Die DS-GVO für produzierende Unternehmen
In unserer kleinen Serie berichten wir immer wieder über den Datenschutz in verschiedenen Bereichen. Im heutigen Blog möchten wir uns daher mit der Umsetzung der DS-GVO in den Unternehmen aus der Industrie beschäftigen.
Dabei zeigen wir Ihnen, worauf es bei der Umsetzung der gesetzlichen Vorgaben in NRW ankommt und geben Ihnen erste Tipps, worauf Sie als Verantwortlicher achten müssen.
Datenschutz in NRW ist Chefsache – der Verantwortliche
Die gesetzlichen Vorgaben für den Datenschutz sind in der Datenschutzgrundverordnung (DS-GVO) und im Bundesdatenschutzgesetz (BDSG) geregelt. Diese geben auch vor, wer für die Umsetzung des Datenschutzes im Unternehmen verantwortlich ist. Der Verantwortliche (z.B. der Geschäftsführer) eines Unternehmens muss dafür Sorge tragen, dass der Datenschutz eingehalten wird.
Anders als viele denken, ist also nicht der (externe) Datenschutzbeauftragte, sondern der Verantwortliche des Unternehmens für die Umsetzung der DS-GVO zuständig. Der (externe) Datenschutzbeauftragte, kann dabei nur beratend tätig sein, ist aber unter bestimmten Voraussetzungen verpflichtend durch die gesetzlichen Vorgaben einzusetzen.
Der Datenschutz und seine Vorgaben müssen von allen Unternehmen, die personenbezogene Daten verarbeiten, eingehalten und umgesetzt werden. Dabei ist es egal, wie groß ein Unternehmen ist und in welcher Form personenbezogene Daten verarbeitet werden.
Von der Fertigung über das Lager bis hin zum Versand – der Datenschutz im Unternehmensalltag
Gerade in Unternehmen, die selbst Produkte fertigen, denken viele, dass nicht besonders viele personenbezogene Daten verarbeitet werden. Schauen wir uns die Vorgänge in einem Unternehmen aber einmal genauer an, so finden wir in der Regel mehr personenbezogene Daten, die verarbeitet werden, als man erwarten würde. Eine handschriftliche Notiz über einen Ansprechpartner reicht aus, um den Datenschutz greifen zu lassen.
Prüfen Sie also genau, wo personenbezogene Daten eingesetzt werden und sensibilisieren Sie Ihre Mitarbeiter auf die Einhaltung des Datenschutzes in Ihrem Unternehmen. Achten Sie auch darauf, dass die Daten mit einer entsprechenden Umsicht behandelt, aufbewahrt und auch wieder fristgerecht vernichtet werden.
Führen Sie Mechanismen ein, die personenbezogene Daten vor den Zugriffen Dritte schützen. Bewahren Sie entsprechende Papiere unzugänglich auf und achten Sie darauf, dass das Betriebsgelände oder zumindest die betroffenen Produktionsbereiche nur für die befugten Mitarbeiter zugänglich sind.
Auch im Lager und selbstverständlich im Versand gilt es den Datenschutz umzusetzen. Legen Sie Versanddokumente mit personenbezogenen Daten nicht frei zugänglich zur Bearbeitung ab. Außerdem sollten Sie darauf achten, dass keine personenbezogenen Daten in Papierform an andere Kunden gelangen – z.B. durch Packfehler.
Mitarbeiterdaten – Worauf Unternehmen in NRW achten müssen
Nicht nur Kundendaten können personenbezogene Daten darstellen. Natürlich sind auch die Daten von Mitarbeitern, Lieferanten oder Besuchern zu schützen. Heutzutage werden viele Unternehmen durch eine Kameraüberwachung geschützt. Bilder gehören dabei auch zu personenbezogenen Daten. Achten Sie daher dabei auf die Umsetzung der DS-GVO. Mehr zum Thema Kameraüberwachung oder Mitarbeiterbildern finden Sie in unserem Blog.
Auch der Urlaubskalender oder die Krankmeldung sind datenschutzkonform zu führen. Krankmeldungen gehören dabei zu den Gesundheitsdaten und damit zu den personenbezogenen Daten der besonderen Kategorie. Um einen Verstoß gegen die Datenschutzgrundverordnung zu vermeiden, sollten Sie die Information über Urlaub, Krankheit oder Mutterschutz nur mit anwesend oder abwesend auf einem Kalender eintragen. Außerdem wird empfohlen, dass diese Daten nur pseudonymisiert angegeben werden – das bedeutet z.B. mit den Kürzeln der Mitarbeiter.
