Datenschutz (EU-DSGVO, BDSG-neu) – last minute To Do’s

Gepostet am 18.04.2018 in News

Die Datenschutzgrundverordnung – last minute

Die mediale Aufmerksamkeit zum Thema Gesetzesnovelle im Datenschutz ist ungebrochen. Was Sie jetzt noch schnell tun können, um das unternehmerische Risiko bzw. Ihre Angriffsfläche zu reduzieren, will ich in den folgenden Zeilen verraten.

(c) CC0 – TheDigitalArtist @pixabay.com

Das Risiko des Unternehmers

Bisher konnten die noch immer gut belasteten Aufsichtsbehörden bei formalen Verstößen gegen das BDSG Bußgelder verhängen. Eine Datenschutzverletzung war und bleibt strafbewehrt und führt ggf. zu Schadensersatzansprüchen.

Zukünftig ist der Bußgeldkatalog deutlich umfangreicher und nennt wesentlich höhere Bußgelder. Neben den Aufsichtsbehörden, die aufgefordert sind, zukünftig deutlich mehr zu kontrollieren, wird aber auch der Weg für Abmahnungen geebnet.

Am 25.05.2018 gilt quasi über Nacht die neue Rechtslage. Tipp: Es herrscht die Meinung, dass Sie schon heute Verträge und Vereinbarungen auf das zukünftige Recht lautend einsetzen, nutzen und zeichnen können.

Was kann realistisch in der verbleibenden Zeit noch gemacht werden

  • Bringen Sie die Datenschutzerklärungen auf Ihren Webseiten auf aktuellen Stand. Dabei können im ersten Schritt online verfügbare Datenschutz-Generatoren helfen. Stimmt die Datenschutzerklärung inhaltlich und formal, ist den potentiell Abmahnenden der Wind aus den Segeln genommen und auch die Aufsichtsbehörden haben eine einfache Prüfung weniger, die Erfolg verspricht. Das kostet vielleicht eine Stunde.
  • Aktivieren Sie die verschlüsselte (SSL/TLS) Auslieferung Ihre Webseite auf jeden Fall, sobald Sie ein Kontaktformular oder ähnliche Eingabemöglichkeiten einsetzen. Auch ohne den Bezug zur Übermittlung von personenbezogenen Daten, werden die Browser in naher Zukunft unverschlüsselte Webseiten negativ markieren. SSL-Zertifikate gibt es unter Umständen kostenlos und können oft leicht implementiert werden.
  • Melden Sie Ihren Datenschutzbeauftragten der Aufsichtsbehörde oder seien Sie auf die Frage vorbereitet, warum Sie keinen haben. Es ist ein Leichtes für die Behörden, gemeldete Mitarbeiterzahlen mit der Mitarbeitergrenze zur Berungungspflicht eines Datenschutzbeauftragten abzugleichen. Natürlich können Sie unter den richtigen Voraussetzungen auch 10 oder mehr Mitarbeiter ohne Datenschutzbeauftragten beschäftigen, Sie sollten nur die Frage nach dem Warum sachlich korrekt beantworten können. Hier kann Ihnen ein Datenschutzfachmann sicher schnell Auskunft geben.
  • Prüfen Sie, ob Sie Ihre Mitarbeiter wirksam zur Einhaltung der Datenschutzgesetze unterwiesen haben. Es empfiehlt sich, bestehende Geheimhaltungs- und Datenschutzverpflichtungen an die neue Rechtslage anzupassen, auch wenn noch Unsicherheit herrscht, ob die alten Datenschutzerverpflichtungen weiterhin Bestand haben. Muster dazu sind leicht aufzufinden. Auch hier ist innerhalb einer Stunde viel erreicht.
  • Überlegen Sie, welche Ihrer Dienstleister und Kunden Zugriff auf personenbezogene Daten ihrer Mitarbeiter oder Interessenten und Kunden haben könnten. Schließen Sie mit diesen je eine individuelle Vereinbarung zur Auftragsverarbeitung (AV). Diese kontrolliert die Aufsichtsbehörde sicher dann, wenn Sie bei den ersten beiden Punkten auf Granit beißt. Denken Sie dabei daran, dass z.B. eine IP-Adresse als personenbezogenes Datum gilt und Sie eine AV mit Ihrem Webseitenhoster schließen sollten. Auch die mögliche Dokumenteneinsichtnahme durch z.B. Reinigungspersonal gilt als Datenverarbeitung – auch hier eine AV platzieren. Lohn-/Steuerbüros, IT-Dienstleister, ggf. Marketingdienstleister usw. sind alles Adressaten für eine solche AV. Zur AV (nicht ADV, veraltet) gibt es Vorlagen oder Ihr Dienstleister hat sogar selber schon etwas vorbereitet – fragen Sie zuerst dort nach.

Das ist aber noch kein fertiges Datenschutzmanagement

Es gibt deutlich mehr zu tun, wenn man den Datenschutzgesetzen Folge leisten möchte. Die oben aufgeführten Hinweise wirken aber gegen Abmahnungen und oberflächliche Stichprobenprüfungen sicherlich schon gut. Man könnte sagen, mit 20% der zu erledigenden Pflichten hat man 80% des Risikos minimiert.

Das kann und will ich aber so nicht stehen lassen, denn mit den bis hierher erwähnten Schritten ist nicht viel zum Schutz der personenbezogenen Daten in Ihrem Unternehmen getan oder dokumentiert, was das eigentliche Anliegen der Datenschutzgesetzgebung ist. Wir haben nur die Angriffsfläche gegenüber den Augen Dritter verringert.

Spätestens jetzt sollten im Unternehmen die datenverarbeitenden Prozesse dokumentiert werden. Sicherlich fragt eine Aufsichtsbehörde anlassbezogen das Verzeichnis der Verarbeitungstätigkeiten ab. Zusätzlich haben Unternehmer die Pflicht die getroffenen organisatorischen und technischen Maßnahmen zum Schutz der personenbezogenen Daten zu dokumentieren und zu prüfen. Um das alles korrekt zu erledigen, und vor allem zu bewerten, bedarf es dann doch etwas Fachkunde – auch hier können Externe helfen.

Etwas Gutes bleibt doch

Sie können auch jetzt noch etwas tun. Und: Sie schützen damit nicht nur die personenbezogenen Daten von Mitarbeitern, Interessenten und Kunden sondern durch das Treffen bzw. Prüfen der Schutzmaßnahmen auch Unternehmensdaten.

Die dabei entstehende Dokumentation kann für QM, Zertifizierungen und dergleichen auch sinnvoll sein.