Die Datenschutzgrundverordnung (DSGVO) treibt zurzeit viele große Firmen um. Aber auch alle Selbstständigen und kleine Unternehmen sollten sich in diesen Tagen unbedingt ein paar Gedanken über die Umsetzung der DSGVO machen.

Denn – zunächst die „schlechte“ Nachricht: (Nahezu) jedes Unternehmen, gleich welcher Größe, muss die Vorgaben der DSGVO bis spätestens 25. Mai 2018 umsetzen.

Aber – und damit zur guten Nachricht: Die Umsetzung ist bei den meisten Selbstständigen und kleinen Unternehmen mit einem überschaubaren zeitlichen und ggf. finanziellen Aufwand machbar.

Im Folgenden erhalten Sie einige Anregungen und Tipps, wie Sie am besten beginnen, die Vorgaben der DSGVO in Ihrem Unternehmen umzusetzen:

Wissen, worum es überhaupt geht:

Es geht um die „Verarbeitung personenbezogener Daten“ (Art. 1 DSGVO). Das sind alle Daten, die Rückschlüsse auf eine natürliche Person zulassen, also – mit Ausnahme von ganz wenigen, rein betrieblichen oder statistischen Daten – so gut wie alle!

Und was haben Sie damit zu tun?:

Zunächst sollten Sie sich bewusst machen, welche Pflichten Sie im Zusammenhang mit der DSGVO haben. Zu beachten ist hierbei insbesondere die sog. Rechenschaftspflicht, nach der Sie jederzeit in der Lage sein müssen, die Einhaltung der Vorgaben der DSGVO nachweisen zu können. Außerdem sollte Ihnen klar sein, dass Sie bei Verstößen gegen die Pflichten der DSGVO ggf. schadensersatzpflichtig sind und/oder die Aufsichtsbehörde ein empfindliches Bußgeld verhängen kann.

Was ist zu tun?:

1. Schritt – Zunächst sollten Sie alle Datenverarbeitungen akribisch erfassen:

Welche Daten kommen wo an?

Welche Daten werden wie verarbeitet?

Welche Daten werden wo gespeichert?

Welche Daten werden an Dritte weitergegeben?

Welche Daten werden wann gelöscht?

Bei der Erfassung der Datenverarbeitungen kann man sich an einem sog. Verarbeitungsverzeichnis orientieren.

2. Schritt – Verarbeitungsverzeichnis erstellen:

Jeder, der „personenbezogene Daten“ verarbeitet, benötigt ein Verarbeitungsverzeichnis. Es ist sinnvoll, die Erfassung der Datenverarbeitungen (1. Schritt) mit der ersten Erstellung des Verarbeitungsverzeichnisses zu verbinden.

In diesem Verzeichnis müssen alle Verarbeitungen von personenbezogenen Daten enthalten sein. Außerdem müssen der Zweck der jeweiligen Verarbeitung, die Art der personenbezogenen Daten und die möglichen Empfänger der Daten sowie Löschfristen und ggf. weitere Angaben entsprechend dokumentiert werden.

Für die Erstellung eines Verarbeitungsverzeichnisses findet man im Internet inzwischen einige gute Hinweise und Muster, z. B. auf der Website der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK).

3. Schritt – Technische organisatorische Maßnahmen umsetzen und dokumentieren:

Darunter versteht man Maßnahmen, die zur Sicherung der Daten unternommen werden, wie z. B.: Passwörter und Zugangsberechtigungen für Mitarbeiter, Alarmlage und Schlösser, IT-Anlagen und deren Verschlüsselung, Backup der Daten usw. Wenn diese noch nicht vorhanden sind, müssen sie umgesetzt werden. Alle Maßnahmen müssen dokumentiert werden! Auch hierzu finden sich, insbesondere bei den Datenschutzbehörden, sehr gute Checklisten im Internet.

4. Schritt – Prüfen, ob eine Datenschutzfolgenabschätzung (DSF) oder ein Datenschutzbeauftragter nötig sind:

Dies hängt von Art und Umfang der Daten ab, die verarbeitet werden. Ein Beispiel: Betreiben zwei Ärzte eine Gemeinschaftspraxis mit vielen Patienten und verarbeiten damit regelmäßig deren Gesundheitsdaten in erheblichem Umfang, muss für diese Verarbeitung vermutlich eine DSF durchgeführt werden und es muss ein Datenschutzbeauftragter für die Praxis benannt werden.

Bei den meisten Selbstständigen und kleinen Unternehmen, die keine besonders schützenswerten Daten verarbeiten, ist eher keine DSF durchzuführen und auch kein Datenschutzbeauftragter zu bestellen. Im Zweifel sollte man aber lieber bei der zuständigen Aufsichtsbehörde, d.h. der Landesdatenschutzbehörde des Bundeslandes, in dem der Unternehmenssitz ist, nachfragen.

Wichtig: Es ist auf jeden Fall ein Datenschutzbeauftragter zu benennen, wenn mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Entscheidend ist hier allein die „Kopfzahl“, ohne dass es auf eine Stellung der Personen als Beschäftigte ankommt; auch Auszubildende, Praktikanten und freie Mitarbeiter werden jeweils als eine Person gezählt, sobald sie immer wieder mit der Verarbeitung von Daten befasst sind.

5. Schritt – Verträge anpassen:

Wenn Sie sich bei der Datenverarbeitung Unterstützung von anderen Dienstleistern holen wie z. B. Büroservice, Cloud-Anbieter, Hosting-Dienstleister oder ähnliches, müssen Sie mit diesen Verträge über die Auftragsverarbeitung abschließen. Seriöse Anbieter haben in der Regel Muster für solche Verträge, falls nicht, sollte man genauer nachfragen und sich im Zweifel ggf. nach einem anderen Anbieter umsehen.

6. Schritt – Informationspflichten beachten:

Last but not least: Sie haben die Pflicht, alle Personen, deren Daten Sie verarbeiten, über den Umgang mit deren Daten zu informieren. Betroffene Personen können z. B. Ihre Kunden oder Mitarbeiter sein. Besonders wichtig: Die Überarbeitung der Datenschutzhinweise auf der Website! Ihre Website ist Ihr Aushängeschild und jeder kann sie sehen. Insbesondere die Aufsichtsbehörde oder ein Wettbewerber kann die Website sehr einfach überprüfen und feststellen, ob Sie den aktuellen Datenschutzbestimmungen entspricht.

Diese Rechtstipps stellen einen ersten Einstieg und einen groben Überblick über die rechtlichen Regelungen zur Umsetzung der DSGVO dar. Sie erheben keinen Anspruch auf Vollständigkeit und ersetzen in keinem Fall eine auf den Einzelfall zugeschnittene rechtliche Beratung zur Umsetzung der DSGVO. Sollten Sie Interesse an einer entsprechenden Beratung oder der Begleitung bei der zur Umsetzung der DSGVO haben, können Sie gerne einen Termin für ein persönliches Gespräch mit mir vereinbaren.