Das Thema DSGVO wird auch nach dem 25. Mai 2018 nicht vom Tisch sein. Zahlreiche Umfragen und Studien aus dem vergangenen Herbst und Winter lassen den Schluss zu, dass viele Unternehmen die Umsetzung nicht schaffen und weiter daran werden arbeiten müssen. Vor allem kleine und Kleinst-Firmen dürften erst mal abwarten, was nach dem Stichtag passiert: Erfahrungsgemäß wird ja nie so heiß gegessen, wie gekocht wird. Und darauf hoffen, dass die Datenschutzbehörden zunächst mal die Großen unter die Lupe nehmen und gegebenenfalls an ihnen ein Exempel statuieren.
Trotzdem ist es notwendig, dass auch kleine Firmen einige Dinge bis zum Stichtag erledigen, und zwar solche, die die Außendarstellung über die Webseite betreffen. Da sie von jedem eingesehen werden kann, da über die Webseite Kontaktmöglichkeiten mit dem Unternehmen bestehen, ruft die fehlende Übereinstimmung mit den Anforderungen der DSGVO an dieser Stelle ganz schnell Wettbewerbs- und Verbraucherschutzverbände auf den Plan, die dann mit Abmahnungen gegen nicht DSGVO-konforme Angaben auf der Webseite vorgehen können.
Datenschutzerklärung
Zu den Rechten von Personen in der EU gehört laut DSGVO, dass Unternehmen sie umfassend über die Verarbeitung personenbezogener Daten informieren. Dieser Informationspflicht kommen die Firmen mit einer Datenschutzerklärung auf ihrer Webseite nach. Die Anpassung der Datenschutzerklärung an die DSGVO gehört zu den Dingen, die vor dem Stichtag erledigt werden muss. In den meisten Fällen lässt sich das mit wenig Aufwand erledigen: Im Internet finden sich Seiten, auf denen DSGVO-feste Datenschutzerklärungen generiert und unternehmensspezifisch abgeändert werden können.
Kontakt- und Anmeldeformulare
Ein weiterer Punkt, der die Außendarstellung betrifft, sind Kontaktformulare und Newsletter-Anmeldungen. Hier geht es um den Hinweis auf die Datenschutzerklärung und, beim Newsletter, zusätzlich auf die Abmeldemöglichkeit. In beiden Fällen gilt zudem der Grundsatz der Datensparsamkeit: Um beispielsweise einen Newsletter verschicken zu können, braucht es lediglich eine E-Mail-Adresse. Weitere Abfragefelder können entfernt oder als optional markiert werden. Da Newsletter nur an Empfänger verschickt werden dürfen, die in den Erhalt eingewilligt haben, und Unternehmen die Einwilligung im Zweifelsfall nachweisen müssen, geht am Double-Opt-In-Verfahren und der Speicherung der Einwilligungen kein Weg vorbei. Falls die Zeit für die entsprechenden Anpassungen nicht reicht, kann es sinnvoll sein, die Formulare vorübergehend abzuschalten.
Reaktion auf Auskunfts- und Löschanfragen
Die Außendarstellung betrifft auch den Umgang von Unternehmen mit Anfragen und Aufforderungen im Zusammenhang mit Kapitel 3 der DSGVO. Anfragen und Aufforderungen müssen, von wenigen Ausnahmen abgesehen, innerhalb von vier Wochen nach Eingang bearbeitet und beantwortet werden. Hält ein Unternehmen die Frist nicht ein, macht es sich angreifbar. Es muss also sichergestellt werden, dass derartige Anfragen als solche erkannt und bearbeitet werden. Wie der Prozess innerhalb der Firma geregelt ist, ist zweitrangig. Da davon auszugehen ist, dass viele Personen von ihren Rechten Gebrauch machen werden, müssen alle Mitarbeiter wissen, was Sache ist und was sie zu tun haben, falls eine entsprechende Anfrage per Post, telefonisch oder per E-Mail bei ihnen eingeht.
Abmahnungen aufgrund von Fehlern in der Außendarstellung braucht wirklich niemand, zumal sie sich mit überschaubarem Aufwand vermeiden lassen. Die Zeit, das Geld und die Nerven, die es kostet, sich damit zu beschäftigen, sind besser in die Umsetzung der DSGVO investiert, und das noch vor dem 25. Mai 2018.