Die Datenschutzgrundverordnung – was ist zu tun?

Zum 25.05.2018 sind die Datenschutzgrundverordnung (DSGVO) und das neue Bundesdatenschutzgesetz (BDSG) in Kraft getreten.

Die DSGVO gilt als EU-Recht unmittelbar in allen Mitgliedsstaaten. Sie dient dem Schutz natürlicher Personen bei der Verarbeitung von deren personenbezogenen Daten, wie z.B. Name, Adresse, Bankdaten, Gesundheitsdaten.

 

Brisanz erfährt das neue Datenschutzrecht dadurch, dass bei Verstößen erhebliche Geldbußen vorgesehen sind. Zudem können sich betroffene Personen bei den Datenschutzaufsichtsbehörden beschweren. Schließlich wird vor Abmahnanwälten gewarnt, die gezielt nach Unternehmen Ausschau halten, die ihre Pflichten nicht erfüllen.

 

Die zentrale Frage ist nun, ob Sie bzw. Ihr Unternehmen die Regelungen der DSGVO zu beachten haben/hat.

Keine Anwendung findet die DSGVO, wenn natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten, somit ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit, personenbezogene Daten verarbeiten (z.B. Einladungen zur Geburtstagsfeier im Freundes-/Familienkreis). Anders verhält es sich schon, wenn Sie als Einzelperson z.B. eine Wohnung vermieten. In diesem Fall verarbeiten Sie die personenbezogenen Daten Ihres Mieters. Auf den Umfang der Vermietung kommt es nach aktueller Auffassung nicht an, so dass die DSGVO schon bei der Vermietung nur einer Wohnung greift. Sind Sie Inhaber eines Unternehmens und bieten Waren und/oder Dienst-/Werkleistungen an, verarbeiten Sie z.B. regelmäßig personenbezogene (Kunden-)Daten und müssen die Verpflichtungen der DSGVO erfüllen.

 

Sie sehen: Firmen, Institutionen, aber auch Einzelpersonen müssen sich auf die DSGVO einstellen.

 

Datenschutz ist kein Thema, dass sich von einem auf den anderen Tag umsetzen lässt. Zuallererst geht es darum, den Auftritt nach außen datenschutzkonform zu gestalten, um nicht angreifbar zu sein. Insbesondere sind die nachfolgenden Fragen zu klären:

 

  • Erfüllt die Datenschutzerklärung auf Ihrer Website die Anforderungen der DSGVO?

Es ist zu ermitteln, welche Datenverarbeitungsprozesse auf der Website stattfinden. Das fängt an bei der Erfassung der IP-Adresse des Besuchers der Website, geht über den Einsatz von z.B Cookies und Analysetools bis hin zur Bestellmöglichkeit von Newslettern oder der Verwendung von Social-Media-Plugins. Über die Datenverarbeitungsprozesse ist in der Datenschutzerklärung auf der Website zu informieren.

 

  • Benötigen Sie einen Datenschutzbeauftragten?

Sind mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, ist ein Datenschutzbeauftragter zu bestellen und der Aufsichtsschutzbehörde anzuzeigen. Für die Zehn-Personen-Regel ist die Zahl der Köpfe, nicht die Zahl der Stellen maßgeblich.

 

  •  Erfüllen Sie die Informationspflichten nach der DSGVO?

Nicht nur Ihre Kunden, Lieferanten etc. sind über die Datenverarbeitung zu informieren. Auch gegenüber Ihren Mitarbeitern besteht diese Verpflichtung.

 

Mit den genannten Themen, die das Erscheinungsbild nach außen betreffen, erschöpft sich der Datenschutz nicht. Weitere Aufgaben auf dem Weg zur Einhaltung der DSGVO sind anzugehen, wie zum Beispiel:

 

  • Umfangreiche Dokumentationspflichten:

Alle Verarbeitungstätigkeiten mit personenbezogenen Daten sind in einem Verarbeitungsverzeichnis zu erfassen.

 

  • Einrichtung sogenannter TOMs

Zur Sicherheit der verarbeiteten Personendaten sind technische und organisatorische Maßnahmen (TOMs) zu ergreifen und zu dokumentieren (Verschlüsselung, Backups, Zugangsberechtigung, Passwörter).

 

  • Auftragsdatenverarbeitung

Zu prüfen ist, ob Auftragsverarbeiter eingeschaltet sind (z.B. IT-Wartung, Cloud-Computing) und ggf. sind entsprechende Auftragsdatenverarbeitungsverträge abzuschließen.

 

  • Wie ist mit Datenschutzverletzungen umzugehen?

 

Die Umsetzung der DSGVO und das BDSG stellt jedes Unternehmen, jede Institution und jede Einzelperson vor eine Herausforderung. Gleichwohl müssen sich die Verantwortlichen mit den Anforderungen der DSGVO vertraut machen, die Datenverarbeitungsvorgänge auf ihre Vereinbarkeit mit der DSGVO überprüfen und dann an die neuen Regelungen anpassen.  

 

Bei der Umsetzung der neuen gesetzlichen Anforderungen beraten wir Sie selbstverständlich gerne.