Datenschutz – was habe ich als kleines oder mittelständisches Unternehmen denn damit zu tun?
Die Datenschutz-Grundverordnung kommt, ob Sie wollen oder nicht.
Bereits in Kürze, nämlich zum 25.05.2018, tritt die Datenschutz-Grundverordnung (DSGVO) sowie die Änderung des Bundesdatenschutzgesetzes (BDSG-neu) in Kraft.
Mit in Kraft treten der DSGVO werden sich erhebliche Veränderungen im Bereich des Datenschutzes ergeben.
Diese machen es notwendig, dass sich in jedem Falle auch kleinere und mittlere Unternehmen auf die neuen Regelungen und Forderungen des Datenschutzrechts vorbereiten. Tatsächlich dürfte es bereits jetzt für viele Unternehmen zur Erreichung der datenschutzrechtlichen Mindeststandards im Hinblick auf die kurze verbleibende Frist zu spät sein. Gleichwohl sollte man so schnell wie möglich beginnen, damit man im Fall der Fälle zumindest kommentieren kann, dass man mit der Einführung eines Datenschutzkonzeptes begonnen hat.
Die Datenschutz-Grundverordnung gilt unmittelbar und direkt.
Sie gilt für (fast) alle Unternehmen.
In Abhängigkeit vom Tätigkeitsfeld und der Größe des Unternehmens, sind besondere Maßnahmen und teilweise besonders umfangreiche Maßnahmen zu treffen.
Stichpunktartig sind folgende Schritte durchzuarbeiten:
Dies erfolgt regelmäßig in folgenden Schritten:
Im Folgenden muss das Unternehmen überprüfen, ob es gegenüber den Betroffenen der Datenerhebung, besondere Informations- oder Auskunftsrechte einhalten muss.
Für eine Vielzahl von Unternehmen wird es von entscheidender Bedeutung sein, dass sie aufgrund ihrer Größe oder aber ihres Tätigkeitsfeldes nunmehr zwingend einen Datenschutzbeauftragten bestellen müssen.
Der Datenschutzbeauftragte ist allerdings nicht nur zu bestellen, man muss die Tatsache, dass man ihn bestellt hat auch der zuständigen Landesbehörde mitteilen. Versäumt man dies, so ist bereits hierin zumindest eine Ordnungswidrigkeit zu sehen, die mit erheblichen Bußgeldern belegt werden kann.
Weiterhin müssen die Unternehmen eine Liste der Firmen erstellen, die in ihrem Auftrag Daten verarbeiten. Hierbei geht es nicht nur um Unternehmen, deren Hauptaufgabe die Verarbeitung von entsprechenden Daten ist oder aber z. B. um privatärztliche oder kassenärztliche Verrechnungsstellen. Es geht auch um Firmen, die IT-Support leisten und dadurch zufällig mit Daten der erhebenden Stellen in Kontakt kommen.
Auch diese Unternehmen müssen mit in die Liste aufgenommen werden und die datenverarbeitende Stelle ist verpflichtet mit all diesen Dienstleistern Verträge über die Auftragsverarbeitung zu schließen, diese fortzuhalten und stets zu aktualisieren!
Das Vorstehende stellt lediglich einen kurzen Abriss von Punkten dar, die im Rahmen der Vorbereitung Ihres Unternehmens auf die Datenschutz-Grundverordnung zu erfüllen sein könnten.
Einen Großteil der Anforderungen wird man ohne ganz erheblichen Personal-, Zeit- und Kostenaufwand innerhalb kürzester Zeit nicht abbilden können. Es gibt allerdings wesentliche Punkte, auf die, aller Voraussicht nach, die zuständigen Aufsichtsbehörden bereits ab in Kraft treten der Datenschutz-Grundverordnung achten werden. Wenigstens hier sollten Sie gerüstet sein.
Zum Abschluss noch ein wenig bange machen:
Die Ordnungsgelder und gegebenenfalls zu zahlenden Strafen sind in der neuen Datenschutz Grundverordnung deutlich höher angesetzt, als im bisherigen Bundesdatenschutzgesetz.
Eine Haftung betrifft hier auch die Handelnden und verantwortlichen Personen, ohne dass die Möglichkeit bestehen dürfte, sich über entsprechende Versicherungen abzusichern.
Folge ist............
Sie warten ab und es wird teuer
– oder –
Sie unternehmen etwas und versuchten größeren Schaden von sich und Ihrem Unternehmen abzuhalten.
Sollten Sie hierzu Fragen haben, so steht Ihnen Rechtsanwalt Freier als Fachanwalt für IT-Recht und Spezialist im Bereich Datenschutz jederzeit gerne zur Verfügung.
Rechtsanwälte Pinkvoss, Dahlmann & Partner PartG mbB
Bergstraße 94
58095 Hagen
Tel.: 02331 916 70
Fax: 02331 916 769