Menü
Was ist wichtig für die Umsetzung?
Eine vollkommen falsche Aussage ist, dass die Umsetzung des Datenschutzes kleinere Unternehmen nicht betreffen würde.
Vor kurzem waren wir auf einer Veranstaltung. Die Referentin - eine externe DSB (Rechtsanwältin) erzählte, dass sie eine Anfrage von einem Optiker bekommen hätte (3-Mann-Unternehmen). Da dieses noch keine EDV eingesetzte, so hätte Sie diesen empfohlen, dass der Datenschutz für den kleinen Optiker gar nicht relevant sei! Sie müssten nichts unternehmen!
Dies ist natürlich eine vollkommene falsche Aussage, bzw. Falschberatung. Nach der DSGVO in Verbindung mit dem BDSG-neu hat auch ein Unternehmen in Deutschland mit weniger als neun Personen, welche sich mit der Verarbeitung von personenbezogenen Daten beschäftigen - egal mit oder ohne EDV - natürlich die Anforderungen der DSGVO und BDSG-neu zu erfüllen. Dazu gehört die Anfertigung von Verarbeitungsverzeichnis oder Absicherung der IT. Auch die Rechte der Betroffenen müssen natürlich realisiert werden.
Die brennendste Frage ist - was muss man erfüllen?
Fangen wir zuerst einmal mit den wichtigsten Sofortmaßnahmen an:
- Es muss eine Datenschutzerklärung auf Basis der DSGVO/BDSG-neu erstellt werden
- Da Cookies auch personenbezogene Daten darstellen, muss auch hier eine Richtlinie ertellt werden oder dies in die Datenschutzerklärung aufgenommen werden.
- Nach Art. 37 DSGVO hat eine Meldung des Datenschutzbeauftragten (DSB) an die Aufsichtsbehörde zu erfolgen
- Auf der Webseite muss die Nennung des DSB ebenfalls erfolgen
Die Erfüllung dieser Sofortmaßnahmen ist sehr wichtig, weil hier das Risiko von Abmahungen besteht und weil es Verstöße gegen das Gesetz darstellt, was Bußgelder kosten kann.
Damit aber ist nur der erste Schritt getan - das Unternehmen (ob Kleinst oder Groß) muss alle Anforderungen der DSGVO erfüllen. Hierzu gehören u.a. (keine vollständige Aufzählung):
- Analyse der Verfahren, welche personenbezogene Daten verarbeiten. Dies ist die Grundlage für die nachfolgende Schritte.
- Erstellung Verzeichnis der Verarbeitungstätigkeiten
- Durchführung von Datenschutz-Folgeabschätzungen
- Erarbeitung von technischen und organisatorischen Maßnahmen (TOM)
- Erstellung Datensicherheitskonzept, Löschkonzept usw.
- Umsetzung der Betroffenenrechte
- Umsetzung von Meldepflichten
- Umsetzung der Einwilligungsregeln
- Umsetzung von Wirksamkeitsprüfungen (dies ist impliziet in der DSGVO verlangt)
- Regelung der Auftragsverarbeitungen
- Erstellung von Datenschutzrichtlinien
- Durchführung von Schulungen und Awareness
- Dokumenation des Datenschutzes/Rechenschaftspflichten
Hierzu eine wichtige Anmerkung, dass dies alles zu den Aufgaben des Verantwortlichen gehört - und ein externer DSB diese Aufgaben grundsätzlich nicht erledigt.
Deshalb ist man gut beraten in Bezug auf die Marktangebote genau zu erfragen, wass man denn dafür erhält.
Die oftmals angebotenen Fragebogenaktionen beziehen sich nur auf die Aufnahme der Datenstrukturen, aber umfassen kein Audit von der IT, keine Wirksamkeitsprüfgen etc.
Und auch die Rückmeldung über vorgeschlagene Maßnahmen helfen den Unternehmen meist wenig, denn diese wissen nicht wie dies denn nun umgesetzt werden muss!
Dann kommen branchenspezifische Anforderungen hinzu, nach welchen z.B. der Einkauf eines Unternehmens den Nachweis von der Erfüllung bestimmter Datenschutzmodelle bereits verlangt, um als Lieferant gelistet zu werden.
Letztendlich wird der (hoffentlich schon bestellte) DSB spätestens seit dem 25. Mai 2018 auf den Verantwortlichen zukommen und diesem mittteilen, dass sein Unternehmen die DSGVO erfüllt oder eben nicht. Das muss er tun, denn sonst befindet sich der DSB in der Haftungsfalle. Egal ob interner oder externer DSB! Und im Konzern gilt die Regel, dass der interne DSB für alle anderen Gesellschaften, für die er benannt ist, ein externer DSB darstellt. Dies hat für die Haftung des DSB Relevanz.
Denn der DSB ist nicht verantwortlich für die Umsetzung der Anforderungen, sondern nur dass er den Verantwortlichen über die Mißstände unterrichtet!
Im schlimmsten Falle, wenn gar nichts passiert und der Datenschutz eine große Gefahr darstellt, müsste er die Aufsichtsbehörde davon unterrichten.
.