochen sonniger Morgen.

Von trüber Stimmung kann da keine Rede sein. Und die ist auch nicht notwendig. Klar gibt es ein paar Dinge für Sie zu tun. Das stellt viele Unternehmen auch vor eine Herausforderung, bietet im gleichen Zuge aber genauso viele Chancen für das eigene Unternehmen. Sie brauchen sich aber keine Sorge um die großen Bußgelder zu machen, sofern Sie nicht grob fahrlässig handeln.

Erst einmal gilt es sich von Außen nicht angreifbar zu machen.
Bringen Sie also als erstes die Datenschutzerklärung auf Ihrer Internetseite in Topform, damit Anwälte, die ab heute darauf lauern, keine Chance haben Sie abzumahnen.

Danach konzentrieren Sie sich in Ruhe auf das Innere Ihres Unternehmens.
Prüfen Sie, ob Sie verpflichtet sind einen Datenschutzbeauftragten zu bestellen. Dies ist unter anderem der Fall, wenn in Ihrem Unternehmen 10 Personen arbeiten, die personbezogene oder personbeziehbare Daten bei automatisierter Datenverarbeitung oder 20 Personen bei nicht automatisierter Datenverarbeitung verarbeiten. In den meisten Fällen verzichten Unternehmen darauf einen internen Datenschutzbeauftragten zu bestellen, da dieser einem gesonderten Kündigungsschutz unterliegt und nicht so einfach von seiner Aufgabe versetzt werden kann. Nachdem Sie, sofern überhaupt notwendig, einen Datenschutzbeauftragten bestellt haben, muss eine Meldung an die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein Westfalen vorgenommen werden. Dies hat nur über den offiziell eingerichteten Meldeweg der Behörde zu erfolgen, der in dieser Minute noch immer nicht existiert und das obwohl eine Meldepflicht besteht. Daran erkennt man, dass die EU-DSGVO auch für die Behörde überraschend gekommen ist. Stattdessen steht auf deren Internetseite seit gestern: „WICHTIGER HINWEIS: Wir beabsichtigen, unterlassene Meldungen der Kontaktdaten der/des Datenschutzbeauftragten während einer Übergangszeit bis zum 31.12.2018 nicht als Datenschutzverstöße zu verfolgen oder zu ahnden.“ Das ist sehr freundlich!

Beginnen Sie nun in Unterstützung mit Ihrem Datenschutzbeauftragten mit der Dokumentation der Maßnahmen, die Sie bereits im Zuge des Datenschutzes umgesetzt haben und auch was Sie vorhaben umzusetzen. Erstellen Sie nun das Verzeichnis der Vearbeitungstätigkeiten, welches nach Art. 30 der DSGVO geführt werden sollte. Es betrachtet die DSGVO-relevanten Unternehmensprozesse. Unter anderem soll das Verzeichnis für jeden Prozess den Verantwortlichen, Verarbeitungszweck, die Kategorisierung betroffener Personen personenbezogener Daten und Empfänger, Daten-Übermittlungen an ein Drittland, Fristen für die Löschung, Beschreibung der technischen und organisatorischen Maßnahmen beinhalten. Das klingt erstmal komplex ist aber mit ein wenig Fleißarbeit und etwas Unterstützung von Außen gut zu erledigen.

Wenn Sie Newsletter-Versender sind, holen Sie sich, sofern noch nicht geschehen, von jedem Empfänger eine schriftliche und explizite Einwilligung, dass Sie ihn zu diesem Zwecke kontaktieren dürfen. Versehen Sie alle Ihre Newsletter mit der Möglichkeit sich direkt in der Mail von diesem abzumelden. Für die Anmeldung zu einem Newsletter gilt zudem das Double-Opt-In-Verfahren. Das bedeutet: Wenn sich jemand z.B. über Ihre Internetseite zum Newsletter anmeldet, senden Sie diesen eine E-Mail mit dem Hinweis, dass er sich zu diesem angemeldet hat, jedoch noch einmal explizit bestätigen muss, dass er diesen haben will.

Zudem sollte Ihre IT so ausgelegt sein, dass Speicherdauer und Löschfristen rechtsrelevanter Dokumente eingehalten werden können.

Bereiten Sie sich zudem auf den Fall vor, wie Sie Vorgehen, falls sich jemand auf sein Auskunftsrecht beruft und wissen möchte, welche Daten Sie von ihm haben. Einige Hersteller von ERP und CRM-Systemen haben bereits Updates herausgebracht, die eine solche DSGVO konforme Auswertung zumindest für diese Systeme erzeugen können.

Wenn Sie sich schon Mal um diese Maßnahmen gekümmert haben oder diese nun angehen, dann haben Sie bereits einen wichtigen Schritt gemacht.

Allgemein gilt festzuhalten: Das Thema Datenschutz ist nicht neu
Das erste Bundesdatenschutzgesetz wurde bereits 27.01.1977 verabschiedet und ist am 01.01.1978 in Kraft getreten. Seitdem wurde es mehrfach reformiert und an den technischen Fortschritt angepasst. Auch die EU-Datenschutz-Grundverordnung ist nicht neu: Sie ist schließlich bereits am 25.05.2016 in Kraft getreten, lediglich die Übergangsfrist endete heute.

Zusammenfassend lässt sich sagen: Bewahren Sie die Ruhe und gehen Sie mit Bedacht vor!

Fanden Sie den Artikel interessant? Dann teilen Sie ihn doch mit Ihren Freunden:

Unterstützung im Bereich Datenschutz gewünscht?