Artikel erschienen am 21.05.2018
Finanzen Steuern Recht | Hannover 2018
E-Paper

Anforderungen des BDSG (neu) und der DSGVO an KMU

Alles neu macht der Mai

Von Jan-Philipp Koslowski, Hannover | Stephan Degenhardt, Hannover

Die Datenschutz-Grundverordnung (DSGVO) sowie das neue Bundesdatenschutzgesetz (BDSG) treten in Kraft. Unternehmen sollen dazu bewegt werden, personenbezogene bzw. personenbeziehbare Daten von Kunden und Mitarbeitern besser zu schützen. Dabei hat man sich auf einen signifikanten Anstieg der Bußgelder geeinigt. Die Europäische Datenschutz-Grundverordnung sieht als Höchststrafe bei formellen Verstößen 10 Mio. Euro oder 2 % des Jahresumsatzes eines Unternehmens vor bzw. 20 Mio. Euro oder 4 % des Jahresumsatzes bei materiellen Verstößen, je nachdem, welcher Wert der höhere ist.

Trotz der hohen Bußgeldandrohungen haben viele Unternehmen Schwierigkeiten mit der Umsetzung der DSGVO, das gilt insbesondere für kleine und mittlere Unternehmen (KMU). Laut einer repräsentativen Studie des Digitalverbandes Bitkom hat sich bislang jedes dritte Unternehmen (33 %) noch überhaupt nicht mit den Vorgaben der Verordnung beschäftigt. Von den Unternehmen, die sich bereits mit der DSGVO beschäftigt haben, sagt rund die Hälfte (47 %), dass sie bisher höchstens 10 % aller notwendigen Arbeiten erledigt hat. Nur 3 % gehen davon aus, dass sie mehr als die Hälfte der Aufgaben abgearbeitet haben.

Weil insbesondere bei KMU meist besondere Herausforderungen in Form von knappem Budget und wenig Personal zusammenkommen, sind jetzt Prioritäten gefragt, was in den nächsten Monaten zuerst angegangen werden muss.

Muss ein Datenschutzbeauftragter bestellt werden?

Unternehmen müssen einen Datenschutzbeauftragten benennen, wenn im Unternehmen personenbezogene Daten automatisiert verarbeitet werden. Personenbezogene Daten sind insbesondere Kundendaten und Mitarbeiterdaten. Für kleine Betriebe macht die Verordnung jedoch eine Ausnahme, wenn regelmäßig nur neun oder weniger Mitarbeiter mit der Verarbeitung personenbezogener Daten beschäftigt sind. In diesen Fällen muss das Unternehmen keinen Datenschutz­beauftragten benennen. Bei der Berechnung sind jedoch auch jene Mitarbeiter zu berücksichtigen, die nur ab und an Daten verarbeiten, etwa Zugriff auf eine Kundendatenbank haben. Hierbei bleibt unberücksichtigt, ob ein Mitarbeiter Teil- oder Vollzeit arbeitet, freier oder fester Mitarbeiter, Praktikant oder Auszubildender ist. Entscheidend ist allein die Anzahl der Köpfe.

Insbesondere ist zu beachten, dass der Name und die Kontaktdaten des Datenschutzbeauftragten der jeweiligen Aufsichtsbehörde (Landesdatenschutzbeauftragte/r des jeweiligen Bundeslandes) bis zum 25.05.2018 zu melden sind. Auch sollten Name und Kontaktdaten auf der eigenen Unternehmensseite publiziert werden.

Keine Ausnahme ohne Ausnahme: Unabhängig von der Mitarbeiterzahl ist immer ein Datenschutzbeauftragter zu benennen, wenn das Unternehmen Daten verarbeitet, für die eine Datenschutzfolgenabschätzung nötig ist. Das ist bei allen Daten der Fall, bei denen ein hohes Risiko für die Betroffenen besteht, etwa bei Daten zu ihrer ethnischen Herkunft, sexuellen Orientierung, Gesundheit oder zur politischen Einstellung. Auch eine z. B. kleine psychotherapeutische Praxis, die solche Daten in der Patientenakte speichert, braucht also einen Datenschutzbeauftragten.

Ebenfalls muss die Fachkunde des Datenschutzbeauftragten sichergestellt sein, etwa durch Fortbildungen bei der Industrie- und Handelskammer oder durch einen entsprechenden Zertifizierungslehrgang.

Einführung eines Verzeichnisses der Verarbeitungstätigkeit

Jedes Unternehmen muss grundsätzlich ein sog. Verzeichnis der Verarbeitungstätigkeiten anlegen (Art. 30 DSGVO). Diese Anforderung ist jedoch nicht neu. Bereits unter dem „alten“ Bundesdatenschutzgesetz bestand diese Verpflichtung unter einem anderen Namen, nämlich dem Verfahrensverzeichnis. Jedoch werden die wenigsten es bislang geführt haben. Hierbei ist etwa in einer Tabelle aufgelistet, welche Daten wann, wie und warum im Unternehmen erhoben werden. Etwa die Daten seiner Kunden: Name, Adresse, Telefonnummer. Hier dürfen die internen Daten nicht vergessen werden, die ebenfalls verarbeitet werden, wie z. B. Personaldaten, Daten aus der Lohnbuchhaltung usw.

Folgende Punkte sollten dabei Berücksichtigung finden:

  • Welche Informationen erhalten die datenschutzrechtlich Betroffenen über die Erhebung und Speicherung personenbezogener Daten?
  • Wie werden diese Belehrungspflichten erteilt?
  • Welche Daten werden erhoben, zu welchem Zweck, wie werden diese Daten verarbeitet? Daraus leitet sich bereits ab, ob es eine gesetzliche Erlaubnis gibt, die Daten zu verarbeiten – etwa bei einer Vertragsbeziehung – oder ob der Betroffene der Datenverarbeitung erst zustimmen muss (Opt-in-Verfahren).
  • Werden Daten anonymisiert oder pseudonymisiert?
  • Wie lange werden die Daten gespeichert?
  • Werden die Daten weitergegeben? Wenn ja, an wen? Ist diese Person ebenfalls für den Datenschutz verantwortlich?
  • Wo werden die Daten gespeichert? Werden sie außerhalb der EU gespeichert? Falls ja: Sind die Voraussetzungen zur Übermittlung in Drittstaaten erfüllt?
  • Werden die Daten ausreichend durch technische und organisatorische Maßnahmen geschützt (TOMs)?

Daraus erstellt man dann ein Verarbeitungsverzeichnis. Die Unternehmen müssen darüber hinaus den Weg der Daten nachzeichnen – von der Erhebung über die Speicherung bis hin zur Nutzung.

Aufbau einer Datenschutzrichtlinie

Unternehmen sollten jetzt alle mit der Datenverarbeitung verbundenen Prozesse dokumentieren und ggf. anpassen. Zum Beispiel:

  • Wie werden Kunden über die Verarbeitung ihrer Daten informiert?
  • Wie reagieren Mitarbeiter, wenn Kunden fragen, welche Daten von ihnen gespeichert wurden?
  • Was sieht der Prozess aus, wenn ein Kunde darauf besteht, dass seine Daten gelöscht werden? Wer ist dafür verantwortlich?
  • Was ist der Prozess, falls es zu einem Datenleck kommt und personenbezogene Daten in falsche Hände geraten? Im Falle einer Datenpanne ist besondere Aufmerksamkeit geboten. Sollten Daten abhandenkommen, z. B. durch einen Hackerangriff, müssen Unternehmen binnen 72 Stunden die zuständige Landesdatenschutzbehörde informieren.
  • Ist der Zweck, warum Daten gespeichert wurden, erreicht, müssen die Daten gelöscht werden. Wie ist der Löschprozess organisiert?
  • Wie werden Mitarbeiter geschult, damit sie diese Prozesse kennen und ausführen können?

Datenschutz-Folgeabschätzung durchführen

Wer mit besonders sensiblen Daten arbeitet, muss damit besonders umsichtig umgehen und unter Umständen eine sogenannte Datenschutz-Folgeabschätzung durchführen. Das gilt für alle Unternehmen, die eine Identifizierung und Kategorisierung der Person ermöglichen nach Themen wie z. B. Sexualität, Krankheiten, Finanzen, rassische oder ethnische Herkunft oder politischen Ansichten – denn hier besteht ein besonders hohes Risiko für die Betroffenen, wenn diese Daten missbraucht werden. Hierfür haben die jeweiligen Datenschutzbehörden Positiv- bzw. Negativlisten herausgegeben, die besagen, welche Datenverarbeitungsvorgänge eine Datenschutz-Folgeabschätzung voraussetzen.

Anstrengungen dokumentieren

Unternehmer sollten all ihre Anstrengungen dokumentieren. Insbesondere sollten die Fortbildungsmaßnahmen des DSB dokumentiert werden. Weiter alle technischen und organisatorischen Maßnahmen (TOMs), wie z. B. welche Firewall installiert wurde, wie Zugangsbeschränkungen zu den jeweiligen Räumlichkeiten ausgestaltet sind, festgehalten werden. Ebenfalls sollte ein Vertragsmanagement bestehen, also eine Auflistung, welche Verträge mit welchen Dienstleistern geschlossen wurden. Denn selbst bei Datenlecks oder Verstößen wie Fehlern in der Datenschutz-Erklärung besteht bei guter Dokumentation die Chance, ohne Bußgeld davonzukommen. Dafür sollten die Unterlagen auf Anfrage umgehend vorlegt werden können.

Foto: Fotolia/ivanko80

Ähnliche Artikel

Finanzen Steuern Recht

Mangelnde IT-Sicherheit als Haftungsrisiko im Unternehmen

Handlungsbedarf aufgrund gesetzlicher Neuregelungen

IT-Sicherheit spielte in der Vergangenheit in vielen Unternehmen eine eher untergeordnete Rolle. Die zunehmende Anzahl von Angriffen auf IT-Systeme und die Tatsache, dass diese Angriffe den beruflichen und privaten Alltag vieler Menschen erheblich beeinträchtigen, haben den Gesetzgeber auf den Plan gerufen.

Düsseldorf 2018 | Tobias Karrenbrock, Düsseldorf

Finanzen Steuern Recht

Cyberrisiken

Aktuelle Probleme und Lösungsansätze

Das Internet der Dinge, also die Vernetzung von Alltagsgegenständen und virtuellen Geräten, ist in vollem Gange. Das Leben wird durch Assistenzsysteme immer bequemer. Aber wird es auch sicherer?

Ostwestfalen/Lippe 2019 | Wolf-Dieter Jordan, Paderborn
Drucken