Am 25. Mai dieses Jahres ist es soweit, die DSGVO (Datenschutz-Grundverordnung) tritt in Kraft. Durch die neue Verordnung sollen persönliche Daten von Kunden und Mitarbeitern besser geschützt werden und Unternehmen können mit hohen Strafen rechnen, falls sie sich nicht an die DSGVO halten. Wir zeigen Ihnen, welche Maßnahmen Sie ergreifen sollten, um Strafen durch die DSGVO zu vermeiden.
Autor: Roman Isheim, 27.03.2018, Thema: DSGVO
Kurznavigation in diesem Beitrag:
Seite 1 Beitrag / Diskussionsgrundlage
Seite 2 Am nächsten persönlichen Erfahrungsaustausch teilnehmen
Seite 3 Kostenloses PDF-Angebot zum Artikel
Seite 4 Personalbedarf oder Jobsuche melden
Seite 5 Artikel mitgestalten, Fragen stellen, Erfahrungen teilen
DSGVO – Ein kurzer Überblick
Die Datenschutz-Grundverordnung, kurz DSGVO oder auch GDPR, ist eine vom Europäischen Parlament, dem Rat der Europäischen Union und die Europäische Kommission beschlossene Verordnung. Die konkreten Ziele der DSGVO sind der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten. Was sich genau ändert und was Sie noch wissen sollten, lesen Sie in unserem Artikel GDPR | Datenschutz-Grundverordnung.
Bei Nicht-Einhaltung der DSGVO können Unternehmen mit hohen Strafen rechnen. Die Strafen können sich auf zwei bis vier Prozent des weltweiten Unternehmensumsatzes beziehungsweise auf 10 bis 20 Millionen Euro belaufen. Dies hängt davon ab, was höher ist. Allerdings handelt es sich hierbei um Höchstwerte, die nur in Ausnahmefällen vorkommen. Beim alten Bundesdatenschutzgesetz waren bereits Strafen bis zu 300.000 Euro definiert, jedoch beliefen sich die meisten Bußgelder auf 5.000 bis 6.000 Euro. Die Wahrscheinlichkeit als kleines oder mittelgroßes Unternehmen abgemahnt zu werden ist relativ gering. Insbesondere dann, wenn alle Regeln, die nach außen hin sichtbar sind, einwandfrei eingehalten werden. Dazu zählen das Double-Opt-In bei Newsletter-Anmeldungen, das Widerrufsmanagement für Datenprozesse und die richtige Datenschutzerklärung auf der Webseite. Mit den folgenden fünf Tipps erhöhen Sie Ihre Wahrscheinlichkeit nicht ins Visier der Datenschutzbehörden zu gelangen.
Hinweis: Unsere Berichte sind oft sehr ausführlich. Daher bieten wir an dieser Stelle eine Zusendung des Artikels im PDF-Format zur späteren Sichtung an. Nutzen Sie das Angebot um sich die Praxis-Impulse in Ruhe durchzulesen, Sie können hierfür auch einfach auf das PDF-Symbol klicken.
DSGVO | Die Checkliste
Benennung eines Datenschutzbeauftragten
Für Unternehmen ist es Pflicht einen Datenschutzbeauftragten zu benennen, falls im Unternehmen personenbezogene Daten automatisiert werden. Bei personenbezogenen Daten handelt es sich um alle Informationen, mit denen ein Individuum identifiziert werden kann. Entweder direkt durch Name, Telefonnummer, Bild, Adresse, etc. oder indirekt durch Nutzernamen, Profilbild, IP-Adresse, Cookie-ID, etc. Es handelt sich hierbei in der Regel um Mitarbeiter- und Kundendaten. Bei kleinen Unternehmen ist ein Datenschutzbeauftragter nicht zwingend erforderlich, solange maximal neun Mitarbeiter regelmäßig mit der Verarbeitung personenbezogener Daten zu tun haben. In diesem Fall kann der Geschäftsführer selbst den Datenschutz übernehmen. Wichtig dabei ist zu erwähnen, dass alle Mitarbeiter zu berücksichtigen sind, unabhängig vom Beschäftigungsgrad, also auch Praktikanten, Auszubildende, Teilzeitmitarbeiter oder freie Mitarbeiter.
