Gesetzliche Vorgabe lässt kein Schlupfloch
Mit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 mussten viele Unternehmen ihre Arbeitsweisen zum Teil erheblich umstellen. Und auch Kleinunternehmer, Existenzgründer und Selbstständige mussten sich um die Umsetzung der DSGVO kümmern. Sie alle sind gefordert, Prozesse auf die neuen datenschutzrechtlichen Standards zu überprüfen und anzupassen. Sie haben zwei Möglichkeiten, die gesetzlichen Anforderungen zu erfüllen: Selber erledigen oder Profi einschalten.
Warum ist die Einhaltung der DSGVO so wichtig?
Grundsätzlich gilt: Die Datenschutz-Grundverordnung betrifft alle Unternehmen, die personenbezogene Daten verarbeiten. Dazu gehört bereits das Versenden von E-Mails an Kunden oder Mitarbeiter, um ein Beispiel zu nennen. Noch immer ist die Angst vor Geldbußen in Millionenhöhe oder vier Prozent des Jahresumsatzes groß. Außerdem haftet die Geschäftsführung für fahrlässige und vorsätzliche Datenschutzverstöße.
Lösung für geringes Budget: Einarbeiten und selbst aktiv werden
Wenn Ihr Budget gering ist und das Unternehmen noch in den Kinderschuhen steckt, zähl jeder Euro. Falls Sie sich für die Do-it-yourself-Variante entscheiden, müssen Sie sehr sorgfältig und umsichtig arbeiten. Letztlich haften Sie für Ihre Angaben und müssen Ihre Prozesse in Sachen Datenschutz transparent und nachprüfbar gestalten.
Das Problem ist, dass es in diesem Bereich eine Reihe von Abmahnern gibt, die sich gezielt die Angaben auf der Website anschauen und nach Verstößen suchen. Wenn Sie sich selbst darum kümmern, sollten Sie auf jeden Fall einen grundlegenden Sicherheitscheck durch einen Fachmann durchführen lassen und für die Erstellung der Datenschutzangaben auf der Website mindestens einen rechtssicheren Generator benutzen. Kostenfreie Generatoren sind meist mit Vorsicht zu genießen, wobei es sicherlich Ausnahmen gibt. Unser Tipp: Suchen Sie nach einem Generator von einer Rechtsanwaltskanzlei, die eine entsprechend zertifizierte Nutzungslizenz vergibt und - ganz wichtig - beantworten Sie jede Frage vollständig und wahrheitsgemäß. Andernfalls kann die generierte Datenschutzerklärung nicht korrekt sein. Eine Option ist der Datenschutz-Generator des Rechtsanwalts Dr. Schwenke, der unter anderem von Spiegel Online empfohlen wird.
Die Datenschutzerklärung ist nicht alles
Neben den entsprechenden Angaben auf der Website fordert die DSVO unter anderem die Anlage eines Verzeichnisses. Aus diesem Verzeichnis muss hervorgehen, welche Daten zu welchem Zweck für welche Dauer gespeichert werden. Auf Verlangen ist das Verzeichnis vorzulegen. Haben Sie ein solches Verzeichnis angelegt? Falls nicht, zeichnen sich Probleme ab. Die DSGVO schreibt nicht vor, wie das Verzeichnis aussehen soll, aber sie schreibt vor, was drinstehen muss. Zum Beispiel gehören die folgenden Angaben dazu:
- Grunddaten zum Unternehmen
- Zuständiger Datenschutzbeauftragter bzw. Person für Datenschutz
- Auflistung der Verarbeitungstätigkeiten
- Angaben zu den einzelnen Verarbeitungstätigkeiten
Das heißt in der Praxis, dass Sie zum Beispiel verzeichnen müssen, in welchem Zusammenhang und wann die Zustimmung zur Speicherung der personenbezogenen Daten erfolgt, welche Rechtsgrundlage dafür gilt, aus welcher Quelle die Daten stammen, welche Informationen Nutzer von Ihnen in Sachen Datenschutz erhalten und noch einiges mehr. Die Erstellung des Verzeichnisses ist aufwändig und es muss turnusmäßig aktualisiert werden.
Der externe Datenschutzbeauftragte entlastet Unternehmen
Die Erfahrung zeigt, dass in Betrieben mit mehreren Beschäftigten keine Kapazitäten für die notwendigen Arbeiten rund um den Datenschutz gegeben sind. Eine andere Lösung muss her und diese findet sich in dem externen Datenschutzbeauftragten (DSB).
Ein DSB erleichtert kleinen und mittleren Unternehmen (KMU) die Arbeit erheblich. Viele Unternehmen haben aktuell keinen DSB bestellt nehmen das Risiko sehenden Auges in Kauf. Wichtig: Eine Pflicht zur Benennung eines Datenschutzbeauftragten besteht für Sie, wenn mehr als 9 Personen Zugriff auf personenbezogene Daten haben oder wenn eine einzige Person Zugriff auf sensible Daten hat. Sensible Daten lassen Rückschlüsse über die ethnische Abstammung oder die politische Meinung zu, geben Auskunft über die Religion oder Weltanschauung, lassen Aktivitäten in Gewerkschaften erkennen oder stammen aus dem Gesundheitssektor. Auch Biometrische Daten sind sensible Daten. Das bedeutet im Ergebnis: Sind Sie zum Beispiel Unternehmens- oder Steuerberater, Arzt oder Rechtsanwalt, dann brauchen Sie wahrscheinlich einen DSB, selbst, wenn Sie alleine arbeiten.
Geben Sie die Verantwortung an einen externen DSB ab
Für die meisten kleinen und mittleren Unternehmen erweist sich ein externer Datenschutzbeauftragter als effektive und wirtschaftliche Lösung – unter der Bedingung, dass sie den Anbieter sorgfältig auswählen. Diese Vorteile bringt ein Externer mit sich:
- umfangreiche rechtliche und technische Fachkunde sowie Zertifizierungen und Schulungen im Datenschutzbereich
- Kosten sind kalkulierbar
- Externe DSB unterstützen auch schon für kleines Geld
- Vertrag nach gesetzlichen Vorgaben kündbar und Bestellung widerrufbar
- Vermittler zwischen Unternehmen und Aufsichtsbehörde
- keine Betriebsblindheit
Aus genannten Gründen ist es oft eine gute Entscheidung, einen externen DSB zu beauftragen.
DataGuard geht die Thematik Datenschutz pragmatisch an
Unsere Komponente DataGuard erledigt sämtliche Aufgaben eines externen Datenschutzbeauftragten - und das ab rund 150 Euro im Monat. Im Team von DataGuard arbeiten TÜV/DEKRA-geprüfte Datenschutzfachkräfte, die inzwischen eine vierstellige Anzahl kleiner und mittlerer Unternehmen bei der Umsetzung der DSGVO betreuen.
Sie haben bei der Komponente DataGuard - Datenschutz die Wahl zwischen 4 verschiedenen Leistungspaketen. Auf Basis der Ergebnisse eines Datenschutz-Audits wird der Experte alle erforderlichen Schritte einleiten, die individuell auf Ihr Unternehmen passen. Sie erhalten regelmäßig die erforderlichen Dokumentationen sowie konkrete Handlungsempfehlungen und eine Unterweisung, um technische und organisatorische Maßnahme in der Firma korrekt umzusetzen.
Unser Tipp: Schalten Sie beim Datenschutz Experten ein, damit es keinen Anlass für vermeidbare und teure Abmahnungen gibt.