Alle Informationen für den Handel

Unternehmen

Neue Pflichten beim Datenschutz

© adobe.stock/kras99

Kleinere und mittlere Unternehmen (KMU) geben sich in Sachen Datenschutz gerne mal entspannt. Ab Mai 2018 aber tritt die neue europäische Datenschutz-Grundverordnung (DSGVO) in Kraft mit umfänglichen 99 Artikeln, die es umzusetzen gilt. Warum KMUs jetzt aktiv werden müssen und, was sie am dringlichsten anpacken müssen, verdeutlichen fünf Maßnahmen.

Die neue EU-weite Datenschutz-Grundverordnung, kurz DSGVO, trat bereits am 24. Mai 2016 in Kraft und muss ab dem 25. Mai 2018 in allen Unternehmen in Deutschland angewendet werden. „Die überarbeitete DSGVO sorgt spätestens ab dann für umfangreiche Pflichten, die aktiv erfüllt sein wollen, um Fehler und unter Umständen empfindlich hohe Bußgelder zu vermeiden“, erläutert Alexander Malatidis, Justiziar bei der Haufe Group. Unternehmen sollten sich bereits jetzt auf die neue Verordnung einstellen.

1) Ein Verfahrensverzeichnis erstellen und aktuell halten
Unternehmen müssen die Einhaltung der Anforderungen der DSGVO durch ein Verzeichnis ihrer Datenverarbeitungs-Tätigkeiten jederzeit nachweisen können. Sie sind daher verpflichtet, alle Vorgänge inklusive Zweck und Löschfristen aufzulisten. Um zügig ein Verfahrensverzeichnis anlegen zu können, sollten Unternehmer alle Bereiche überprüfen, die mit personenbezogenen Daten arbeiten – wie Personal, Buchhaltung, Marketing, Vertrieb und die eigentliche Leistungserbringung. Werden Teile der Einzelbereiche mit einer Software erbracht, ist auch zu kontrollieren, welche Daten zu welchen Zwecken gespeichert werden und ob diese Datenverarbeitungsvorgänge mit dem neuen Recht in Einklang stehen. Die Datenverarbeitung ist nur zulässig, wenn eine Einwilligung vorliegt. Die Anforderungen an diese Einwilligung wurden verschärft.

2) Unverzüglich auskunftsfähig sein und bleiben 
Schon immer konnte jeder Auskunft über seine Daten verlangen; ab jetzt ist diese allerdings unverzüglich zu erteilen. Der Umgang mit den Auskunftsansprüchen sollte also spätestens ab Mai kommenden Jahres klar geregelt sein. Laut DSGVO hat jede Person das Recht, auf ihre persönlichen Daten zuzugreifen oder diese korrigieren, löschen oder elektronisch übertragen zu lassen. Unternehmer müssen Verantwortliche benennen und die entsprechenden Kapazitäten schaffen, um der neuen unverzüglichen Auskunftspflicht nachzukommen. Notwendige Basis dafür ist, die relevanten Daten immer aktuell und zugänglich zu halten. Das betrifft auch Dritte, die im Namen des beauftragenden Unternehmens personenbezogene Daten verarbeiten.

3) Die eigene Datenschutzerklärung aktualisieren
Eine Datenschutzerklärung muss über die Verarbeitung personenbezogener Daten informieren. Diese Informationspflicht gilt für alle Datenverarbeitungsvorgänge: Auch wer offline Daten erhebt – etwa in einem Kundengespräch – muss über die Verarbeitung der Daten informieren. Außerdem wurde der Umfang der Pflichtinformationen noch einmal erweitert. Unternehmer sollten auch nicht vergessen, ihre Texte, die nach außen sichtbar sind, der neuen Rechtslage anzupassen. Dies betrifft vor allem die Datenschutzerklärung auf der Website, aber auch Einwilligungserklärungen von Kunden, Newsletter-Empfängern oder Angestellten. Verträge mit Dienstleistern sollten besser ebenfalls einer Prüfung unterzogen werden, um sie gegebenenfalls anpassen zu können. Generell ist es ratsam, mit Dienstleistern zusammen zu arbeiten, die international anerkannte Standards für Datensicherheit und Datenschutz erfüllen, beispielsweise ISO 27018.

4) Security optimieren, um Datenpannen bemerken und melden zu können
Das Gesetz schreibt Unternehmen vor, geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein angemessenes Schutzniveau zu gewährleisten. Sollte es dennoch zu Verletzungen kommen, sind diese der Datenschutzaufsichtsbehörde zu melden. Während eine Meldung bislang nur im Ausnahmefall erforderlich war, muss das Unternehmen nach neuem Recht grundsätzlich jede Datenschutzverletzung binnen 72 Stunden der Datenschutzaufsichtsbehörde – unter Umständen auch den Betroffenen – melden. Aus dieser Pflicht folgt die Notwendigkeit, einen unternehmensinternen Prozess zu schaffen, der im Falle von Datenlecks greift. Eine versäumte Meldepflicht kann mit Bußgeldern geahndet werden.

5) Einen qualifizierten Datenschutzbeauftragten bestellen
Die DSGVO sieht auch eine Pflicht zur Bestellung eines Datenschutzbeauftragten vor, wenn sich mehr als zehn Mitarbeiter im Unternehmen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Für diese Aufgabe sind Ressourcen zu schaffen, und der Datenschutzbeauftragte sollte die Gelegenheit zu entsprechenden Fortbildungen im Bereich Compliance erhalten.

Es gibt kein Universalkonzept, wie Unternehmen bis Mai kommenden Jahres bestmöglich die neue Verordnung umsetzen. Fest steht nur: Sie sollten so schnell wie möglich damit beginnen.

Weitere Informationen zur Umsetzung der Datenschutzgrundverordnung finden Sie auf den Seiten des HDE.

Lesen Sie weiter


Unternehmen

So geht regionales Onlinemarketing

Für Händler ist es wichtig, ihre Leistungen im Internet sichtbar zu platzieren, sich von der Konkurrenz abzugrenzen und ihre Zielgruppe richtig anzusprechen. Unternehmen, die lediglich regional aktiv sind, können dafür regionales Onlinemarketing nutzen. Die Mittelstand 4.0-Agentur Handel erklärt in einem kostenlosen Leitfaden die Grundlagen. mehr...

Wir freuen uns über Diskussionen und Ihre Kommentare.
Wie in jeder Gemeinschaft ist es notwendig, dass sich alle Teilnehmer an die Netiquette halten. Durch Ihre Kommentare sollen interessante, gewinnbringende Debatten entstehen, an denen sich andere Nutzer gerne beteiligen. Beleidigungen und Schmähreden sind deshalb ebenso tabu wie Diskriminierungen und die unerlaubte Veröffentlichung persönlicher Daten. Bitte verstecken Sie sich auch nicht hinter Pseudonymen, sondern benutzen Sie Klarnamen.

Kommentar absenden

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *


*

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>