Datenschutz: Mit fünf Schritten machen Sie Ihr Unternehmen fit

Die Datenschutzgrundverordnung greift seit dem 25. Mai 2018. Fünf Schritte, die aus unserer Sicht besonders wichtig sind.

Erster Schritt: Verfahrensbeschreibungen erstellen

Unternehmen sollten, die wesentlichen Datenverarbeitungen (z. B. Kundendaten/Mitarbeiterdaten) in sogenannten Verfahrensbeschreibungen verschriftlichen. Unternehmen mit mehr als 250 Mitarbeitern sind dazu sogar gesetzlich verpflichtet. Aber auch Unternehmen mit weniger Mitarbeitern sollten entsprechende Verfahrensbeschreibungen erstellen. Auf die Weise ist sichergestellt, dass die Datenströme ordnungsgemäß dokumentiert werden. Die Dokumentation ist wichtig, denn künftig dreht sich die Beweislast bei einer Datenschutzüberprüfung durch Behörden. Nicht die Datenschutzaufsicht muss einen Verstoß nachweisen, sondern das betreffende Unternehmen muss dokumentieren können, dass es alle notwendigen Maßnahmen für den Datenschutz ergriffen hat.

Zweiter Schritt: Einwilligungserklärungen überprüfen und einholen

Einwilligungserklärungen von Kunden überprüfen. Einwilligungen müssen dokumentiert sein und bei der Erteilung der Einwilligung muss der Kunde darauf hingewiesen worden sein, dass seine Einwilligung freiwillig und jederzeit widerruflich ist. Hat die Belehrung in der Vergangenheit gefehlt, ist die Einwilligung unwirksam und muss neu eingeholt werden. Wichtig: Newsletter Werbung ohne wirksame Einwilligung stellt nicht nur einen Datenschutzverstoß dar, sondern zugleich auch einen Wettbewerbsverstoß, der kostenpflichtig abgemahnt werden kann. Für die Onlineeinwilligung hat sich das Doppel-Opt-In-Verfahren bewährt.

Dritter Schritt: Auftragsdatenvereinbarungen regeln

Wenn Personendaten nicht selbst verarbeitet werden, sondern beispielsweise durch eine Agentur oder ein Callcenter, dass im Auftrag des Unternehmens tätig wird, dann ist dazu eine Auftragsdatenvereinbarung erforderlich. Das gilt auch beim Druck und Versand von Werbeflyern. Die meisten Unternehmen verfügen bislang noch nicht über Auftragsdatenvereinbarungen, obwohl das nach bisherigem Recht schon erforderlich war. Vor dem Hintergrund des erhöhten Bußgeldrahmens ist das nun dringend nachzuholen. Viele Auftragsdatenvereinbarungen aus der Vergangenheit genügen auch den neuen Anforderungen nach der Datenschutzgrundverordnung nicht. Entsprechend müssen die Vereinbarungen angepasst werden.

Vierter Schritt: Datenzugriff- und Datensicherheit überprüfen und dokumentieren

Unternehmen sind nicht nur verpflichtet, darauf zu achten, ob Personendaten rechtmäßig erlangt und verarbeitet wurden. Sie sind auch verpflichtet, gänge Datenschutzstandards einzuhalten und das zu dokumentieren. Zu regeln sind beispielsweise Zugriffsrechte, Passwortschutz, Firewalls und Back-Ups gegen Datenverlust. Es genügt nicht, dass die Sicherheitsmaßnahmen vorhanden sind. Diese müssen auch entsprechend dokumentiert werden und auf Anfrage der Datenschutzaufsicht ausgehändigt werden. Die Checkliste, in der die einzelnen Maßnahmen festgehalten werden, wird als TOM bezeichnet, die Abkürzung für technisch-organisatorische Maßnahmen.

Fünfter Schritt: Datenschutzbeauftragten bestellen und benennen

Sobald ein Unternehmen 20 Mitarbeiter hat, die regelmäßig Zugriff auf Kunden- oder Mitarbeiterdaten haben, ist die Bestellung eines Datenschutzbeauftragten zwingend. Sonderregeln gelten für Unternehmen, die mit besonders sensiblen Daten umgehen, beispielsweise mit Gesundheitsdaten. Diese Unternehmen müssen auch bei weniger Mitarbeitern einen Datenschutzbeauftragten bestellen.
Datenschutzbeauftragter kann entweder ein eigner Mitarbeiter sein oder ein externer Beauftragter. Bei Internen ist darauf zu achten, dass Sie selbst nicht Mitglied der Geschäftsleitung sein dürfen und auch nicht Leiter der IT. Der interne oder externe Datenschutzbeauftragte muss dem Landesdatenschutzbeauftragten namentlich genannt werden. Hier finden Sie den Kontakt . Sowohl der interne wie auch der externe Datenschutzbeauftragte müssen eine hinreichende fachliche Qualifikation im Datenschutz besitzen. Bei externen Datenschutzbeauftragten sollten sich die Unternehmen entsprechende Nachweise vorlegen lassen. Bei internen Datenschutzbeauftragten ist auf die entsprechende Schulung zu achten. Eine erste Übersicht an Schulungsanbietern haben wir in einer Linkliste zusammengestellt.
Wichtig: Diese Übersicht ist nur als erster Aufschlag insbesondere für kleine mittelständische Betriebe gedacht. Eine detailliertere Übersicht bietet der Landesdatenschutzbeauftragte in Bayern an.