Nun ist sie also gültig, die viel gefürchtete DSGVO, die bereits seit 25. Mai 2016 in Kraft getreten ist und mit einer Vorbereitungszeit von zwei Jahren nunmehr „quasi über Nacht“ von allen Unternehmen/Vereinen, seien sei noch so klein, beachtet werden müssen. Hohe Bußgelder drohen, die Datenschutzbehörden haben ihren Personalbestand massiv aufgestockt, Abmahnvereine und die „bösen Abmahnanwälte“ sitzen in den Startlöchern.

Große Unternehmen/Vereine haben die 2 Jahre seit Inkrafttreten der DSGVO genutzt und sind (überwiegend) mit den wichtigsten „Hausaufgaben“ fertig. Maßnahmen zur DSGVO-Umsetzung sind insbesondere folgende:

1. Datenschutzerklärung sind an die Normen der DSGVO angepasst und für Website und/oder Onlineshop online
2. Datenschutzhinweise für „Offline-Kunden“ /neue Vereinsmitglieder sind geschrieben und können vor Vertragsunterzeichnung vorgelegt werden
3. Auf allen E-Mails (auch Antwort- und Bestätigungsmails) sind die Datenschutzhinweise verlinkt bzw. hängen als PDF-Datei an
4. Verfahrensverzeichnisse für jeden Datenverarbeitungsvorgang (z.B. Kunden/Mitglieder, Mitarbeiter, E-Mail-Verkehr, Lieferanten etc.) sind geschrieben
5. Unternehmensrichtlinie ist erarbeitet (wer was wann wo im Betrieb hat Zugang/Zugriff auf welche Daten, wie wird im Betrieb mit dem Datenschutz umgegangen)
6. Technische und Organisatorische Maßnahmen (TOMs) sind ergriffen und dokumentiert
7. Auftragsverarbeitungsverträge (z. B. IT-Hoster, IT-Dienstleister, Cloud-Anbieter, externe Lohnbüros, externer Newsletterversand) sind an die DSGVO angepasst bez. neu geschlossen
8. Datenschutzbeauftragter ist gefunden und bestellt (ab 10 Mitarbeitern, die mit der Datenverarbeitung in Berührung kommen oder Betriebe/Vereine, deren Kerntätigkeit darin besteht, besonders sensible Daten – wie Gesundheitsdaten, religiöse oder über strafrechtliche Verurteilungen – zu verarbeiten
9. Mitarbeiterschulungen haben stattgefunden, Mitarbeiter sind auf den Datenschutz verpflichtet
10. Datenschutzfolgenabschätzung hat stattgefunden
11. Antworten auf ev. Betroffenenanfragen, welche Daten verarbeitet werden, sind vorbereitet
12. Löschungsfristen sind notiert – Überprüfungszyklus für die Löschfristen ist eingerichtet
13. Bei Datenschutzverletzungen können Behörden innerhalb von 72 Stunden benachrichtigt werden
14. Die Beschränkungen des Datentransfers in Drittländer werden beachtet

Was? Sie haben sich noch nicht mit der DSGVO beschäftigt? Sie sind zwar nicht allein, Sie sollten aber sofort mit der Umsetzung in Ihrem Betrieb/Verein beginnen!

Sofortmaßnahmen zur Umsetzung der DSGVO:

• Datenschutzerklärungen anpassen bzw. erstellen
• Passwortschutz am PC einrichten
• Zugriffsschutz für persönliche Passwörter beachten
• Unter Verschluss halten von Unterlagen mit personenbezogenen Daten
• Abschließen von Büroräumen
• Nutzung des Reißwolfs – besondere Verhältnisse für zu vernichtende Unterlagen (Auftragsverarbeitungsvertrag mit Firma schließen’)
• Gesicherte VPN-Verbindung unterwegs
• Neue Prozesse vorab mit dem Datenschutzbeauftragten (DSB) abstimmen

Wird die DSGVO so heiß gegessen, wie sie gekocht wurde?

Die Datenschutzbehörden ließen zwar verlauten, dass Bußgelder nicht so schnell verhängt werden, wenn sie feststellen, dass die Betriebe/Vereine sich mit dem Thema DSGVO beschäftigt und Vorkehrungen getroffen haben, aber noch nicht fertig sind – aber: Wie lange dauert die Schonfrist?

Viele Fragen sind bei der Umsetzung der DSGVO offen, sie enthält eine Vielzahl von „unbestimmten Rechtsbegriffen“, die in den nächsten Monaten/Jahren von den Gerichten entschieden werden.

Aber: Nichts tun kann teuer werden – 4 % vom Jahresumsatz oder bis zu 20 Millionen Bußgelder bei Verstößen – abgesehen von privaten Abmahnvereinen, die – was zu fürchten ist – sich besonders kleine Unternehmen vornehmen werden.

Handeln Sie also jetzt!

Fragen? Ich berate Sie gerne!