Mit der Einführung der Datenschutz-Grundverordnung (DSGVO) in der EU hat sich der Alltag in vielen Unternehmen gewandelt. Viele der vermeintlich „neuen“ Datenschutz-rechtlichen Vorgaben waren aber bereits schon früher in der Gesetzgebung vorhanden. Sie wurden jedoch noch nicht so streng ausgelegt wie heute. In vielen Unternehmen erfolgten bereits teils gravierende Einschnitte und Umstrukturierungsmaßnahmen. Andere müssen noch nachziehen. Aber nur so lassen sich auch im aufreibenden Tagesgeschäft die hohen Anforderungen an den Datenschutz umsetzen.
In diesem Artikel finden Sie knapp zusammengefasst in sieben Punkten die wichtigsten Aspekte, mit denen Sie das Thema Datenschutz in Ihrem Unternehmensalltag optimal umsetzen.
1. Der Datenschutzbeauftragte
In vielen Unternehmen ist der Datenschutzbeauftragte ein wichtiger Ansprechpartner, der bei schwierigen Fragen rund um die Verpflichtungen der DSGVO unterstützend zur Seite steht. Wenn Sie noch keinen haben, stehen Ihnen zwei Möglichkeiten zur Verfügung: Entweder benennen Sie ihn intern oder Sie beauftragen einen externen Dienstleister mit dieser wichtigen Aufgabe.
Beide Vorgehensweisen haben Vor- und Nachteile. So muss ein interner Datenschutzbeauftragter in aller Regel erst umfangreich und mit hohem Aufwand auf diese Aufgabe vorbereitet und geschult werden. Externe Auftragsdienstleister sind dagegen bereits mit dem Thema Datenschutz bewandert, allerdings meist auch sehr teuer.
Ob ein Datenschutzbeauftragter benannt werden muss, hängt zudem von der Unternehmensgröße ab. Früher galt, dass ab zehn Mitarbeitern in Unternehmen, die personenbezogene Daten verarbeiten, ein Datenschutzbeauftragter bestellt werden muss. Zum 26. November 2019 wurde die Untergrenze von 10 Mitarbeitern auf 20 angehoben, um vor allem kleinere Firmen zu entlasten. Das ist aber ein zweischneidiges Schwert. Jedes Unternehmen sollte zumindest über eine Person verfügen, die sich mit der Thematik auskennt. Im schlimmsten Fall drohen sonst hohe Bußgelder, wenn doch wichtige Datenschutz-relevante Pflichten verletzt werden.
Außerdem spielt es keine Rolle, ob die Mitarbeiter „nur“ etwa Studenten, Praktikanten, externe Partner oder freie Mitarbeiter sind. Hier gibt es zudem noch eine kleine, aber wesentliche Unterscheidung, die beachtet werden muss: Sobald personenbezogene Daten übermittelt werden oder etwa der Marktforschung dienen, muss ein Datenschutzbeauftragter auch unabhängig von der Zahl der Mitarbeiter benannt werden.
2. Datenschutzerklärungen
Das Ausmaß der Regelungen in der Datenschutz-Grundverordnung wurde vielen Unternehmern erst nach ihrer Einführung bewusst. Spätestens seitdem jedes Fachgeschäft, vom Optiker bis zur örtlichen Apotheke, seine Kunden um eine Unterschrift zur neuen Datenschutzerklärung bittet, wurde klar, wie wichtig und zeitintensiv das Thema ist.
Der besondere Fokus bei einer Datenschutzerklärung liegt bei Webseiten. Jeder Seiten-Inhaber ist verpflichtet, eine Datenschutzerklärung einzurichten und die Besucher darin über die Verarbeitung ihrer Daten zu informieren. Weiterhin muss auch eine Erlaubnis zur Verwendung personenbezogener Daten und zu ihrer Speicherung vom Nutzer eingeholt werden.
3. Verzeichnis von Verarbeitungstätigkeiten
Auch die Dokumentationspflichten sind ein wichtiger Punkt geworden. Sie dienen dazu, die Datenverarbeitung genauer unter die Lupe zu nehmen. Beispielsweise muss jetzt jede Verarbeitungstätigkeit in einem Verzeichnis geführt werden. Außerdem muss eine verantwortliche Person zugewiesen werden. Ebenso muss der Zweck der Verarbeitung festgehalten werden. Ist bekannt, um welche Art von Daten es sich handelt, muss der Bearbeiter zudem Löschfristen definieren, um den gesetzlichen Anforderungen zu entsprechen.
4. Vertrag zur Auftragsverarbeitung
Ein Vertrag zur Auftragsverarbeitung (AV) wird nötig, wenn ein Unternehmen personenbezogene Daten auch extern verarbeiten lässt. Solche AV-Verträge legen die Pflichten und Verantwortlichkeiten beider Parteien hinsichtlich der Datenverarbeitung fest.
5. Verpflichtung zur Vertraulichkeit
Viele Angestellte in einem Unternehmen haben zumindest gelegentlich Kontakt zu personenbezogenen Daten. Das reicht von der Auftragsabwicklung, über die Kommissionierung, bis hin zur telefonischen Beratung von Kunden. Seit Einführung der DSGVO müssen sich daher alle Mitarbeiter schriftlich verpflichten, solche Daten vertraulich zu behandeln. Das betrifft auch die Nutzung privater Handys oder Laptops für geschäftliche Tätigkeiten. Intern gespeicherte, personenbezogene Daten dürfen nicht außerhalb des Unternehmens abgelegt oder verwendet werden.
6. Technische und organisatorische Maßnahmen (TOM)
Für den Umgang mit personenbezogenen Daten wurde unter anderem das TOM-Konzept entwickelt. Die Abkürzung steht für „Technische und organisatorische Maßnahmen“. Im ersten Schritt ist zum Beispiel eine Einführung von Benutzerkonten für die Mitarbeiter wichtig. Zum einen soll ja nicht jeder Mitarbeiter alle Daten einsehen können, zum anderen müssen auch dessen Daten selbst vor Ausspähung durch Dritte geschützt sein.
Berechtigungskonzepte und Passwörter sorgen dann dafür, dass die Benutzerkonten geschützt sind. Weitere Schritte sind etwa das vorher sorgfältig zu prüfende und vorzubereitende Einführen einer Videoüberwachung im Unternehmen oder auch verschließbare Schränke für Akten mit besonders sensiblen Inhalten.
7. Datenlöschung bei gebrauchter IT-Hardware
Durch die rasante Entwicklung der Technik ist in vielen Unternehmen ein regelmäßiger Austausch der IT-Geräte notwendig geworden. Auf den in ihnen enthaltenen Datenträgern befinden sich jedoch oft noch personenbezogene Daten oder andere vertrauliche Datensätze. Mit einem simplen Löschvorgang lassen sie sich nicht revisionssicher vernichten. Als IT-Remarketing-Unternehmen sorgen wir bei DELIT deswegen für eine revisionssichere und DSGVO-konforme Löschung dieser Daten. Sprechen Sie uns an. Wir unterstützen Sie gerne.