Was ist umzusetzen? - Datenschutzhilfe vom Experten

Datenschutzhilfe.info

Wir machen den Datenschutz für Sie leicht verständlich und setzen ihn mit Ihnen pragmatisch um!
Title
Direkt zum Seiteninhalt
Menü
Was ist wichtig für die Umsetzung?

Eine vollkommen falsche Aussage ist, dass die Umsetzung des Datenschutzes kleinere Unternehmen nicht betreffen würde.

Vor  kurzem waren wir auf einer Veranstaltung. Die Referentin - eine externe  DSB (Rechtsanwältin) erzählte, dass sie eine Anfrage von einem Optiker  bekommen hätte (3-Mann-Unternehmen). Da dieses noch keine EDV  eingesetzte, so hätte Sie diesen empfohlen, dass der Datenschutz für den  kleinen Optiker gar nicht relevant sei! Sie müssten nichts unternehmen!

Dies  ist natürlich eine vollkommene falsche Aussage, bzw. Falschberatung.  Nach der DSGVO in Verbindung mit dem BDSG-neu hat auch ein Unternehmen  in Deutschland mit weniger als neun Personen, welche sich mit der  Verarbeitung von personenbezogenen Daten beschäftigen - egal mit oder  ohne EDV - natürlich die Anforderungen der DSGVO und BDSG-neu zu  erfüllen. Dazu gehört die Anfertigung von Verarbeitungsverzeichnis oder  Absicherung der IT. Auch die Rechte der Betroffenen müssen natürlich  realisiert werden.

Die brennendste Frage ist - was muss man erfüllen?

Fangen wir zuerst einmal mit den wichtigsten Sofortmaßnahmen an:

  • Es muss eine Datenschutzerklärung auf Basis der DSGVO/BDSG-neu erstellt werden
  • Da  Cookies auch personenbezogene Daten darstellen, muss auch hier eine  Richtlinie ertellt werden oder dies in die Datenschutzerklärung  aufgenommen werden.
  • Nach Art. 37 DSGVO hat eine Meldung des Datenschutzbeauftragten (DSB) an die Aufsichtsbehörde zu erfolgen
  • Auf der Webseite muss die Nennung des DSB ebenfalls erfolgen

Die Erfüllung dieser Sofortmaßnahmen  ist sehr wichtig, weil hier das Risiko von Abmahungen besteht und weil  es Verstöße gegen das Gesetz darstellt, was Bußgelder kosten kann.

Damit aber ist nur der erste Schritt  getan - das Unternehmen (ob Kleinst oder Groß) muss alle Anforderungen  der DSGVO erfüllen. Hierzu gehören u.a. (keine vollständige Aufzählung):

  • Analyse der Verfahren, welche personenbezogene Daten verarbeiten. Dies ist die Grundlage für die nachfolgende Schritte.
  • Erstellung Verzeichnis der Verarbeitungstätigkeiten
  • Durchführung von Datenschutz-Folgeabschätzungen
  • Erarbeitung von technischen und organisatorischen Maßnahmen (TOM)
  • Erstellung Datensicherheitskonzept, Löschkonzept usw.
  • Umsetzung der Betroffenenrechte
  • Umsetzung von Meldepflichten
  • Umsetzung der Einwilligungsregeln
  • Umsetzung von Wirksamkeitsprüfungen (dies ist impliziet in der DSGVO verlangt)
  • Regelung der Auftragsverarbeitungen
  • Erstellung von Datenschutzrichtlinien
  • Durchführung von Schulungen und Awareness
  • Dokumenation des Datenschutzes/Rechenschaftspflichten

Hierzu eine wichtige Anmerkung, dass dies alles zu den Aufgaben des Verantwortlichen gehört - und ein externer DSB diese Aufgaben grundsätzlich nicht erledigt.
Deshalb ist man gut beraten in Bezug auf die Marktangebote genau zu erfragen, wass man denn dafür erhält.

Die oftmals angebotenen Fragebogenaktionen beziehen sich nur auf die  Aufnahme der Datenstrukturen, aber umfassen kein Audit von der IT, keine  Wirksamkeitsprüfgen etc.
Und auch die Rückmeldung über vorgeschlagene Maßnahmen helfen den  Unternehmen meist wenig, denn diese wissen nicht wie dies denn nun  umgesetzt werden muss!

Dann  kommen branchenspezifische Anforderungen hinzu, nach welchen z.B. der Einkauf eines Unternehmens den Nachweis von der Erfüllung bestimmter Datenschutzmodelle bereits verlangt, um als Lieferant gelistet zu  werden.  

Letztendlich wird der (hoffentlich schon bestellte) DSB spätestens seit dem 25. Mai  2018 auf den Verantwortlichen zukommen und diesem mittteilen, dass sein  Unternehmen die DSGVO erfüllt oder eben nicht. Das muss er tun, denn  sonst befindet sich der DSB in der Haftungsfalle. Egal ob interner oder  externer DSB! Und im Konzern gilt die Regel, dass der interne DSB für alle anderen Gesellschaften, für die er benannt ist, ein externer DSB  darstellt. Dies hat für die Haftung des DSB Relevanz.

Denn der DSB ist nicht verantwortlich für die Umsetzung der Anforderungen,  sondern nur dass er den Verantwortlichen über die Mißstände  unterrichtet!

Im schlimmsten Falle, wenn gar nichts passiert und der Datenschutz eine große Gefahr  darstellt, müsste er die Aufsichtsbehörde davon unterrichten.
.
Diese Seite wird betrieben von CONSUVATION GmbH

Zurück zum Seiteninhalt