17.04.2018

Datenschutz – was habe ich als kleines oder mittelständisches Unternehmen denn damit zu tun?

 

Datenschutz – was habe ich als kleines oder mittelständisches Unternehmen denn damit zu tun?

Die Datenschutz-Grundverordnung kommt, ob Sie wollen oder nicht.

 

Bereits in Kürze, nämlich zum 25.05.2018, tritt die Datenschutz-Grundverordnung (DSGVO) sowie die Änderung des Bundesdatenschutzgesetzes (BDSG-neu) in Kraft.

Mit in Kraft treten der DSGVO werden sich erhebliche Veränderungen im Bereich des Datenschutzes ergeben.

Diese machen es notwendig, dass sich in jedem Falle auch kleinere und mittlere Unternehmen auf die neuen Regelungen und Forderungen des Datenschutzrechts vorbereiten. Tatsächlich dürfte es bereits jetzt für viele Unternehmen zur Erreichung der datenschutzrechtlichen Mindeststandards im Hinblick auf die kurze verbleibende Frist zu spät sein. Gleichwohl sollte man so schnell wie möglich beginnen, damit man im Fall der Fälle zumindest kommentieren kann, dass man mit der Einführung eines Datenschutzkonzeptes begonnen hat.

 

Die Datenschutz-Grundverordnung gilt unmittelbar und direkt.

 

Sie gilt für (fast) alle Unternehmen.

In Abhängigkeit vom Tätigkeitsfeld und der Größe des Unternehmens, sind besondere Maßnahmen und teilweise besonders umfangreiche Maßnahmen zu treffen.

Stichpunktartig sind folgende Schritte durchzuarbeiten:

 

  1. Ab 25.05.2018 gelten unmittelbar:

 

  • die Datenschutz-Grundverordnung und das BDSG in der neuen Fassung.

 

  1. Innerhalb des Unternehmens ist der Handlungsbedarf im Hinblick auf den Datenschutz zu analysieren.

 

Dies erfolgt regelmäßig in folgenden Schritten:

 

  1. Analyse des Ist-Zustandes
  2. Bewertung des Ist-Zustandes auf Rechtmäßigkeit und Verhältnismäßigkeit der Verarbeitung personenbezogener Daten
  3. Grundsatz der Rechtmäßigkeit
  4. Grundsatz der Zweckbindung
  5. Grundsatz der Verhältnismäßigkeit der Datenverarbeitung
  6. Grundsatz der Datenminimierung und Speicherbegrenzung
  7. Verarbeitung besonderer Kategorien personenbezogener Daten.

 

  • ist die entsprechende Analyse und Überprüfung erfolgt, so ist das Unternehmen angehalten, zu überprüfen, ob es seinen Rechenschafts- und Dokumentationspflichten nachkommt, und zwar bezüglich z. B. der technischen, organisatorischen Maßnahmen.

 

  • besteht eine Rechenschafts-, bzw. Nachweispflicht, ist diese erfüllt.

 

  • Dokumentation der technischen, organisatorischen Maßnahmen zum Datenschutz.

 

  • Verzeichnis der Verarbeitungsvorgänge sowie ggf. Folgenabschätzung für datenschutzrechtliche Verstöße.

 

Im Folgenden muss das Unternehmen überprüfen, ob es gegenüber den Betroffenen der Datenerhebung, besondere Informations- oder Auskunftsrechte einhalten muss.

Für eine Vielzahl von Unternehmen wird es von entscheidender Bedeutung sein, dass sie aufgrund ihrer Größe oder aber ihres Tätigkeitsfeldes nunmehr zwingend einen Datenschutzbeauftragten bestellen müssen.

Der Datenschutzbeauftragte ist allerdings nicht nur zu bestellen, man muss die Tatsache, dass man ihn bestellt hat auch der zuständigen Landesbehörde mitteilen. Versäumt man dies, so ist bereits hierin zumindest eine Ordnungswidrigkeit zu sehen, die mit erheblichen Bußgeldern belegt werden kann.

 

Weiterhin müssen die Unternehmen eine Liste der Firmen erstellen, die in ihrem Auftrag Daten verarbeiten. Hierbei geht es nicht nur um Unternehmen, deren Hauptaufgabe die Verarbeitung von entsprechenden Daten ist oder aber z. B. um privatärztliche oder kassenärztliche Verrechnungsstellen. Es geht auch um Firmen, die IT-Support leisten und dadurch zufällig mit Daten der erhebenden Stellen in Kontakt kommen.

Auch diese Unternehmen müssen mit in die Liste aufgenommen werden und die datenverarbeitende Stelle ist verpflichtet mit all diesen Dienstleistern Verträge über die Auftragsverarbeitung zu schließen, diese fortzuhalten und stets zu aktualisieren!

 

Das Vorstehende stellt lediglich einen kurzen Abriss von Punkten dar, die im Rahmen der Vorbereitung Ihres Unternehmens auf die Datenschutz-Grundverordnung zu erfüllen sein könnten.

 

Einen Großteil der Anforderungen wird man ohne ganz erheblichen Personal-, Zeit- und Kostenaufwand innerhalb kürzester Zeit nicht abbilden können. Es gibt allerdings wesentliche Punkte, auf die, aller Voraussicht nach, die zuständigen Aufsichtsbehörden bereits ab in Kraft treten der Datenschutz-Grundverordnung achten werden. Wenigstens hier sollten Sie gerüstet sein.

Zum Abschluss noch ein wenig bange machen:
Die Ordnungsgelder und gegebenenfalls zu zahlenden Strafen sind in der neuen Datenschutz Grundverordnung deutlich höher angesetzt, als im bisherigen Bundesdatenschutzgesetz.
Eine Haftung betrifft hier auch die Handelnden und verantwortlichen Personen, ohne dass die Möglichkeit bestehen dürfte, sich über entsprechende Versicherungen abzusichern.
Folge ist............

Sie warten ab und es wird teuer

– oder –

Sie unternehmen etwas und versuchten größeren Schaden von sich und Ihrem Unternehmen abzuhalten.

Sollten Sie hierzu Fragen haben, so steht Ihnen Rechtsanwalt Freier als Fachanwalt für IT-Recht und Spezialist im Bereich Datenschutz jederzeit gerne zur Verfügung.

Rechtsanwälte Pinkvoss, Dahlmann & Partner PartG mbB

Bergstraße 94

58095 Hagen

Tel.: 02331 916 70

Fax: 02331 916 769

 
PINKVOSS DAHLMANN & PARTNER | Photos by www.steur.de | Design und Webservice by bense.com | Impressum | Datenschutzerklärung | Sitemap | Suche