Seit 25. Mai ist die DSGVO nun rechtskräftig. Doch noch immer ist sich nicht jeder Betrieb über die Anforderungen im Klaren. Wer die neuen Regelungen nicht beachtet und alles beim Alten lässt, läuft Gefahr, hohe Strafen und Sanktionen zu kassieren – und dies gilt für alle Betriebsgrößen. Deshalb ist es jetzt höchste Zeit, tätig zu werden. Dazu hier die wichtigsten Punkte:
Erstellung eines Verarbeitungsverzeichnisses
Erster Schritt zur Erfüllung der Anforderungen der DSGVO sollte die Erstellung eines Verarbeitungsverzeichnisses sein, das Sie auf Nachfrage einer Aufsichtsbehörde vorzeigen können. Und das geht nicht erst, wenn die Anfrage bei Ihnen eingeht. Im Verzeichnis müssen alle Prozesse, bei denen personenbezogene Daten gespeichert und verarbeitet werden, genauestens dokumentiert werden. Denn im Fokus der DSGVO steht die Datensparsamkeit. Demnach sollen nur diejenigen persönlichen Daten erfasst werden dürfen, die für die Erbringung einer Leistung tatsächlich erforderlich sind. Für Sie als Betrieb heißt es deshalb: weg von der Datensammelflut hin zur bedarfsgerechten Erhebung von Daten.
Personenbezogene Daten schließen alle Informationen ein, die einen direkten oder indirekten Bezug zu einer Person aufweisen. Hierzu zählen etwa Name, Adresse, Kundennummer, Geburtsdatum, Bankverbindung, Telefonnummer und E-Mail-Adresse. Jeder soll selbst bestimmen, wofür seine persönlichen Daten verwendet werden, und wissen, wo was hinterlegt ist.
Für die Dokumentation dieser Daten gibt es viele Möglichkeiten, die von bequem bis aufwendig reichen. Sie können selbst eine Excel-Tabelle erstellen und pflegen, Sie können eine der unzähligen kostenfreien Mustervorlagen aus dem Internet herunterladen, Sie können jedoch auch auf eine kostenpflichtige Komplettlösung von professionellen Anbietern setzen.
Datenschutzbeauftragten bestellen
Besonders die Frage nach einem Datenschutzbeauftragten sorgt oft für Verunsicherung. Grundsätzlich müssen Unternehmen mit mehr als neun Mitarbeitern einen Datenschutzbeauftragten bestellen. Doch das entscheidende Kriterium für einen Datenschutzbeauftragten ist, ob die Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Mitarbeiter, die in erster Linie mit anderen Aufgaben betraut sind und nur völlig untergeordnet mit den personenbezogenen Daten umgehen, sind nicht zu berücksichtigen. Dazu zählen beispielsweise auch Monteure.
Ein Datenschutzbeauftragter überwacht die Einhaltung der DSGVO und anderer Vorschriften über den Datenschutz. Er muss dafür sorgen, dass die Datenverarbeitungsprozesse ordnungsgemäß angewendet werden. Ferner gehört es zu seinen Aufgaben, die Mitarbeiter und die Unternehmensleitung in Fragen der ordnungsgemäßen Verarbeitung personenbezogener Daten zu beraten. Darüber hinaus ist er Anlaufstelle für die Aufsichtsbehörde, wenn diese Auskunft über die Verarbeitung der personenbezogenen Daten im Unternehmen haben möchte.
Einwilligungen einholen
Mit dem Start der DSGVO benötigen Unternehmen für jede Datenverarbeitung eine Einwilligung. Das schließt das Erheben, Speichern und Nutzen von persönlichen Daten ein. Sie sollten daher unbedingt prüfen, wofür Sie noch Einwilligungen benötigen und diese schnell einholen.
