Aufgaben Datenschutz (DSGVO)
Seit Mai 2016 gilt im gesamten Raum der Europäischen Union das Europäische Datenschutzrecht (DSGVO), mit einer Übergangszeit von zwei Jahren bis Mai 2018. Sie soll den Schutz personenbezogener Daten in der EU sicherstellen und gleichzeitig den freien Datenverkehr gewährleisten. Die DSGVO gilt für alle Unternehmen unabhängig von ihrer Größe und Rechtsform und für Behörden.
Wichtig für alle Unternehmen ist es, die Außenwirkung so zu gestalten, dass Andere (Unternehmen oder Privatpersonen) davon ausgehen können, dass das Unternehmen die DSGVO beachtet. Damit wird in der Regel vermieden, dass es zu Beschwerden bei den Aufsichtsbehörden, Abmahnungen und/oder zu Wettbewerbsklagen anderer Unternehmen kommt.
Somit ist im ersten Schritt die Außenwirkung/-darstellung des Unternehmens zu prüfen und DSGVO-konform gestalten.
Das betrifft die Mitarbeiter eines Unternehmens, die häufig den ersten Kontakt zum Interessenten/Kunden haben, sowie die Webseite/den Webshop, über die sich Interessenten/Kunden über das Unternehmen, die Produkte/Leistungen informieren und ggf. bestellen. Die Mitarbeiter sind zur DSGVO und zum Datenschutz zu schulen, damit sie wissen, wie sie sich beim Kontakt mit Interessenten/Kunden datenschutzkonform verhalten sollten. Die Webseite/der Webshop ist auf Datenschutzkonformität zu prüfen, in der Regel ist die Datenschutzerklärung anzupassen, ggf. sind auch Anpassungen an der Webseite notwendig.
Neben den Interessenten/Kunden sind die Datenschutzbehörden des jeweiligen Bundeslandes die zweite Instanz, die die Unternehmen zu beachten haben. Die Datenschutzbehörden erwarten als Dokumentation des Unternehmens zur DSGVO das "Verzeichnis der Verarbeitungstätigkeiten" (VVT) und abgeschlossene Verträge mit den Auftragsdatenverarbeitern des Unternehmens.
Das VVT besteht aus einem Kopfdokument, den "Technisch Organisatorischen Maßnahmen" (TOMs) und der Beschreibung der Verarbeitungstätigkeiten mit personenbezogenen Daten. Eine Verarbeitungstätigkeit, wegen der es häufig zu Prüfungen seitens der Aufsichtsbehörde kommt, ist z.B. eine Videoüberwachungsanlage, für die unbedingt die notwendige Dokumentation für die Verarbeitungstätigkeit vorhanden sein sollte. Die jeweilige Datenschutzbehörde kann das VVT jederzeit anfordern und das Unternehmen sanktionieren, wenn es die Dokumentation nicht vorweisen kann oder diese nicht vollständig ist.
Weiterhin ist es für ein Unternehmen wichtig, wie z.B. mit Betroffenenanfragen und Datenpannen umgegangen wird. Betroffenenanfragen sind innerhalb eines Monats zu beantworten, ansonsten kann sich der Betroffene bei der Aufsichtsbehörde beschweren, was zu Anfragen und Prüfungen seitens der Aufsichtsbehörde führt.
Datenpannen sind innerhalb von 72 Stunden zu melden, wenn zu diesem Zeitpunkt nicht klar ist, ob und welche personenbezogenen Daten betroffen sind. Werden Datenpannen zu spät gemeldet, führt dies ebenfalls zu Prüfungen seitens der Aufsichtsbehörde und zu Sanktionen.
Verfügen kleinere Unternehmen über geschulte und motivierte Mitarbeiter, DSGVO-konforme Webseiten/Webshops, die notwendigen Dokumentationen und Prozesse, sind Sie gegenüber den Interessenten/Kunden und den Anforderungen der Aufsichtsbehörden gut aufgestellt.