Fast ein Jahr nach Wirksamwerden der Datenschutzgrundverordnung (DSGVO) beschäftigen sich noch immer zahlreiche Unternehmen und Vereine mit der Umsetzung der neuen Vorschriften. Neben größeren Unternehmen sind auch kleine Unternehmen und Vereine von den Vorschriften betroffen.
Mit der Umsetzung der DSGVO in kleinen Unternehmen beschäftigt sich dieser Blogbeitrag. Dabei geht es speziell um solche Unternehmen, die nicht verpflichtet sind, einen Datenschutzbeauftragten zu ernennen. Das ist der Fall, wenn nicht mindestens 10 Mitarbeiter automatisiert personenbezogene Daten verarbeiten.
Die gesetzliche Verpflichtung zur Umsetzung der Regeln besteht stets, wenn im Unternehmen personenbezogene Daten regelmäßig verarbeitet werden. Dies ist bereits dann der Fall, wenn ein Unternehmen eine Kundendatenbank in der Software zur Rechnungsschreibung führt oder ein Verein seine Mitgliederdaten in einer IT-gestützten Vereinssoftware verwaltet. Lediglich die Notwendigkeit des Datenschutzbeauftragten ist im Regelfall an der Anzahl der Mitarbeiter zu bewerten.
Was bedeutet das nun konkret, d.h. welche Dinge müssen im Unternehmen stets umgesetzt werden? Nachfolgend ein kurzer Fahrplan mit unserer Umsetzungsempfehlung:

ThemaInhalt
Verzeichnis der Verarbeitungstätigkeiten (VVT)Das VVT ist eine Dokumentation der Geschäftsprozesse, mit denen personenbezogene Daten verarbeitet werden. Hierzu zählen beispielsweise: Lohnbuchhaltung, Führen der Personalakte, Finanzbuchhaltung, Kundenstammdatenverwaltung, Website usw. Die Dokumentation ist verpflichtend, wenn die Verarbeitungstätigkeiten regelmäßig stattfinden. Die Inhalte des VVT ergeben sich aus den gesetzlichen Regelungen.
MitarbeitersensibilisierungMitarbeiter, die mit personenbezogenen Daten umgehen, müssen geschult werden. Im einfachsten Fall erstellen kleine und mittlere Unternehmen eine Verschwiegenheitsverpflichtung sowie ein Merkblatt zum Datenschutz mit enthaltenen Regelungen zum Umgang mit Betroffenenrechten und den Umgang mit Datenpannen.
InformationspflichtenUm personenbezogene Daten überhaupt verarbeiten zu dürfen, bedarf es stets einer Rechtsgrundlage. Dies kann z.B. ein bestehendes Auftragsverhältnis sein. Neben der Rechtsgrundlage sind Informationspflichten zu beachten. Beim Eingang einer Bewerbung werden personenbezogene Daten verarbeitet. Die Rechtsgrundlage ist mit einer Vertragsanbahnung zum Beschäftigungsverhältnis gegeben. Darüber hinaus muss der Bewerber zeitnah über die Datenverarbeitung informiert werden. Auch bei weiteren Datenverarbeitungen sind Informationspflichten zu beachten. Dies gilt beispielsweise für:
– Geschäftspartner (Kunden, Interessenten, Lieferanten)
– Mitarbeiter
– Bewerber
– Internetseite
– Präsenzen in sozialen Netzwerken (z.B. Facebook)
Sicherheit der VerarbeitungMit dem erstellen Verzeichnis der Verarbeitungstätigkeiten herrscht Klarheit darüber, welche personenbezogenen Daten verarbeitet werden. Dadurch herrscht ein Bewusstsein darüber, wie brisant die Daten sind. Genau hieraus ergibt sich die Notwendigkeit an den Schutz der Daten. Der Datenschützer nennt dies die „Sicherheit der Verarbeitung“ oder auch „Technische und organisatorische Maßnahmen“ (sog. TOM’s). Hierunter sind die Maßnahmen der IT-Sicherheit zu verstehen, die dem Schutz der Daten dienen. Hierzu zählen beispielsweise:
– Verwendung sicherer Kennwörter
– Verfahren zur Datensicherung
– Aktualisierung von Software und Betriebssystemen
– Virenschutz
– Firewall
– usw.
IT-RichtlinieMit zunehmender Komplexität der IT-Umgebung in Unternehmen, evt. mehrerer vernetzter IT-Arbeitsplätze stellt sich die Frage der Notwendigkeit einer Richtlinie zum Umgang mit der Unternehmens-IT. Die Notwendigkeit einer IT-Richtlinie hängt ab von der Unternehmensgröße, möglicherweise lassen sich einfache Regeln bereits als einfaches Merkblatt definieren. Enthalten sein sind z.B. Regeln zur Privatnutzung im Unternehmen.
AuftragsverarbeitungOhne externe Dienstleister kommt kaum ein Unternehmen aus. Sei es der Softwarehersteller für Fernwartungen, das IT-Systemhaus oder der Hoster der Unternehmens-Website. Sobald nicht ausgeschlossen werden kann, dass auf personenbezogene Daten zugegriffen werden kann, bedarf es einer schriftlichen Vereinbarung zum Datenschutz. Es ist denkbar, die Vereinbarungen auf Basis einer der zahlreich vorhandenen Vorlagen selber zu erstellen. Möglicherweise ist es aber auch einfacher, bei den Dienstleistern anzufragen. Diese sollten die Thematik kennen.

Das klingt zunächst nach einem erheblichen Aufwand, dass ist es aber nicht. Wenn die Dokumente einmal fertiggestellt sind, bleibt lediglich die Aufgabe der regelmäßigen Kontrolle. Wir empfehlen unseren Kunden, die nicht einen Datenschutzbeauftragten haben, einmal jährlich alle Dokumente kritisch zu prüfen. Außerdem können Mitarbeiter befragt werden, ob die Regeln eingehalten werden oder ob Nachbesserungsbedarf besteht.
Wir werden in Kürze ein Onlineangebot starten, bei dem Sie anhand von kurzen Videos eine Anleitung zur Umsetzung der Anforderungen erhalten. Im Onlinecoaching-Paket sind selbstverständlich alle notwendigen Dokumente und/oder Hilfestellungen enthalten, die Sie bei der Fertigstellung der Dokumentation unterstützen.

Über den Autoren:

Markus Olbring ist Inhaber der comdatis it-consulting GmbH & Co. KG in Ahaus-Alstätte. Er ist als IT-Berater und IT-Sachverständiger und berät Unternehmen in den Bereichen Digitalisierung, Verfahrensdokumentation, Datenschutz, externer Datenschutzbeauftragter sowie Informationssicherheit.

#dsgvo #comdatis #bdsg #datenschutzbeauftragter #einfachmittelstaendischpragmatisch #kmu #ahaus #alstaette #alstätte #digitalisierung #handwerk #cyber #informationssicherheit