Beim Verkauf von Waren oder Dienstleistungen im Handwerk spricht man von der Anbahnung beziehungsweise der Erfüllung eines Vertragsverhältnisses. Hierfür werden verschiedene Informationen über den Kunden benötigt, wie etwa dessen Name, seine Anschrift und die Telefonnummer. Für diese Daten brauchen Sie grundsätzlich keine zusätzliche Erlaubnis zur Erfassung oder Verarbeitung. Für darüber hinausgehende Daten wie die E-Mail-Adresse, das Geburtsdatum oder Interessen, benötigen Sie aber die Einwilligung des Kunden. Darin müssen Sie auch auf das jederzeitige Widerrufsrecht hinweisen. Die Einwilligung kann elektronisch eingeholt werden. Allerdings ist es nicht erlaubt, eine Online-Einwilligungserklärung im Netz mit einem Häkchen zu versehen, sodass der Dateneigentümer in der Praxis der Einwilligung widersprechen und das Häkchen entfernen muss. Außerdem müssen Sie die Einwilligung dokumentieren.
Anspruch auf Auskunft
Kunden können eine Auskunft auf elektronischem Weg verlangen und Anspruch darauf erheben, dass Sie ihnen eine Kopie der erhobenen Daten zur Verfügung stellen. Das Informationsrecht des Dateneigentümers umfasst dabei die Bekanntgabe, woher Sie seine Daten haben, wem die Daten zur Verfügung gestellt wurden, welchen Zwecken die Datenerhebung dient und wie lange die Daten bei der Erstellung eines Kundenprofils gespeichert werden. Ebenso kann der Kunde verlangen, dass Sie seine Daten löschen, korrigieren oder ergänzen.
Datenschutzerklärung aktualisieren
Die meisten Datenschutzerklärungen müssen mit der DSGVO neu aufgesetzt werden und deutlich ausführlicher ausfallen, als das derzeit der Fall ist. Zudem muss über die Verarbeitung personenbezogener Daten informiert werden.
Regelungen für Mitarbeiter
Werden die Daten der Mitarbeiter beispielsweise zur Lohnabrechnung außer Haus gegeben, muss mit dem Empfänger (z. B. dem Steuerberater) ein Dienstvertrag geschlossen werden, der die weitergehende Nutzung der überlassenen Daten ausschließt. Erlauben Sie den Mitarbeitern die private Nutzung der Firmen-PCs, sollten Sie festlegen, inwieweit diese privat genutzt werden dürfen, und dass die Einhaltung dieser Vereinbarungen überwacht werden darf. Wird eine Vereinbarung getroffen, muss diese schriftlich erfolgen.
Zusätzlich müssen Sie die Mitarbeiter auf die vertrauliche Behandlung der erhobenen beziehungsweise verarbeiteten Kundendaten verpflichten. Dies, wie auch eine angemessene Schulung bezüglich der Datenvertraulichkeit, muss unbedingt schriftlich dokumentiert werden.
Das kann teuer werden
Die maximale Geldbuße beträgt bis zu 20 Millionen Euro oder bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes Ihres Unternehmens im vorangegangenen Geschäftsjahr (je nachdem, welcher Wert der höhere ist). Entscheidend ist der Jahresumsatz des Betriebs, nicht der einzelnen juristischen Person. Als weitere Sanktionen drohen die Gewinnabschöpfung und Anordnungen zur Beendigung des Verstoßes wie beispielsweise eine Rüge, die Anweisung, die Datenverarbeitung den gesetzlichen Vorgaben anzupassen, oder ein zeitlich begrenztes bzw. endgültiges Verbot der Datenverarbeitung.
Tipp: Zertifizierung prüfen
Wenn Sie die Regelungen der DSGVO souverän umsetzen wollen, sollten Sie über eine Zertifizierung nachdenken. Während für große Unternehmen die ISO 27001 ideal ist, kommt für Kleinstunternehmen, kleine und mittlere Unternehmen (KMU) beispielsweise die ISIS12-Zertifizierung in Frage. Im Rahmen einer Zertifizierung wird das gesamte Unternehmen auf Datenschutz getrimmt.