Am dem 25. Mai 2018 müssen Unternehmen die neue EU-Datenschutzgrundverordnung umgesetzt haben – sonst drohen teilweise empfindliche Strafen. Die Regelungen gelten für alle Unternehmen, damit auch für Existenzgründer. Was und in welchem Umfang getan werden muss hängt jedoch davon ab, ob und in welchem Umfang personenbezogene Daten im Unternehmen erhoben und verarbeitet werden.

Dieser Beitrag soll kurz und knapp einen Überblick über die wichtigsten Anforderungen aufzeigen und ersetzt keinesfalls eine ggf. weiterführende Rechtsberatung zu diesem Thema!

1. Pflicht zur Dokumentation

Dies betrifft alle Unternehmen – die Regelungen zum Datenschutz müssen dokumentiert werden und im Falle einer Prüfung nachweisbar sein. Je nach Größe des Unternehmens kann dies einen erheblichen Mehraufwand bedeuten.

2. Pflicht zur Bestellung eines Datenschutzbeauftragten

Für die meisten Existenzgründer wird es nicht erforderlich sein, einen Datenschutzbeauftragten zu bestellen und diesen der Aufsichtsbehörde mitzuteilen.  Dies ist jedoch erforderlich, wenn im Unternehmen mindestens 10 Mitarbeiter regelmäßig personenbezogene Daten verarbeiten oder wenn beispielsweise Überwachungstechnik wie Kameras eingesetzt werden. Stets ist es jedoch erforderlich, einen Verantwortlichen für das Thema Datenschutz zu bestimmen. Gerade bei kleinen Unternehmen wird dies der Inhaber sein.

3. Erstellung eines Verarbetungsverzeichnisses

Dies ist nicht immer Pflicht, wird nach § 30 DSGVO aber empfohlen. Listen Sie auf, welche personenbezogenen Daten von Ihnen erhoben werden, wie diese gespeichert werden und ob diese ggf. an Dritte weitergegeben werden. Dies ist zum Beispiel schon dann der Fall, wenn ein Kunde das Kontaktformular Ihrer Webseite ausfüllt oder wenn Kundendaten in einer Datenbank oder einem CRM-System gespeichert werden. Achtung, auch die personenbezogenen Daten von Mitarbeitern fallen unter diese Regelung!

4. Risikobewertung und Datenschutzfolgeabschätzung

Erfasste Daten unterliegen dem Risiko, dass sich Unbefugte Zugriff verschaffen, oder aber dass Daten verloren gehen oder versehentlich / mutwillig gelöscht oder verändert werden. Diese Risiken sind zu erfassen und zu bewerten. Beispiele: Wie hoch ist das Risiko, dass sich Unbefugte Zugang zu meinen Geschäftsräumen und damit meinen Kundenordnern und meinem Rechner verschaffen? Wie hoch ist das Risiko, dass mein Webshop gehackt wird und damit kundenbezogene Daten wie Bankverbindungen etc. nach außen gelangen?

5. Festlegung von technischen und organisatorischen Maßnahmen (TOMs)

Sofern in der Risikobewertungen Risiken identifiziert wurden, müssen Maßnahmen ergriffen werden, um Datenschutz und Datensicherheit zu gewährleisten. So sollen Daten regelmäßig gesichert werden, um sie vor Verlust oder Veränderung zu schützen. Wenn personenbezogene elektronisch übertragen werden (z.B. beim Ausfüllen eines Kontaktformulars) darf dies nur verschlüsselt erfolgen. EDV-Technik ist genauso wie Büroräume vor unberechtigtem Zugriff zu schützen. Je nach Umfang der eigesetzten Technik kann der Aufwand dafür gering oder sehr hoch sein.

6. Wahrung der Betroffenen-Rechte

Betroffene, von denen ich personenbezogene Daten speichere, haben das Recht auf Auskunft, auf Berichtigung, auf Löschung sowie auf Vergessenwerden, auf Einschränkung der Bearbeitung und auf Übertragbarkeit ihrer bei mir gespeicherten Daten sowie auf Widerruf einer einmal erteilten Einwilligungserklärung zur Datenverarbeitung. Im Unternehmen muss ein Prozess implementiert werden, der diese Rechte gewährleistet, beispielsweise sollten Mitarbeiter wissen was sie zu tun haben, wenn ein Kunde die Löschung seiner Daten verlangt.

7. Einwilligung der Betroffenen

Immer wenn ich personenbezogene Daten erhebe, muss hierfür eine Einwilligung der Betroffenen vorliegen. Das Unternehmen muss nachweisen können, dass diese Einwilligung erteilt wurde. Daher muss geprüft werden, wann und wo im Unternehmen Daten erhoben werden (im Webshop, im Kontaktformular, bei Vertragsabschluss, …) und an dieser Stelle eine vorformulierte Einwilligungserklärung eingefügt werden.

8. Unterrichtung der Betroffenen

Betroffene müssen über ihre Pflichten (siehe oben), ihr Widerrufsrecht, den Verantwortlichen für Datenschutz im Unternehmen, welche Daten wie lange bei mir gespeichert werden, ob sie an Dritte weitergegeben werden  etc. informiert werden. Sinnvollerweise erfolgt dies in Zusammenhang mit der oben stehenden Einwilligungserklärung.

9. Notfallplan bei Datenschutzverletzungen

Kommt es zu einer Datenschutzverletzung (ihr Webshop wurde angegriffen und Kundendaten gestohlen) muss ein Notfallplan existieren, wie in diesem Fall zu verfahren ist.

10. Unterweisung der Mitarbeiter

Beschäftigt ihr Unternehmen Mitarbeiter, müssen diese auf Einhaltung des Datenschutzes geschult werden. Lassen Sie sich von den Mitarbeitern auch schriftlich bestätigen, dass diese Kenntnis von den erforderlichen Maßnahmen haben.

Wir möchten noch einmal ausdrücklich darauf hinweisen, dass dieser Beitrag nur einen ersten, groben Überblick über die Pflichten aus der DSGVO vermitteln soll. Weder erhebt dieser Beitrag Anspruch auf Vollständigkeit noch entbindet es von der Pflicht, sich tiefergehend mit diesem Thema zu beschäftigen. Nutzen Sie beispielsweise die Informations- und Schulungsangebote der IHKs oder HWKs und ziehen Sie gegebenenfalls einen Experten zu Rate.