Wissen teilen

6 Last Minute To Dos zur DSGVO

Am 25. Mai 2018 wird die DSGVO verbindlich. Bis dahin müssen Unternehmen die Vorgaben der Verordnung zum Datenschutz umgesetzt haben. Eine Übergangsfrist wird es nicht mehr geben. Für alle die bisher noch keine Vorbereitungen auf die DSGVO getroffen haben, wird es knapp. Insbesondere wenn bisher das Thema Datenschutz für manche eher wie ein Science-Fiction-Szenario wahrgenommen wurde, dürfte eine abschließende Umsetzung der DSGVO bis zum 25. Mai 2018 nicht mehr realisierbar sein. Die Panik ist groß und überall liest man von regelrechten Weltuntergangsszenarien. Ganze Geschäftsmodelle werden aus Angst vor Abmahnungen und Bußgeldern eingestellt. Dennoch sollte man den Kopf jetzt nicht in den Sand stecken. Die Straußen-Taktik wäre ein großer Fehler. Auch wenn man vermutlich nicht mehr jede Anforderung der DSGVO umsetzen kann, sollte jetzt mit der Umsetzung begonnen werden. So oder so ist Datenschutz kein einmaliger Prozess, sondern ein stetiger Fluss. Hier ein paar Punkte, was man als Unternehmer tun sollte:

 

1. Jetzt handeln

Wer noch keinerlei Vorbereitungen auf die DSGVO getroffen oder das Thema Datenschutz bisher gänzlich ausgeblendet hat, muss jetzt handeln. Es verbleibt kaum noch Zeit.

 

2. Äußere Angriffspunkte beseitigen

Die große Gefahr hoher Bußgelder droht vermutlich nicht sofort, allerdings jene durch Abmahner.
Als Ad-hoc-Maßnahme sollten Angriffspunkte beseitigt werden, die nach außen sofort erkennbar sind. Das ist in erster Linie die Webseite. Hier muss in der Regel zwingend die Datenschutzerklärung angepasst werden, das Kontaktformular geprüft und die Newsletter-Anmeldung überarbeitet werden. Wer noch keine SSL-Verschlüsselung hat, sollte nachbessern. Vorlagen von Datenschutzerklärungen findet man im Netz. Ob diese ausreichend sind und auf den individuellen Einzelfall passen, kann man nicht pauschal beantworten.

 

3. Überblick verschaffen

Bevor es an die Umsetzung von Details geht, sollten sich Unternehmer einen Überblick über das eigene Unternehmen verschaffen. Das umfasst einerseits eine Übersicht über die Prozesse, bei denen personenbezogene Daten verarbeitet werden. Hierbei sollte man neben der Frage, um welche Prozesse es sich handelt auch darauf achten, welche Daten dort verarbeitet werden. Idealerweise schaut man sich im Rahmen dessen auch eingesetzte Software und IT wie Google Analytics auf der Webseite und Cloud-Services an.
Außerdem sollte man die technischen Maßnahmen kennen, die zur Datensicherheit bestehen (Stichwort technischer Datenschutz / technische und organisatorische Maßnahmen (kurz TOM)). Letztlich sollte klar werden, wie viele Personen im Unternehmen personenbezogene Daten verarbeiten (Stichwort Datenschutzbeauftragter).

Folgende Fragen sollten Sie insbesondere im Blick haben

  • Bei welchen Prozessen verarbeite ich personenbezogene Daten (z.B. Internetseite, E-Mail, Personalakte, Bewerbermanagement, Webtracking, Zeiterfassung Mitarbeiter etc.)?
  • Welche technisch organisatorischen Maßnahmen betreibe ich zum Schutz der Daten?
  • Von wem (extern) bekomme ich Daten (z.B. Kunden) und an wen (extern) gebe ich Daten weiter (Dienstleister)?

 

4. Dokumentation der Prozesse

Hat man sich einen ersten Überblick verschafft, sollte man diese Prozesse dokumentieren. Die DSGVO sieht dabei in erster Linie die Pflicht zum Erstellen eines Verarbeitungsverzeichnisses vor. Dort sind alle Tätigkeiten aufzuführen, bei denen personenbezogene Daten verarbeitet werden. Die Anforderungen an das sogenannte Verzeichnis der Verarbeitungstätigkeiten sind in Art. 30 DSGVO geregelt. Dieses Verzeichnis muss fast jeder führen. Die vorgesehenen Ausnahmen sind praktisch nicht relevant.

 

5. Prüfung bestehender Verträge und Beschreibung der technischen und organisatorischen Maßnahmen

Wenn klar ist, von wem man Daten bekommt und an wen man Daten weitergibt, sollte geprüft werden, ob ein sogenannter Auftragsverarbeitungsvertrag notwendig ist. Hier gibt es Muster, u. a. vom bayerischen Landesamt für Datenschutz, an denen man sich orientieren kann, bzw. die man nutzen kann. Man muss hierbei nicht immer gleich zum Rechtsanwalt gehen.
Neben den einzelnen Auftragsverarbeitungsverträgen sollte man seine technischen und organisatorischen Maßnahmen beschreiben und ggf. nachbessern. Nicht jeder benötigt überspitzt ausgedrückt bewaffnetes Sicherheitspersonal vor dem Bürogebäude. Aber wenn die Bürotür nicht mehr abschließbar ist und die Anti-Viren-Software auf dem Rechner das letzte mal 2010 ein Update bekommen hat, hat man vermutlich ein Problem.

 

6. Finale

Wer Webseite, Verzeichnis der Verarbeitungstätigkeiten, Auftragsverarbeitungsverträge und die technischen und organisatorischen Maßnahmen im Griff hat, ist eigentlich schon auf der sicheren Seite.

 

André StämmlerAndré Stämmler ist Rechtsanwalt und Datenschutzbeauftragter (DSB-TÜV). Er studierte zunächst Informatik und anschließend Rechtswissenschaften und befindet sich derzeit im Zulassungsverfahren zur Verleihung des Titels „Fachanwalt für Urheber- und Medienrecht“. Rechtsanwalt Stämmler berät vorwiegend kleine- und mittelständische Unternehmen aus den Bereichen Kreativwirtschaft und IT.

 

Ihr Gastbeitrag auf unserer Webseite?

Falls auch Sie einen spannenden Beitrag für unsere Rubrik “Wissen teilen” einreichen wollen, senden Sie eine E-Mail mit Ihrem Themenvorschlag an info@thueringen-kreativ.de oder rufen Sie an unter 0361 554 675 50.

Top