Datenschutz im Industrieunternehmen – eine Übersicht
Um zu dokumentieren, dass der Datenschutz im Unternehmen ausreichend umgesetzt wird, müssen Unternehmen unterschiedliche Schritte umsetzen, dazu gehören u.a.:
- Verzeichnis von Verarbeitungstätigkeiten (VVT)
- technische und organisatorische Maßnahmen (TOMs)
- Auftragsdatenverarbeitung / ADV-Verträge
- Schwellwertanalyse (Risikoanalyse) und Datenschutzfolgenabschätzung
- Datenschutzmanagementsystem
Dabei muss jedes Unternehmen die Betroffenenrechte entsprechend der DS-GVO umsetzen (z.B. Recht auf Auskunft, Recht auf Vergessenwerden etc.)
Mehr zu den Grundlagen des Datenschutzes in NRW finden Sie in unseren beiden Blogs zum Thema: Grundlagen der DS-GVO Teil 1 und Teil 2
Industrie 4.0 – EDV als Schwachstelle im Datenschutz
In immer mehr Unternehmen wird die Produktion zunehmend digitalisiert. Die sogenannte Industrie 4.0 umfass dabei die Digitalisierung der industriellen Produktion in einem Unternehmen. Immer mehr Unternehmen in NRW setzen darauf.
Wer sich aber mit der Digitalisierung in Produktion, Verarbeitung und Versand auseinandersetzt, der sollte dabei auch ein besonderes Augenmerk auf den Datenschutz setzen. Datenschutz und IT gehen miteinander einher. So sollten alle neu eingeführten Abläufe in einem Unternehmen nicht nur mit dem IT-Experten, sondern auch mit dem (externen) Datenschutzbeauftragten besprochen werden. Sichere Kennwörter und eine ausreichende Firewall gehören dabei sicher nur zu den Grundlagen der Datensicherheit.
Auch Schnittstellen zwischen den Unternehmen müssen auf den Datenschutz hin überprüft und dabei zum Beispiel mögliche Auftragsdatenverarbeitungen durchleuchtet werden. Automatisierte Prozesse bieten gerade für den Zugriff von außen besondere Gefahren. Prüfen Sie daher auch die Wege der Übermittlung auf IT-Sicherheit und Datenschutz. Bedenken Sie dabei auch, dass IP-Adressen personenbezogene Daten darstellen.
Der externe Datenschutzbeauftragte – eine Unterstützung für KMU in NRW
Gerade KMU, die in der Industrie in NRW tätig sind, haben oft nicht die personellen Ressourcen, um den Datenschutz in Ihrem Unternehmen ausreichend abdecken zu können. Ein externer Datenschutzbeauftragter kann Ihnen dabei helfen, den Stand des Datenschutzes realistisch einzuschätzen und die DS-GVO umzusetzen.
Gerade in Produktionsbetrieben lauern Stolpersteine im Datenschutz, die man unter Umständen so nicht erwartet. Für Unternehmen, die von den gesetzlichen Vorgaben her nicht unbedingt einen (externen) Datenschutzbeauftragten benötigen, bietet sich eine Zusammenarbeit mit einem Datenschutzberater an.
Beide sollten Ihnen mit einer Datenschutz-Erstberatung und einem darauf folgenden Datenschutz-Audit eine fundierte Einschätzung und stetige Weiterentwicklung des Datenschutzes im Unternehmen ermöglichen.
Datenschutzberater.NRW bietet Ihnen zusätzlich noch eine projektbezogene Betreuung im Datenschutz, sowie ein IT-Audit oder die GoBD-Beratung an. Wir bieten Ihnen einen Websitescan für die Verbesserung Ihrer Homepage im Datenschutz an.
Unser Team aus Datenschutz, IT und Steuerrecht unterstützt bereits erfolgreich Unternehmen aus Köln, Bonn, Düsseldorf und ganz NRW bei der Umsetzung der DS-GVO und dem BDSG.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Benötigen Sie Hilfe bei der Umsetzung der DS-GVO in Ihrem Industrieunternehmen in NRW? Senden Sie uns eine unverbindliche Anfrage – wir beraten Sie gerne über unsere Leistungen im Datenschutz.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.