Für die Umsetzung der DSGVO bleiben gerade noch vier Monate. Allerdings haben viele Klein- und Kleinstbetriebe noch nicht einmal damit angefangen. Umso mehr kommt es jetzt darauf an, das Richtige zu tun. Und das Richtige heißt in diesem Fall, die Dinge zu vermeiden, die Ihnen böse auf die Füße fallen, sprich: richtig teuer werden können.
- Datenschutzbeauftragter
Prüfen Sie, ob Sie einen Datenschutzbeauftragten bestellen müssen. Das neue Bundesdatenschutzgesetz (BDSG-neu), genauer das „Datenschutzanpassungs- und Umsetzungsgesetz“, das Teilbereiche der DSGVO konkretisiert und zusammen mit ihr in Kraft tritt, verpflichtet laut § 38 BDSG-neu alle Unternehmen dazu, „soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“. Ohne Datenschutzbeauftragten geht es unabhängig von der Anzahl der Mitarbeiter nicht bei Firmen, die Daten verarbeiten, die einer Datenschutz-Folgenabschätzung unterliegen oder die „Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung“ verarbeiten. Das Unternehmen muss die Kontaktdaten des Datenschutzbeauftragten veröffentlichen und sie bei der Aufsichtsbehörde angeben, denn zu seinen Aufgaben gehört die Funktion einer Schnittstelle zwischen Unternehmen und Behörde.
Auch wenn Ihr Unternehmen keinen Datenschutzbeauftragten bestellen muss, sollten Sie einen engagieren. Er bringt Erfahrung und Routine mit und stellt sicher, dass Sie bei der Umsetzung der DSGVO nichts Wichtiges vergessen oder übersehen. Fragen Sie Ihr Systemhaus, ob es die Dienstleistung „Datenschutzbeauftragter“ anbietet.
- Verzeichnis der Verarbeitungstätigkeiten
Das Verzeichnis müssen Unternehmen der Datenschutzbehörde auf Nachfrage vorlegen können, und in dem Fall sollten Sie liefern können. Welche Unternehmen genau betroffen sind, geht aus Artikel 30 der DSGVO und den „Erwägungsgründen“ nicht ganz klar hervor – Firmen ab 250 Mitarbeitern oder doch fast alle. Der Bundesverband der Datenschutzbeauftragten (BvD) erläutert im Paper „Hinweise zum Verzeichnis der Verarbeitungstätigkeiten, Art. 30 DS-GVO“ die Ausnahmen von der 250-Mitarbeiter-Regel und kommt zum Schluss, „dass die Ausnahmen nur selten greifen werden, so auch die Auffassungen der bisher veröffentlichten Literatur.“ Wenn Sie also eines brauchen oder wissen wollen, was hineingehört: Der BvD hilft mit Links zu passenden Vordrucken.
- Webseite und Social Media
Beim Webauftritt müssen Sie folgendes beachten, unabhängig davon, ob Ihr Unternehmen eine Info-Seite oder einen Webshop betreibt:
- Eine DSGVO-konforme Datenschutzerklärung ist Pflicht. Im Internet gibt es Generatoren für Datenschutzerklärungen, mit denen Sie eine passend für die Funktionen Ihrer Seite zusammenstellen können. Hier finden Sie ein Beispiel. Nicht konforme Erklärungen sind ein gefundenes Fressen für alle, die mit Abmahnungen Geld machen wollen.
- Generieren Sie Daten über Ihre Webseite, beispielsweise über ein Kontaktformular oder eine Newsletter-Anmeldung? Dann kommt der Grundsatz der „Datensparsamkeit“ zum Tragen: Die personenbezogenen Daten müssen entsprechend Artikel 5 der DSGVO „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“. Für einen Newsletter brauchen Sie bei Licht besehen nicht mehr als die E-Mail-Adresse. Stellen Sie sicher, dass die Formulare angepasst werden und dass Daten, die nicht mehr benötigt werden, so gelöscht werden, dass sie nicht wieder herstellbar sind.
- Verträge mit Auftragsverarbeitern anpassen
Zu den Auftragsverarbeitern Ihrer Firma gehört der Cloud-Anbieter genauso wie die Agentur, die den Newsletter an Ihre Kunden versendet. Gemäß Artikel 28 der DSGVO hat das Unternehmen dafür zu sorgen, dass die Dienstleister „hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet“. Entscheidend dabei: Die Verantwortung für die Daten bleibt beim Unternehmen.
Hier müssen Sie zwei Aspekte beachten:
- Der Vertrag mit dem Dienstleister muss den in Artikel 28 genannten Anforderungen entsprechen. Sie müssen also die bestehenden Verträge prüfen und anpassen. Hilfestellung gibt der Branchenverband Bitkom mit Hinweisen und einem Muster für eine Anlage zu Verträgen der Auftragsverarbeitung.
- Sie sollten dem Dienstleister keinesfalls wahllos Daten übermitteln, in der Annahme, er werde sich schon die richtigen raussuchen, sondern lediglich die, die er zur Erledigung seiner Aufgabe benötigt – also auch hier wird der Grundsatz der Datensparsamkeit eingefordert. Was nicht passieren darf, zeigt der Fall des Inkassounternehmens Eos.
- Technisch aufrüsten
Virenschutz und Firewall hat inzwischen selbst die kleinste Firma. Aber viele denken nicht daran, dass Unbefugte auch auf anderem Weg Zugriff auf personenbezogene Daten bekommen können und Ihre Mitarbeiter ebenfalls eine Bedrohung für die Daten darstellen. Neben den Basis-Lösungen sollten Sie über Verschlüsselung, Zugriffsbeschränkung und Data Loss Prevention nachdenken. Verschlüsselung ist die einzige Schutztechnologie, die in der DSGVO genannt wird, sonst heißt es immer nur „Stand der Technik“. Was es damit auf sich hat, hat der Bundesverband IT-Sicherheit Teletrust in einer Handreichung zusammengestellt. Mit einer DLP-Lösung, die es auch für kleine Unternehmen gibt, sind Sie in mehreren Punkten auf der sicheren Seite. Sie verhindert mit den passenden Einstellungen, dass personenbezogene Daten außer Haus gelangen, sie protokolliert die Datentransfers und stellt dadurch Nachweisbarkeit sicher und sie verschlüsselt die Daten, die auf USB-Sticks transportiert werden müssen.
Weitere Hilfen für die Umsetzung der DSGVO, auch für KMU, finden Sie bei Ihren Branchenverbänden und Ihrer IHK, dem Bitkom, den Datenschutzbehörden, dem bereits genannten BvD und weiteren. Hinweise und Vordrucke gibt es beim BvD auch im Blog, beispielsweise für die Umsetzung der DSGVO in Arztpraxen. Das Bayerische Landesamt für Datenschutzaufsicht, die Behörde, die in Bayern ansässige Unternehmen bei einem Datenvorfall informieren müssen, bietet ein Tool an, mit dem Unternehmen ihren Status selbst einschätzen können. Sie müssen also das Rad nicht für jeden Handgriff neu erfinden.