Wie müssen kleine Unternehmen die DS-GVO umsetzen?
In vielen kleinen Unternehmen in NRW werden personenbezogene Daten verarbeitet, das bedeutet, dass hierbei der Datenschutz umgesetzt werden muss. Gerade auch für Neugründer oder kleine Unternehmen kann der Datenschutz eine Herausforderung darstellen. Wir klären ein paar der ersten wichtigen Fragen.
Warum müssen personenbezogene Daten geschützt werden?
Personenbezogene Daten sind alle Daten, die einen Rückschluss auf eine identifizierte oder identifizierbare Person zulassen. Das bedeutet im Umkehrschluss auch, dass durch Verlust, Beschädigung, Löschung oder andere Dinge bei der Verarbeitung von personenbezogenen Daten ein Risiko für den Betroffenen besteht, dass er dadurch einen Schaden erleidet.
Um das Risiko für den Betroffenen so gering wie möglich zu halten, schützt der Datenschutz durch gewisse Vorgaben dessen personenbezogene Daten. Diese Vorgaben sind u.a. in der Datenschutzgrundverordnung (DS-GVO) und dem Bundesdatenschutzgesetz (BDSG) definiert.
BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS – WAS SIND PERSONENBEZOGENE DATEN NACH DS-GVO?
Wer muss den Datenschutz einhalten?
Grundsätzlich gilt: Jeder, der personenbezogene Daten verarbeitet, muss den Datenschutz einhalten. Die Umsetzung von DS-GVO und BDSG ist dabei unabhängig von der Größe des Unternehmens zu sehen. Auch Einzelunternehmer müssen die Vorgaben des Datenschutzes ausreichend umsetzen.
Checkliste – Was muss beim Datenschutz beachtet werden?
Im Datenschutz gibt es unterschiedliche gesetzliche Vorgaben, die umgesetzt werden müssen. Wir haben eine erste Checkliste mit Beispielen für Sie zusammengestellt:
- Prüfen Sie, ob Sie einen Datenschutzbeauftragten benötigen. Dieser kann extern oder intern besetzt werden, muss aber gewisse Vorgaben des Datenschutzes erfüllen.
- Eine Datenschutzerklärung auf der Homepage ist verpflichtend. Prüfen Sie, ob die Datenschutzerklärung alle notwendigen Voraussetzungen erfüllt. Sie muss zum Beispiel präzise, transparent, verständlich, leicht zugänglich, in klarer und einfacher Sprache verfasst sein und festgelegte Inhalte enthalten.
- Erfassen Sie jede Form der Verarbeitung von personenbezogenen Daten im sogenannten Verzeichnis von Verarbeitungstätigkeiten (VVT). Hierbei gibt es ebenfalls Vorgaben, welche Inhalte darin enthalten sein müssen, dazu gehören z.B.: verarbeitete Datenkategorien, Kontaktdaten des Verantwortlichen, Kontaktdaten des (externen) Datenschutzbeauftragten, Kreis der betroffenen Personen, Zweck der Verarbeitung, Datenempfänger, Löschfristen usw.
- Etablieren Sie notwendige technische und organisatorische Maßnahmen (TOM) um die personenbezogenen Daten ausreichend zu schützen.
- Setzen Sie die vorgegebenen Betroffenenrechte im Datenschutz um. Dazu gehören z.B. das Recht auf: Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch und Datenübertragbarkeit.
- Achten Sie bei der Verarbeitung von personenbezogenen Daten darauf, die Informationspflichten für Betroffene (dazu gehören Interessenten, Kunden, Lieferanten, Mitarbeiter usw.) bei Datenerhebung umzusetzen.
- Prüfen Sie, ob eine Auftragsverarbeitung stattfindet und ob dafür ein sogenannter AV-Vertrag vorliegt bzw. benötigt wird.
- Prüfen Sie, ob eine Datenschutzfolgenabschätzung notwendig ist (z.B. bei der Verarbeitung von personenbezogenen Daten besonderer Kategorien)
- Erstellen Sie Löschkonzepte, um die personenbezogenen Daten fristgerecht zu löschen.
BLOG-TIPP: DATENSCHUTZERKLÄRUNG FÜR DIE HOMEPAGE
Grundsätze einhalten
Im Datenschutz gibt es Grundsätze, die eingehalten werden müssen. Diese sind in der DS-GVO geregelt und lauten:
- Rechtmäßigkeit
- Zweckbindung
- Datenminimierung/-sparsamkeit
- Richtigkeit
- Speicherbegrenzung (Löschung/Sperrung)
- Integrität und Vertraulichkeit
- Rechenschaftspflicht (Dokumentation)
Jeder, der personenbezogene Daten verarbeitet, muss diese Grundsätze einhalten.
BLOG-TIPP: DATENSCHUTZ FÜR UNTERNEHMEN IN NRW – GRUNDSÄTZE DES DATENSCHUTZES
Wer prüft in NRW, ob der Datenschutz eingehalten wird?
Im Unternehmen selbst, sollte der (externe) Datenschutzbeauftragte darauf hinwirken, dass der Datenschutz umgesetzt wird. Das bedeutet nicht, dass er den Datenschutz umsetzen muss, sondern den Verantwortlichen auf mögliche Schwachstellen oder fehlende Vorgaben im Datenschutz hinweist.
Die Einhaltung des Datenschutzes wird von der zuständigen Aufsichtsbehörde geprüft. Diese kann bei Verstößen auch Bußgelder und Strafen verhängen. In NRW ist die zuständige Aufsichtsbehörde die Landesbeauftragte für Datenschutz und Informationsfreiheit in NRW (LDI NRW).
Wer zählt laut DS-GVO als Verantwortlicher?
Für die Umsetzung des Datenschutzes trägt im Unternehmen der Unternehmer bzw. der Vertretungsberechtigte die Verantwortung. Der sogenannte Verantwortliche muss die Vorgaben im Datenschutz ausreichend umsetzen.
BLOG-TIPP: DATENSCHUTZ: PFLICHTEN DES VERANTWORTLICHEN
Betroffene und personenbezogene Daten erkennen
Betroffener im Sinne des Datenschutzes ist jeder, dessen personenbezogene Daten verarbeitet werden. Dies sind zum Beispiel Interessenten, Kunden, Lieferanten usw. Aber auch Mitarbeiter oder Webseitenbesucher sind Betroffene, da deren personenbezogene Daten verarbeitet werden.
Um herauszufinden, wie und wo der Datenschutz und seine Vorgaben umgesetzt werden müssen, gilt es an erster Stelle festzustellen, wo genau und in welcher Form Daten verarbeitet werden. Dabei müssen alle Prozesse auf die Verarbeitung von personenbezogenen Daten hin geprüft werden. Dazu gehören auch Ablagen, Kopierer, Faxgeräte und auch die Vernichtung von Daten.
Gerade bei kleinen Unternehmen, kann dies eine große Herausforderung darstellen, da oft auch die Manpower für die komplexe Umsetzung des Datenschutzes fehlt. Ein externer Datenschutzbeauftragter kann dabei unterstützend tätig werden.
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung, die Betreuung durch einen externen Datenschutzbeauftragten und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.