Festlegung der Prozesse
Es ist ratsam alle mit Datenverarbeitung verbundenen Prozesse zu dokumentieren und falls erforderlich zu optimieren. Vor allem Prozesse, die mit Kunden zu tun haben. Dabei können Sie sich folgende Fragen stellen:
- Wie sieht der Prozess aus, wenn ein Kunde darauf besteht, dass seine Daten gelöscht werden und wer ist dann dafür verantwortlich?
- Wie können Sie Mitarbeiter schulen, damit diese die Prozesse kennen und ausführen können?
- Wie reagieren Ihre Mitarbeiter, wenn ein Kunde auf die Auskunft seiner gespeicherten Daten besteht?
- Wie wollen Sie Kunden über die Verarbeitung ihrer Daten informieren?
- Wie organisieren Sie die Löschprozesse, wenn es keinen Grund der Speicherung mehr gibt?
- Wie gehen Sie mit einem Hackerangriff um?
Verzeichnis der Verarbeitungstätigkeiten
Laut der DSGVO ist jedes Unternehmen dazu verpflichtet, ein sogenanntes Verzeichnis der Verarbeitungstätigkeiten anzulegen. Auch wenn es sich kompliziert anhört, so ist dies lediglich eine simple Tabelle. In dieser wird gelistet wann, warum und wie Daten im Unternehmen erhoben werden. Bei den Daten kann es sich sowohl um Kundendaten wie Namen, Adressen oder Telefonnummern handeln als auch um interne Daten, wie Personaldaten und Daten aus der Lohnbuchhaltung. So eine Tabelle ist meistens ausreichend, außer es handelt sich um ein größeres Unternehmen. Dann sollte ein Projektverantwortlicher ernannt werden, der alle Mitarbeiter, hinsichtlich der Datenverarbeitung befragt. Außerdem muss der Weg der Daten nachgezeichnet werden, von der Erhebung über die Speicherung bis hin zur Nutzung. So ein Verzeichnis ist allerdings nicht erst seit der DSGVO verpflichtend, sondern schon nach dem alten Bundesdatenschutzgesetz. Jedoch haben die wenigsten Unternehmen bis jetzt die Tabelle über Verarbeitungstätigkeiten geführt.
Datenschutz-Folgeabschätzung
Vor allem Arztpraxen oder Versicherungsmakler müssen mit Daten besonders umsichtig umgehen, da es sich dabei um sensible Daten handelt. So muss unter Umständen eine sogenannte Datenschutz-Folgeabschätzung durchgeführt werden. Dies ist für alle Unternehmen verpflichtend, die einer Identifizierung und Kategorisierung der Personen ermöglichen nach Filterkriterien wie Krankheiten, Sexualität, ethnische Herkunft, Finanzen oder politische Einstellung. Der Grund dafür ist, dass die Betroffenen einem erhöhtem Risiko ausgesetzt sind, wenn diese Daten missbraucht werden. Normalerweise sollen die Datenschutzbehörden eine Liste herausgeben, die beschreibt, welche Datenverarbeitungsvorgänge eine Datenschutz-Folgeabschätzung erfordern. Jedoch liegt diese Liste bislang nicht vor, sodass im Einzelfall entschieden werden muss. Das Ziel einer Datenschutz-Folgeabschätzung ist, die Risiken für die Persönlichkeitsrechte der betroffenen Personen zu kennen, um anschließend passende Schutzmaßnahmen treffen zu können.
Dokumentation aller Tätigkeiten
Um Strafen durch die Nicht-Einhaltung der DSGVO zu umgehen, ist es wichtig alle Tätigkeiten zu dokumentieren. Dokumentieren Sie, zu welchem Seminar Ihre datenschutzbeauftragte Person gegangen ist, welche Firewall Sie wann installiert haben oder welche Verträge mit Dienstleistern geschlossen wurden. Denn so besteht noch die Chance für Sie bei Datenlecks oder Verstößen wie Fehlern in der Datenschutzerklärung, ohne Bußgeld davon zu kommen.
Nutzen Sie unsere Experten im Netzwerk
Wenn Sie Fragen haben, so stellen wir gerne die Verbindung zu Experten in unserem Netzwerk her. Einfach folgendes Kontaktformular ausfüllen und wir
