DS-GVO - Für alle Unternehmen in der EU

Die Datenschutz-Grundverordnung (DS-GVO) gilt für alle Unternehmen, Freiberufler und Vereine in der EU, die personenbezogene Daten erfassen. Hierbei ist es unerheblich, ob die Daten im Computer oder auf einer Karteikarte „gespeichert“ werden. Außerdem müssen sich auch Unternehmen daran halten, die nicht in der EU ihren Sitz haben aber Geschäfte in der EU machen bzw. personenbezogene Daten von EU-Bürgern verarbeiten.

Die DS-GVO (englisch: GDPR = General Data Protection Regulation) wurde 2016 mit einer zweijährigen Übergangszeit erlassen. Die Übergangszeit läuft am 25.05. ab. D.h., Vorgaben der Verordnung müssen bis zu diesem Datum umgesetzt sein.Gerade für kleine Unternehmen und möglicherweise für Vereine (z.B. Fördervereine in Schulen oder Kindergärten) bedeutet die Umsetzung ein sehr hohen Aufwand. So müssen alle "Mitarbeiter" die personenbezogene Daten verarbeiten (online oder offline - als im Computer oder auf Karteikarten oder so) oder Zugriff darauf haben, geschult werden. Die Schulungsmaßnahmen müssen dokumentiert werden.

Es gibt im Internet eine Vielzahl von Seiten mit Hinweisen, Verfahrensweisen usw. zu diesem Thema. Leider vermissen wir den Praxisbezug. Gerade kleine Unternehmen / Einpersonen-Unternehmen zweifeln an der Notwendigkeit der gesetzlichen Regelung. Man hat schnell das Gefühl, dass mit Kanonen auf Spatzen geschossen wird.
Aber, all das Jammern bringt nichts - am 25.05. muss die neue Organisation stehen.

Der unten aufgeführte Text erhebt keinen Anspruch auf Vollständigkeit und stellt keine Rechtsberatung da. Wir versuchen nur die Wichtigkeit und Dringlichkeit der Maßnahmen herauszustellen. Sprechen Sie mit einem Datenschutzbeauftragten um die notwendigen Schritte rechtssicher umzusetzen.

Folgende Dinge finden wir als besonders wichtig:

  • Mitarbeiterschulung und Dokumentation. Niemand möchte, dass die eigenen personenbezogenen Daten öffentlich zugänglich sind. Bei 10 Mitarbeitern, die Daten erfassen bzw. Zugriff darauf haben, benötigen Sie einen internen oder externen Datenschutzbeauftragten.
  • Verarbeitungsverzeichnis erstellen. So erhält jeder Unternehmer schnell einen Überblick über die Abläufe im Zusammenhang mit personenbezogenen Daten. Hierfür gibt es Muster im Internet. z.B. bei GDD - Gesellschaft für Datenschutz und Datensicherheit e.V
  • Verträge mit Auftragsverarbeiter erstellen. Auf Anfrage müssen die Verträge vorgezeigt werden. In den Verträgen werden Regelungen über die Verarbeitung von personenbezogenen Daten festgeschrieben. Auftragsversarbeiter sind keine "Dritten". D.h., Sie müssen Ihre Kunden nicht über die Weitergabe der Daten an Ihren Auftragsverarbeiter informieren. Schon aber, dass Sie mit einem Datenverarbeiter zusammenarbeiten. Auftragsverarbeiter sind Unternehmen, die für Sie Kundendaten verarbeiten um z.B. ein Newsletter zu verschicken.
  • Anpassung Ihrer Kontaktformulare auf Ihrer Website - wenn noch nicht geschehen. Sie benötigen eine Checkbox, dass die Datenschutzerklärung zur Kenntnis genommen wurde und die Daten gespeichert werden dürfen
  • Anpassung Ihrer Datenschutzerklärung. Wichtig ist, dass die Datenschutzerklärung nicht mehr unter dem Text des Impressums stehen darf (ist schon seit einigen Jahren so). Es ist eine eigenständige Seite notwendig. Hierzu haben wir einen Artikel geschrieben. Aufgrund der DS-GVO muss die Datenschutzerklärung überarbeitet werden.
  • Dokumentieren Sie Ihre Sicherungsmaßnahmen und den Umgang mit personenbezogenen Daten. Verschlüsseln Sie personenbezogene Daten?
    Bei Verlust muss innerhalb von 72 Std. die Aufsichtsbehörde informiert werden.

Mal ein paar Beispiele für die verbotene Nutzung von personenbezogenen Daten:

  • Die vorgefertigte Geburtstagsliste im Büro. Gegenmaßnahme: ein leeres Blatt hinhängen und jeder der möchte kann sein Geburtstag z.B. ohne Jahr eintragen.
  • Listen mit dem Namen des Kindes im Kindergarten. Gegenmaßnahmen: Die Erziehungsberechtigten tragen den Namen selbst ein.
  • Mitarbeiter z.B. im Vertrieb speichern oder schreiben sich zu einem Kunden den Lieblingsfußballverein oder andere Infos auf.
  • Viele schreiben, wenn Sie eine Email an Externe schicken, alle Email-Adressen in das CC-Feld. Hierdurch können andere die Email-Adresse sehen. Gegenmaßnahme: Die anderen Empfänger einfach in BCC setzen.

Hier noch ein paar interessante Internetseiten:

Der oben aufgeführte Text erhebt keinen Anspruch auf Vollständigkeit und stellt keine Rechtsberatung da. Wir versuchen nur die Wichtigkeit und Dringlichkeit der Maßnahmen herauszustellen. Sprechen Sie mit einem Datenschutzbeauftragten um die notwendigen Schritte rechtssicher umzusetzen.

Warum ist die Umsetzung wichtig?

Ab dem 26.05. können Abnahmevereine anfangen Internetseiten durchzugucken. Die "neuen" Datenschutzerklärungen haben immer einen Bezug zur DS-GVO. Sollte er nicht vorhanden sein, ist die Datenschutzerklärung nicht rechtskonform. Somit kann der Verein / das Unternehmen abgemahnt werden.

Die Aufsichtsbehörden können Ihre Verarbeitungsverzeichnisse oder Dokumentationen zum Datenschutz / Mitarbeiterschulungen anfordern. Wenn Sie diese nicht haben, kann ein Bußgeld verhängt werden.


Keepsmile Design

Inh. Uwe Wortmann
Ringstr. 29
44575 Castrop-Rauxel
Nordrhein-Westfalen
02305 / 44 58 371
mail@keepsmile-design.com

Kennen Sie schon unseren Blog?
Hier geht zur Beitrags-Liste
Webdesign Keepsmile Design, Castrop-Rauxel bei TwitterWebagentur Keepsmile Design, Castrop-Rauxel bei LinkedinWebdesign Keepsmile Design, Castrop-Rauxel bei Facebook