Das betrifft mich nicht – oder doch?
Aber natürlich: Die Datenschutz Grundverordnung (DS-GVO) erhebt seit dem 25. Mai 2018 den Datenschutz zu einem Grundrecht. Dies betrifft somit erst einmal jeden Bürger der EU.
Aber betrifft es mein Unternehmen?
In aller Regel: Ja! Betroffen ist jedes Unternehmen, jeder Verein und jede Behörde, die mit Daten von Personen in der EU zu tun haben. Im Gesetz klingt das etwas sperrig:
Die Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. (Artikel 2 Absatz 1).
Im ersten Moment werden sich die meisten hier nicht wiederfinden. Ein Blick in die gesetzliche Definition (Artikel 4) ändert das schnell:
Was bedeutet das für mich?
Zum einen weitreichende Informationspflichten: Das Unternehmen muss die betroffene Person informieren über u.a. Kontaktdaten des Verantwortlichen, Zweck der Datenverarbeitung, Rechtsgrundlage, Empfänger der Daten, Speicherdauer, sowie seine Rechte auf Auskunft, Berichtigung, Löschung, Widerspruch, Beschwerde bei einer Aufsichtsbehörde u.v.m.
Und natürlich die Einhaltung der o.g. Rechte des Betroffenen wie das Recht auf Auskunft (zusätzlich zu den o.g. Angaben sind auch Kopien der gespeicherten Daten zur Verfügung zu stellen)auf Löschung (dabei zu beachten sind rechtliche Pflichten, die der Löschung entgegenstehen) und auf Berichtigung der Daten. Die Antwort hat in leicht verständlicher Form und innerhalb von einem Monat zu erfolgen.
Werden Daten Personen außerhalb des Unternehmens zugänglich gemacht (z.B. Steuerberater, Lohnbüro, IT-Dienstleister, aber auch Cloud-Anbieter), so sind Verträge mit diesen Geschäftspartnern zu schließen, die die Einhaltung des Datenschutzes sicherstellen.
Um die Einhaltung des Gesetzes sicherzustellen, sind diverse Nachweise zu führen und auf Verlangen der Aufsichtsbehörde vorzulegen. Hierzu zählen o.g. Verträge, aber es ist auch ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Darüber hinaus sind alle technischen und organisatorischen Maßnahmen, die der Einhaltung dieser Vorschriften dienen, zu dokumentieren. Hier gibt es leider keine Erleichterungen für kleine Unternehmen. Die im Artikel 30 Absatz 5 aufgeführte Erleichterung greift nach allgemeiner Meinung der Aufsichtsbehörden nicht.
Mit einer einmaligen Aktion ist es hier auch nicht getan: Es muss festgelegt werden, in welchem Zyklus (mindestens alle 12 Monate) alle Prozesse und Dokumentationen auf ihre Aktualität geprüft werden (Audit). Ändert sich ein Prozess, muss dieses auch direkt in die Dokumentation einfließen.
Brauche ich einen Datenschutzbeauftragten?
Laut Bundesdatenschutzgesetz ist ein Datenschutzbeauftragter erst ab 20 Mitarbeitern oder vorliegen bestimmter Kriterien erforderlich. Ohne fachliche Unterstützung stehen Sie aber alleine vor der Herausforderung, den Anforderungen des Gesetzes gerecht zu werden.
Und wenn ich nichts tue? Ist ja auch bis jetzt nichts passiert…
Schlechte Idee! Die DS-GVO sieht für jede betroffene Person das Recht vor, sich bei der Aufsichtsbehörde zu beschweren, sollte ihre Anfrage bei einem Unternehmen nicht hinreichend oder fristgerecht beantwortet werden. Die Aufsichtsbehörde ist damit verpflichtet, das Unternehmen zu prüfen und bei Verstößen, auch fehlenden Dokumentationen, Bußgelder zu verhängen. Das Gesetz gibt die Höhe folgendermaßen vor: wirksam, verhältnismäßig und abschreckend.
Es wird sich schon keiner beschweren? Haben Sie schon einmal einem Mitarbeiter gekündigt oder einen Bewerber abgelehnt? Oder vielleicht auch nur einen Kunden verärgert?
Wer mal nachschauen möchte, ob denn tatsächlich Strafen verhängt werden und wie die Behörden die Dinge beurteilen kann das ganz aktuell hier tun: http://www.enforcementtracker.com. Und auch „klein“ ist kein Argument: Von Privatperson über GbR bis hin zu Delivery Hero ist hier bereits alles vertreten.
Was kann ich für Sie tun?
Als zertifizierte Fachkraft für Datenschutz berate und unterstütze ich Sie bei der Einhaltung Ihrer gesetzlichen Datenschutz-Pflichten.
Geht das nicht auch mit eigenem Personal?
Natürlich können Sie auch einen internen Datenschutzbeauftragten benennen. Der Gesetzgeber hat allerdings einige Voraussetzungen definiert:
rb bürotechnik GmbH & Co. KG
Hackhauser Str. 36, 42697 Solingen
dsb@rb-buerotechnik.de
Tel 02173- 269 42 49