Handlungsempfehlung KMU

Ein kleiner Leitfaden für die Umsetzung der DSGVO

Wie wir in einem unserer letzten Blogartikel schon aufgezeigt haben, ist es vor allem für kleine und mittlere Unternehmen (KMU) mitunter sehr schwierig dem Datenschutz, vor allem nach der Einführung der EU-Datenschutzgrundverordnung (DSGVO), gerecht zu werden. Nichtdestotrotz muss sich aber jedes Unternehmen an die Vorgaben der EU-DSGVO halten. KMU stehen also vor dem Dilemma, dass Sie eigentlich kaum Ressourcen – in Form von Mitarbeitern, Zeit und Wissen – haben, aber sich genauso an gesetzliche Vorgaben halten müssen, wie größere Unternehmen.

Um etwas Übersicht über eine mögliche Vorgehensweise zu erlangen, möchten wir von Datenschutzberater.NRW Ihnen heute einen kurzen Leitfaden mit ersten Handlungsempfehlungen vorstellen, anhand dem Sie für die ersten Schritte im Datenschutz gerüstet sind.

Identifizieren und Informieren

Beim Datenschutz und in der Datenschutzgrundverordnung geht es um den Schutz personenbezogener Daten. An allererster Stelle sollten wir uns die Frage stellen: Wo werden überhaupt personenbezogene Daten verarbeitet? Wie wir schon einmal thematisiert haben, geht es hierbei nicht nur um Kundendaten, sondern auch über die Daten von Mitarbeitern, Lieferanten, Interessenten, Bewerbern usw. Dies bedeutet also, Sie müssen identifizieren, wo in Ihrem Unternehmen personenbezogene Daten verarbeitet werden und das sowohl in der IT als auch manuell, wenn Sie beispielsweise Bestellungen notieren.

Wenn Sie dies sicher sagen können, sind Sie schon ein großes Stück weiter. Dabei sollten Sie auch prüfen, welche Daten Sie zum Beispiel zur Abwicklung eines Vertrages zwingend benötigen und für welche weiterführenden Daten Sie eine Einwilligung des Betroffenen benötigen (Einwilligungserklärung). Jetzt können Sie entsprechend reagieren, um den Datenschutz in Ihrem Unternehmen einzuhalten.

Die DSGVO sieht eine Informationspflicht für Betroffene vor – was bedeutet, dass derjenige, der die Daten des Betroffenen verwendet und eventuell speichert, diesen darüber informiert. Daher muss zwingend eine Informationspflicht für Betroffene im Unternehmen erstellt werden.

Prüfen der eigenen Website – werden ADV-Verträge benötigt?

Auch die Unternehmenswebsite verarbeitet die Daten der Besucher. Besonderes Augenmerk sollte ein Unternehmen dabei auf die Drittanbieter-Tools legen – also werden von der eigenen Homepage Daten an ein anderes Unternehmen, zum Beispiel zu Analysezwecken, weitergegeben. KMU sollten auf jeden Fall herausfinden, wohin Daten, wie IP-Adressen der HP-Besucher übermittelt werden.

Mit Drittanbietern, die solche Daten verarbeiten, muss das Unternehmen einen sogenannten ADV-Vertrag abschließen. ADV steht hierbei für Auftragsdatenverarbeitung – besser verständlich als Datenverarbeitung im Auftrag – verarbeitet also ein Dritter die Daten des Betroffenen in dem Auftrag des KMU. Tückisch hierbei: Wenn der Dienstleister den Sitz in einem Drittland hat, muss geprüft werden, ob die Datenweitergabe über sogenannte EU-Standardvertragsklauseln oder über Privacy Shield abgesichert ist. Diese stellen sicher, dass zwischen der EU und dem Drittland ein angemessenes Datenschutzniveau gegeben ist.

In Ihrem Unternehmen – von der Mitarbeiterschulung bis hin zur Datenschutzrichtlinie

In unserem Blog habe wir von Datenschutzberater.NRW uns auch schon ausführlich mit der Wichtigkeit von Mitarbeiterschulungen in einem Unternehmen beschäftigt. Selbst, wenn Sie alle Richtlinien der DSGVO einhalten, so kann der Datenschutz immer nur so gut sein, wie der Mitarbeiter, der mit den Daten umgehen muss. Eine regelmäßige Mitarbeiterschulung im Bereich Datenschutz ist daher auch für KMU unerlässlich und ein wichtiges Tool.

