Datenschutzgrundverordnung: Noch nicht gehandelt? Was Sie jetzt noch tun sollten

Der 25. Mai 2018 naht – und mit ihm tritt die Datenschutzgrundverordnung (DSGVO) in Kraft. Auch wenn viele Unternehmen und Vereine bereits erste Schritte unternommen haben, wer sich noch nicht bewegt hat, sollte sich spätestens jetzt informieren.

Sehen wir es positiv: Sind wir ehrlich, haben zahlreiche Unternehmen und Vereine die bisher geltenden Bestimmungen des Bundesdatenschutzgesetzes nicht beachtet. Nicht unbedingt aus bösem Willen, vielleicht weil immer etwas anderes wichtiger war oder es keinen Anlass gab, sich mit Datenschutz zu beschäftigen. Die DSGVO ist eine Last, aber nichts wäre ärgerlicher, wenn z.B. aufgrund mangelender Sicherheitsstandards die Daten von Kunden oder Mitgliedern in fremde Hände gelangen würden. Also die Ärmel hochgekrempelt: Hier sind die ersten fünf Schritte für Spätzünder.

1. Den Überblick gewinnen

Zunächst ist es erforderlich, dass Sie sich vor Augen führen, was die DSGVO eigentlich von Ihnen erwartet. Viele Verbände bieten branchenspezifische Checklisten und Muster an, bei denen Sie sich bedienen können. Aber seien Sie wachsam, denn eine Schablone ist nicht passgenau. Eine weitere Möglichkeit ist, eine Beratung bei einer Fachfirma in Anspruch zu nehmen. Die muss nicht unbedingt teuer sein, in jedem Falle kann Sie Ihnen ein Gefühl dafür vermitteln, was nun auf Sie zukommt.

2. Verfahrensverzeichnis anlegen

Der nächste Schritt klingt im ersten Moment schwieriger, als er ist. Nach Art. 30 Abs. 1 S. 1 DSGVO muss jeder Verantwortliche „ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen“ führen. Was ein solches Verfahrensverzeichnis beinhalten muss, beantwortet die DSGVO praktischerweise gleich mit. Anzugeben sind unter anderem die Zwecke der Verarbeitung und welche Kategorien personenbezogener Daten verarbeitet werden. Erstellen Sie also z.B. eine Excel-Tabelle, in der sie für den jeweiligen Prozess die erforderlichen Angaben hinterlegen. Ein Muster hat auch die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen veröffentlicht.

3. Datenschutzbeauftragen bestellen

Ein Datenschutzbeauftragter ist Pflicht, wenn in Ihrem Unternehmen oder Verein mehr als zehn Personen mit personenbezogenen Daten umgehen oder wenn besonders sensible Daten wie Gesundheitsdaten oder die Gewerkschaftszugehörigkeit verarbeitet werden Eine Bestellung auf freiwilliger Basis ist natürlich möglich. Wenn ein Unternehmen oder Verein keinen Datenschutzbeauftragten bestellt hat, werden die Aufsichtsbehörden dies leicht feststellen können. Denn ist ein Datenschutzbeauftragter zu bestellen, muss der Verantwortliche nach Art. 37 Abs. 7 DSGVO dessen Kontaktdaten veröffentlichen (z.B. auf der Webseite) und der Aufsichtsbehörde mitteilen.

Deshalb sollten Sie prüfen, ob Sie verpflichtet sind, einen Datenschutzbeauftragten zu bestellen. Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt. Seine Aufgaben sind neben der Beratung auch die Kontrolle, ob die Datenschutzbestimmungen eingehalten werden.

Sie haben die Wahl zwischen einem internen Datenschutzbeauftragten, können aber auch auf externe Dienstleister zurückgreifen. Beispielsweise bieten manche spezialisierten Anwälte an, als Datenschutzbeauftragte für Unternehmen und Vereine zu fungieren. Zu den wichtigsten Fragen rund um die Bestellung eines Datenschutzbeauftragten hat beispielsweise die Landesbeauftragte für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen eine Handreichung veröffentlicht.

4. Alle Anstrengungen dokumentieren

Tue Gutes und rede darüber. Bei der Umsetzung der DSGVO, sollten Sie alle Anstrengungen dokumentieren. Damit zeigen Sie den Aufsichtsbehörden im Ernstfall, dass Sie Ihre datenschutzrechtlichen Pflichten ernst nehmen. Dokumentieren Sie unter anderem interne Handlungsanweisungen für Mitarbeiterinnen und Mitarbeiter, Schulungen in Datenschutzfragen, Maßnahmen zur Verbesserung der IT-Sicherheit, etc.

Mindestens einmal jährlich sollten Sie sich mit dem Datenschutz im Unternehmen bzw. im Verein beschäftigen, darüber hinaus bei Bedarf. Ein Datenschutzbeauftragter kann auch hier hilfreich sein, um notwendige Anpassungsbedarfe frühzeitig zu erkennen und anzugehen.

5. Weitere Pflichten ermitteln

Die DSGVO erfordert von Ihnen noch einige weitere Arbeiten. Nutzen Sie externe Dienstleister zur Verarbeitung personenbezogener Daten, müssen Sie einen Vertrag über die Auftragsverarbeitung mit Ihrem Dienstleister abschließen. Verarbeiten Sie besonders sensible Daten, bedarf es einer Datenschutzfolgeabschätzung.

Bei Fragen zur Umsetzung der DSGVO in Ihrem Unternehmen oder Verein, sprechen Sie mich gerne an.


Über den Autor

Jasper Prigge ist Rechtsanwalt in Düsseldorf. Er berät Privatpersonen sowie kleine und mittelständische Unternehmen in medien- und verwaltungsrechtlichen Angelegenheiten. Mehr zu den Tätigkeitsbereichen erfahren Sie hier.

Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht.

    Sie haben Fragen zu einem Rechtsproblem? Hinterlassen Sie hier eine Rückrufbitte.
    Datenschutzerklärung