Kanzlei Lachenmann Onlinerecht IT-Recht

Ist Ihr Unternehmen fit für die DSGVO? – mit Prüfliste

Von RAin Lachenmann | Veröffentlicht: 1. März 2018

Ab 25. Mai 2018 gilt die DSGVO in allen Staaten der Europäischen Union. Sie löst das bisher in Deutschland geltende Bundesdatenschutzgesetz (BDSG) und die vorrangige EU-Datenschutzrichtlinie ab.  Es handelt sich nicht um eine Richtlinie, die von den Staaten erst in nationales Recht umgewandelt werden muss, vielmehr gilt die DSGVO unmittelbar in allen Staaten. Es gibt keine Übergangszeit mehr (diese läuft bereits seit 25.5.2016!). Es drohen bei Nichteinhaltung hohe Bußgelder (bis zu 4 % des Jahresumsatzes oder 20 Millionen). Die DSGVO erweitert für die Unternehmen die bereits bekannten Pflichten, die rechtlichen, betrieblichen und technisch organisatorischen Anforderungen werden wesentlich erhöht. Handeln Sie jetzt!

Von der DSGVO sind nicht nur große Unternehmen betroffen, sondern alle, die personenbezogene Daten verarbeiten: kleine Unternehmen, Onlineshops, Freiberufler, Vereine, Verbände.

Welche Sofortmaßnahmen sind notwendig, um die DSGVO umzusetzen?

In einer Folge werde ich Sie in meinem Blog darüber informieren, was auch kleine und mittelständische Betriebe tun müssen, um die Bestimmungen der DSGVO einzuhalten.

Für wen gilt die DSGVO?

Die DSGVO gilt für ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Aufgepasst! Ausreichend ist ein PC oder ein Karteikartensystem auf Papier!

Was sind personenbezogene Daten?

Nach Art. 4 Abs. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, Kennnummer, Standortdaten, Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Beispiele: Name, Wohnort, Religionszugehörigkeit u. ä. Aufgepasst! Auch eine IP-Adresse gilt heute als personenbezogenes Datum!

Der Begriff der „Verarbeitung“ ist sehr weit gefasst: Darunter fallen das Beschaffen, Sammeln, Speichern, Ändern, Nutzen, Übermitteln, Löschen, Verknüpfen von Daten.

Ergebnis: Wenn Sie Waren oder Dienstleistungen in Deutschland und/oder der EU anbieten und/oder Mitarbeiter in Ihrem Betrieb beschäftigten, ist die DSGVO für Sie anwendbar!

Welche Maßnahmen zur DSGVO sollten Sie sofort ergreifen?

Datenschutz ist Chefsache! Die Geschäftsleitung ist für Einhaltung der DSGVO verantwortlich. Auch wenn Sie einen Datenschutzbeauftragten haben, Sie als Geschäftsführer, Einzelunternehmer sind verantwortlich! Sie als Chef (Geschäftsleitung, Vorstand) müssen dies ausreichend kommunizieren können!

Verschaffen Sie sich im Hinblick auf den Datenschutz einen Überblick, wie in Ihrem Unternehmen mit personenbezogenen Daten umgegangen wird. Dabei ist wichtig, dass die Zuständigkeiten für anstehende Aufgaben eindeutig verteilt werden.

Aufgepasst! Planen Sie ausreichend zeitliche und materielle Ressourcen ein.

Machen Sie eine Bestandsaufnahme, in der Sie festhalten, in welchen Abläufen des Unternehmens oder Vereins personenbezogene Daten verarbeitet werden.

Prüfen Sie, ob ein Datenschutzbeauftragter bestellt werden muss. Das ist nach Art. 37 Abs. 1 DSGVO und § 38 BDSG-neu immer dann der Fall, wenn mindestens 10 Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind. Werden in Ihrem Betrieb besonders sensible Daten (Beispiele: Gesundheitsdaten, religiöse Weltanschauungen, ethnische Herkunft) verarbeitet, ist auch dann ein Datenschutzbeauftragter zu bestellen, wenn die Verarbeitung zu den Kernbereichen des Unternehmens/Vereins gehört und weniger als 10 Personen mit der Verarbeitung zu tun haben.

Wenn Sie zur Erfüllung Ihrer Aufgaben andere Unternehmen eingeschaltet haben (Beispiele: Callcenter, Wartung IT-Einrichtung, Lohn- und Gehaltsabrechnungen, externer Newsletterversender), dann ist es Ihre Pflicht, mit diesen Unternehmen einen Auftragsverarbeitungsvertrag zu schließen. Voraussetzung ist, dass allein das Unternehmen über Zwecke und Mittel der Verarbeitung entscheidet. Also u. B. nicht, wenn ein Steuerberater beauftragt wird.

Die Verarbeitung der personenbezogenen Daten muss rechtlich zulässig sein. Können Sie die Zulässigkeit nachweisen? Grundsatz: Die Verarbeitung ist verboten, wenn sie nicht erlaubt ist. Die Erlaubnistatbestände sind in Art. 6 DSGVO normiert. Die Verarbeitung ist nur erlaubt, wenn die betroffene Person eine Einwilligung gegeben hat, das Unternehmen die Daten zur Vertragserfüllung benötigt (Beispiel: Zur Versendung einer Ware benötigt das Unternehmen die Adresse des Kunden) oder zur Wahrung berechtigter Interessen des Verantwortlichen (Beispiel: Verarbeitung für Direktwerbung, Auswertung der Kundendaten), falls das Interesse des Betroffenen nicht überwiegt.

Aufgepasst! Die Verarbeitung ist nur zu einem vorher festgelegten Zweck zulässig! Stellen Sie sicher, dass Sie die Daten nur zu diesem Zweck verarbeiten. Wenn die Speicherung nicht mehr erforderlich ist, z.B. nach Ablauf steuerrechtlicher Aufbewahrungsfristen, sind die Daten zu löschen oder so zu ändern, dass kein Personenbezug mehr hergestellt werden kann.

Darüber hinaus müssen die Daten richtig sein (sachlich und auf dem neuesten Stand!). Stellen Sie sicher, dass die Daten Ihrer Mitarbeiter, Kunden, Vereinsmitglieder aktuell sind (Bespiel: Ein Vereinsmitglied heiratet und teilt Ihnen die Namensänderung mit).

Neu in der DSGVO ist die Rechenschaftspflicht! Sie müssen die datenschutzrechtlichen Vorschriften nicht – wie bisher – nur einhalten, sondern deren Einhaltung auch nachweisen können.  Was bedeutet das? Die Datenschutzbehörden können vom Unternehmer verlangen, dass er in einer schriftlichen Dokumentation nachweist, welche personenbezogenen Daten er von Mitarbeitern, Kunden, Lieferanten oder Vereinsmitgliedern verarbeitet, zu welchem Zweck diese gespeichert werden und wie lange die Speicherung vorgesehen ist.

Erstellen Sie ein Verzeichnis Ihrer Verarbeitungstätigkeiten

Fragen? Ich berate Sie gerne – auch in Ihrem Unternehmen – Ihren Verein

Dieser Beitrag wurde in Blog, Datenschutzrecht veröffentlicht. Ein Lesezeichen auf das Permalink. setzen. Sowohl Kommentare als auch Trackbacks sind geschlossen.