Es gibt aber auch noch mehr, was die Einhaltung des Datenschutzes sicherstellt. Wie wir zu Beginn dieses Blog-Artikels festgestellt haben, ist es wichtig festzustellen, wo personenbezogene Daten verarbeitet werden. Das muss in sogenannten Verarbeitungsverzeichnisse dokumentiert werden. Ebenso muss ein IT-Sicherheitscheck durchgeführt werden, bei dem ein besonderes Augenmerk auf die sogenannten TOMs (technisch-organisatorischen Maßnahmen) gelegt wird.

Jeder, der personenbezogene Daten verarbeitet, muss laufende Kontrollen garantieren können und in diesem Zusammenhang eine Datenschutzrichtlinie für das Unternehmen erstellen. In diesen Datenschutzrichtlinien oder auch Datenschutzkonzept sollte alles festgehalten werden, was im Datenschutz bei Ihnen im Unternehmen getan wird (Mitarbeiterschulungen, ADV-Verträge etc.). Es muss dort aber auch festgehalten werden, was zu tun ist, wenn es eine Lücke im Datenschutz gibt oder ein Verstoß vorliegt.

Abfrage durch zuständige Beauftragte des Landes

Das Datenschutz längst auch in den Ländern nicht mehr eine untergeordnete Rolle spielt zeigt, dass Abfragen zum Thema Datenschutz durch offizielle Stellen (z.B. Landesbeauftragte für Datenschutz und Informationsfreiheit des entsprechenden Bundeslands) durchgeführt werden – die Einhaltung des Datenschutzes und der Datenschutzgrundverordnung wird also überprüft. Um möglichen Strafen vorzubeugen macht es Sinn, sich bereits jetzt, wenn nicht schon längst geschehen, Gedanken um den Datenschutz und die Umsetzung im eigenen Unternehmen zu machen. Ebenso, wie dieses nach den Vorgaben der Datenschutzgrundverordnung umzusetzen und zu dokumentieren sind.

Bitte warten Sie nicht, bis eine Abfrage erfolgt. Ein Datenschutzkonzept dann noch zu erstellen und umzusetzen ist im Grunde unmöglich.

Handlungsempfehlung kurz zusammengefasst

Fassen wir die vorher genannten Emfpehlungen noch einmal zusammen, so kann man sehen, dass es im Grunde folgende wichtige Empfehlungen für die Sicherstellung des Datenschutzes in Ihre Unternehmen gibt:

  • Identifizieren – Wo werden personenbezogene Daten verarbeitet?
  • Prüfen – Welche Daten dürfen verarbeitet werden?
  • Informieren – Informationspflicht gegenüber Betroffenen
  • Webseitenüberprüfung – Welche Daten werden verarbeitet?
  • Wer verarbeitet die Daten auf Ihrer Homepage?
  • Welche ADV-Verträge werden benötigt?
  • Mitarbeiterschulungen veranlassen
  • Dokumentieren – Verarbeitungsverzeichnisse erstellen
  • IT-Sicherheitscheck durchführen
  • Abschließend: Erstellen einer Datenschutzrichtlinie

Unterschiedliche Anforderungen – Unübersichtliche Vorgaben

Wenn wir bedenken, welche Schwierigkeiten schon große Unternehmen haben, die einen Datenschutzbeauftragten stellen müssen, dann scheint es für ein KMU beinahe unmöglich, sich im Datenschutz ausreichend auszukennen. Zu bemerken ist auch, dass es nicht für jedes Unternehmen die gleichen Vorgaben zum Datenschutz gibt – hier muss ein Fachmann eine professionelle und fundierte Einschätzung erarbeiten und ein entsprechendes Konzept erstellen.

Ein Datenschutzberater kann Ihnen dabei helfen, mögliche Risiken in Ihrem Unternehmen zu erkennen und darauf einzugehen. Er kann darüber hinaus ADV-Verträge prüfen oder erstellen und Ihnen bei der Erstellung einer Datenschutzrichtlinie helfen. Auch bei Überprüfung durch eine Behörde steht Ihnen der Datenschutzberater mit den nötigen Fachkenntnissen zur Verfügung.

Benötigen Sie Hilfe beim Umsetzen des Datenschutzes in Ihrem Unternehmen oder sind Sie unsicher, ob Sie DSGVO-konform arbeiten? Datenschutzberater.NRW – Ihr Datenschutzberater für Köln, Bonn, Düsseldorf und NRW – hilft Ihnen gerne dabei die gesetzlichen Vorgaben sicher und kompetent umzusetzen. Nutzen Sie unser Kontaktformular oder rufen Sie uns an (Freecall).

Der richtige Umgang mit dem Datenschutz – Handlungsempfehlungen für KMU
Markiert in: