Gastbeitrag: DSGVO im Unternehmen
Dies ist ein Gastbeitrag von Dr. Jochen Notholt – comp-lex.de/
In fünf einfachen Schritten zum DSGVO-konformen IT-Unternehmen!
Sie fragen sich, ob Ihr IT-Unternehmen die Anforderungen des Datenschutzes nach der DSGVO einhält? In diesem Gastbeitrag verraten wir Ihnen, was Sie in Sachen DSGVO beachten müssen – und zwar ganz entspannt, mit vernünftigem Aufwand und sogar so etwas wie Spaß. Ja, tatsächlich! Mit unserer Hilfe geht das.
Schritt 1: Haltung annehmen & Ziele angehen!
Wenn Sie das Thema Datenschutz in Ihrem Unternehmen mit einer entspannten und auf das Wesentliche konzentrierten Grundhaltung angehen, können Sie die weiteren Schritte schneller und einfacher umsetzen und dadurch effizient Ihre Ziele erreichen.
- Die richtige Haltung: Sie sollten sich darüber im Klaren sein, welches Ziel Sie verfolgen und worauf es Ihnen beim Thema Datenschutz besonders ankommt. Geht es Ihnen um Risikovermeidung, oder möchten Sie vor allem den Schutz der Privatsphäre von Kunden / Nutzern positiv hervorheben?
- Konzentration auf’s Wesentliche: Die DSGVO setzt für Unternehmen hohe bürokratische Hürden. Abhängig von Ihrer allgemeinen Haltung (s.o.) ist es gerade für kleinere Unternehmen entscheidend, sich auf das Wesentliche zu konzentrieren. Das Zauberwort lautet: 80/20.
- Ziele definieren: Schließlich sollten Sie ermitteln, welche konkreten Ziele Sie im Zusammenhang mit dem Datenschutz erreichen wollen. Für die meisten Unternehmen geht es darum, Dokumente und Prozesse so zu verbessern, dass die Einhaltung der DSGVO kein Zufall mehr ist.
Schritt 2: Die richtigen Datenschutz-Dokumente!
1. Die richtigen Dokumente: Jedes IT-Unternehmen braucht nach der DSGVO in jedem Fall:
-
- ein Verarbeitungsverzeichnis (wenn Sie Auftragsverarbeiter sind, sogar zwei) einschließlich technisch-organisatorischer Maßnahmen (TOM);
- Datenschutzhinweise (für Website-Besucher, für Kunden / Nutzer / Geschäftspartner, für Mitarbeiter);
- Vereinbarungen zur Auftragsverarbeitung (mit Ihren Dienstleistern; wenn Sie Auftragsverarbeiter sind, mit allen Kunden);
- Verpflichtungserklärungen Ihrer Mitarbeiter auf das Datengeheimnis.
Wie diese Dokumente zu gestalten sind und ob weitere Dokumente nötig sind, hängt davon ab, was Ihr Unternehmen genau tut und in welcher Form.
2. Dokumente richtig nutzen: Gerade bei Datenschutzhinweisen und Vereinbarungen zur Auftragsverarbeitung ist es wichtig, sie richtig zu nutzen. Datenschutzhinweise müssen an den richtigen Stellen stehen, AVV müssen Sie wirksam abschließen.
Schritt 3: Die richtigen Prozesse einführen!
Immer wenn sich in Ihrem Unternehmen etwas an der Datenverarbeitung ändert, kann das Auswirkungen auf Ihre Pflichten aus der DSGVO und Ihre Datenschutz-Dokumente haben. Deshalb brauchen Sie ein „Datenschutz-Managementsystem“ – also Unternehmensprozesse, die u.a. sicherstellen, dass bei Änderungen in Ihrem Unternehmen der Datenschutz berücksichtigt ist. Dies umfasst folgende Themen:
- Anpassungen Ihrer Dokumente: Sie müssen sicherstellen, dass bei Änderungen in Ihren Geschäftsabläufen Ihre Datenschutz-Dokumente (siehe Schritt 2) womöglich anzupassen sind. Bei Vereinbarungen zur Auftragsverarbeitung (AVV) ist es nicht ungewöhnlich, dass Vertragspartner bestimmte Regelungen nicht akzeptieren und Änderungen wünschen. Damit müssen Sie umgehen können.
- Prozesse zum Umgang mit Betroffenenanfragen: Sie müssen wissen, was zu tun ist, wenn Betroffene (also Personen, deren Daten Ihr Unternehmen verarbeitet) ihre Rechte aus der DSGVO geltend machen möchten (z.B. auf Auskunft oder Löschung).
- Datenschutz-Folgenabschätzungen: Immer wenn Ihr Unternehmen Dinge tun möchte, die bezogen auf den Datenschutz Risiken mit sich bringen, müssen Sie einen formalisierten Prozess durchlaufen, die sog. Datenschutz-Folgenabschätzung (DSFA).
- Prozesse zum Umgang mit Datenschutzverletzungen: Sie müssen intern regeln, wie Ihr Unternehmen im Falle von Datenschutzverletzungen (z.B. Verlust von Rechnern oder Datenträgern) seine Meldepflichten nach der DSGVO erfüllt.
- Löschkonzept: Für viele ein besonders unangenehmes Thema: Sie brauchen einen Unternehmensprozess zur Löschung von Daten, die das Unternehmen nicht mehr speichern darf.
- Schulung von Mitarbeitern: Sie müssen dafür sorgen, dass Ihre Mitarbeiter regelmäßig darüber informiert werden, was sie bei ihrer Arbeit zum Thema Datenschutz beachten müssen. (Der Umfang hängt von der Position des Mitarbeiters ab.)
Schritt 4: Einfach verwalten & dokumentieren!
Nach der DSGVO reicht es leider nicht aus, die Schritte 2 und 3 umzusetzen: Wenn die Aufsichtsbehörde vor der Tür steht, müssen Sie auch den Nachweis liefern können, dass Ihr Unternehmen seine Datenschutz-Pflichten erfüllt. Achten Sie also darauf, Ihre Datenschutz-Dokumente, Prozesse und Handlungen in möglichst einfacher Form zu verwalten und zu dokumentieren.
Schritt 5: Die richtige Unterstützung!
Ihre Pflichten aus der DSGVO zu erfüllen, ist kein Hexenwerk. Aber es ist auch nicht immer ganz einfach. Das Problem: Datenschutz ist ein Thema mit rechtlichen und technischen Anteilen, und von beidem sollte man zumindest ein wenig Ahnung haben.
-
- Brauchen Sie einen Datenschutzbeauftragten? Jedes Unternehmen muss die DSGVO einhalten, aber nicht jedes Unternehmen braucht einen Datenschutzbeauftragten (DSB). Auch wenn Sie nicht zur Bestellung eines DSB verpflichtet sind, sollten Sie einen zuverlässigen Ansprechpartner zu diesem Thema haben – entweder bei sich im Unternehmen oder außerhalb.
- Brauchen Sie datenschutzrechtliche Expertise? Auch wenn Sie einen Datenschutzbeauftragten haben, brauchen Sie womöglich zusätzliche Expertise. Interne und externe Datenschutzbeauftragte haben häufig technische, aber keine rechtliche Expertise.
Sie können uns als Externe Datenschutzbeauftragte bestellen; den genauen Arbeitsumfang legen wir individuell fest. Oder Sie können uns als rechtliche Experten zur Unterstützung Ihres Unternehmens hinzuziehen. Außerdem haben wir ein gutes Netzwerk an IT-Beratern, die uns beim technischen Datenschutz unterstützen können.
Wie geht es jetzt weiter?
Sie sind der Meinung, in Ihrem Unternehmen gibt es aus rechtlicher Sicht Luft nach oben? Wir helfen Ihnen gerne, Ihr Unternehmen einfach und entspannt rechtlich professioneller zu machen.
Wenn Sie mit uns zusammenarbeiten, erleben Sie:
- Branchenkenntnis: Wir kennen Ihre Sorgen und Bedürfnisse, denn wir sind nicht nur fachlich, sondern auch auf die Besonderheiten kleinerer IT-Unternehmen spezialisiert.
- Effizienz: Wir machen aus Mücken keine Elefanten und versuchen immer, Ihre Ziele schnell und einfach zu erreichen. Das schont Ihre Zeit und Nerven.
- Transparenz: Sie wissen immer, wo wir stehen und welche Kosten Sie erwarten.
- Entspannung: Wir wissen, dass viele Menschen nicht gerne mit Anwälten sprechen. Deshalb tun wir alles, was wir können, damit Ihnen das nicht so geht.
Sie sind neugierig geworden? Dann machen Sie den nächsten Schritt:
- Schauen Sie sich auf unser Website um: https://comp-lex.de
- Lesen Sie unsere Blog-Beiträge: https://comp-lex.de/blog
- Vereinbaren Sie ein kostenloses Erstgespräch: https://comp-lex.de/kontakt
Dr. Jochen Notholt
Rechtsanwalt
comp/lex – Beratung im IT-Recht
Mail: jn@comp-lex.de
Tel.: +49 (0)89 41614295-2 // +49 (0)176 104 38 589
Büro: Lindwurmstr. 10, 80337 München