Zur Navigation springen Zum Inhalt springen Zum Footer springen

Was müssen Unternehmer nach DSGVO unbedingt vorhalten?

(1)

Notwendige Maßnahmen nach DSGVO

Die DSGVO ist schon mehrere Monate in Kraft, aber viele Unternehmer wissen nicht, was sie alles nach der DSGVO vorhalten müssen. Mir sind zwar noch keine Bußgelder bekannt, aber das heißt nicht, dass keine solche verhängt wurden und vor allem, dass keine solche in Zukunft verhängt werden. Die Behörden sind derzeit überlastet mit Anfragen und Meldungen und werden offensichtlich eine Übergangszeit abwarten. Das gibt den Nachzügler Gelegenheit ihre Hausaufgaben „nachzuholen“.

Datenschutzerklärung für die Webseite

Wichtig ist eine Datenschutzerklärung. Ich stelle immer wieder fest, dass solche fehlen oder unvollständig sind. Die Datenschutzerklärung ist die Visitenkarte und vor allem der erste Orientierungspunkt für eine Behörde. Es drohen zudem Abmahnungen. Es gibt sehr kostengünstige Angebote für die Erstellung einer solchen Erklärung. Meine Erfahrung zeigt zwar, dass diese genauso häufig unvollständig sind, aber das liegt eher daran, dass die Anbieter versuchen, die Datenschutzerklärungen massentauglich zu gestalten. Für die individuelle Bearbeitung ist wenig Spielraum. Das kann sich am Ende als sehr teuer erweisen.

Datenschutzhinweise

Viele Unternehmer verwechseln die Datenschutzhinweise mit der Datenschutzerklärung. Sie fragen dann, wieso brauche ich Datenschutzhinweise, wenn ich eine Datenschutzerklärung habe. Oft wird auch ein Mix von beiden in die Datenschutzerklärung der Webseite eingebaut. Ein Blick in Art. 13 DSGVO hilft bei der Unterscheidung. Ich muss „zum Zeitpunkt der Erhebung“ der personenbezogenen Daten informieren. Also wenn jemand meine Webseite besucht, informiere ich ihn mittels Datenschutzerklärung auf der Webseite. Ich informiere natürlich nur über die personenbezogenen Daten, die ich verarbeite. Wenn mich jemand über E-Mail kontaktiert und ich verarbeite personenbezogene Daten, dann muss ich ihn darüber bei Versendung der E-Mail informieren. Das wird zweckmäßigerweise mit einem Link (Datenschutzhinweise) gemacht. Es ist gleichwohl nicht abschließend geklärt, ob ein Link ausreicht. Wenn ich mit jemanden einen Vertrag schließe und denklogisch seine Daten verarbeite, dann muss ich ihn informieren. Ich brauche also Datenschutzhinweise, die ich ihm bei Vertragsschluss übergeben kann. Hier gibt es viele Gestaltungsmöglichkeiten.

Verarbeitungsverzeichnis

Ich musste leider feststellen, dass viele Unternehmer, immer noch kein Verarbeitungsverzeichnis haben. Auf Nachfrage teilen sie mir mit, dass sie doch schon eine Datenschutzerklärung haben. Das kann sehr teuer werden. Es wurde oft genug wiederholt, dass jedermann der personenbezogene Daten verarbeitet, ein solches benötigt. Es gibt mittlerweile zahlreiche Muster. Es ist im Hinblick auf den Vorwurf im Rahmen eines Bußgeldverfahrens, ob Vorsatz, einfache oder grobe Fahrlässigkeit vorliegt und damit entscheidend welche Höhe das Bußgeld haben wird, ein erheblicher Unterscheid, ob ich ein schlechtes oder gar kein Verarbeitungsverzeichnis habe. Die Zeit zur Erstellung eines solchen Verzeichnisses sollte sich jeder nehmen oder zumindest einer fachkundigen Person übertragen.

Auftragsverarbeitungsverträge

Wer nicht um den 25.05.2018 mit Auftragsverarbeitungsverträge überschüttet wurde, sollte prüfen, ob er Daten durch Auftragsverarbeiter verarbeiten lässt. Für diesen Fall muss er Verträge abschließen. Andernfalls drohen Bußgelder.

Meldung Datenschutzbeauftragter

Wenn Sie die Voraussetzungen erfüllen, dann benötigen Unternehmer einen Datenschutzbeauftragten. An dieser Stelle werden die Ausführungen kurz gehalten, da die meisten Datenschutzbeauftragte ihre Unternehmen –hoffentlich- fachgerecht beraten werden.

Informationssicherheitsmanagementsystem (ISMS) u. Datenschutzmanagementsystem (DMS)

Ich habe bereits in einem anderen Artikel über das ISMS berichtet. Es handelt sich hierbei, vereinfacht gesagt um die Gewährleistung der Sicherheit der Verarbeitung. Das DMS ist letztlich ein System, mit welchem sämtliche Datenverarbeitungsvorgänge organisiert werden. Beide Systeme verlangen dem Unternehmer viel ab. Es kommt hierbei zwar auf die Größe des Unternehmens an, aber letztlich wird nur die Vorhaltung von solchen Systemen ein Bußgeld mit hoher Wahrscheinlichkeit verhindern können.

Falls Sie Fragen rund um den Datenschutz haben, können Sie mich per Telefon oder per E-Mail erreichen.


Sie haben Fragen? Gleich Kontakt aufnehmen!

Rechtstipps zum Thema

Damit Sie wissen, wann Sie im Recht sind

Neue Urteile, hilfreiche Tipps und Kurioses im wöchentlichen anwalt.de-Newsletter.