Gerade für kleinere und mittelständische Unternehmen, ist es eine enorme Belastung, mit dem engen Korsett der Datenschutz-Grundverordnung (DS-GVO) umzugehen. Mit diesen Handlungsempfehlungen geben wir keine juristische Beratung. Falls im einzelnen Fall eine juristische Prüfung ratsam ist, verweisen wir auf die Fachjuristen.

Wir entwickeln uns innerhalb der Digitalisierung beständig weiter.

• Früher wurden die wohl gehüteten Firmengeheimnisse (Produktionsabläufe, Kundendaten), Personaldokumente, Rechnungen, usw. in Aktenordnern in abschließbaren Schränken oder sogar im Tresor aufbewahrt.
• Heute sind dies Daten, die auf Servern innerhalb des Unternehmens eingespeichert sind. Für die Tagesarbeit macht man sich doch schnell eine Kopie von der Datei und legt diese auf den Desktop …

Der Schutz von personenbezogenen Daten ist eine wesentliche Komponente der Digitalisierung. Die Harmonisierung des Datenschutzrechtes für alle Unternehmen innerhalb der EU schafft Unterschiede und Barrieren bei den Mitgliedsstaaten für den freien Datenverkehr ab.

Handlungsempfehlungen für die Erfüllung der DS-GVO

1. Vorliegen der Berechtigung zur Nutzung der personenbezogenen Daten.
   Fehlt die >>gesetzliche Ermächtigung? Dann muss die betroffene Person ihre Einwilligung – Begründungen für die Nutzung personenbezogener Daten können auf Basis eines Vertrages und anderer Interessen einer Person bestehen.
   Was heißt das? Zum Beispiel die beliebte Übergabe einer Visitenkarte macht die Unterschiede deutlich. Alleine die Übergabe der Visitenkarte erlaubt es dem Empfänger nicht, die enthaltenen Informationen für Kontaktaufnahmen zu nutzen, die einen informatorischen Charakter haben. Das sind z. B. Newsletter Mailings, Einladungen zu Informationsveranstaltungen (auch nicht telefonisch). Umso die Daten nutzen zu dürfen, muss eine Einwilligung der betroffenen Person für genau diese Aktivitäten vorliegen.

2. Informationspflicht gegenüber Kunden sobald personenbezogene Daten in / vom Unternehmen erfasst oder erhoben werden. Sobald diese Daten Rückschlüsse auf >>die betroffene (= eine bestimmte) Person zulassen, muss diese Information zum Zeitpunkt der Erfassung / Erhebung erfolgen. Das sind z. B.: Kontaktdaten des Datenschutzbeauftragten, die Verarbeitungszwecke der personenbezogenen Daten, eine Rechtsgrundlage für die Verarbeitung.

3. Ermöglichen einer Datenübertragbarkeit aller personenbezogenen Daten der betroffenen Person. – Was kann sowas sein? Bekannt sind uns bestehende Verfahren: Postnachsendeauftrag, Übertragung von Mobilrufnummern, Übertragung des Schadensfreiheitsrabatts bei KFZ Versicherern. Neu könnte entstehen: Übertragung der Daten des Fahrverhaltens von einem Leasinggeber zum nächsten. Bestand bei Google Takeout. Nutzer eines Google Kontos können die personenbezogenen Daten aus etlichen Google-Online-Diensten (z. B. Google Maps, Gmail, Google Drive), in einem allgemeinen Archivierungsformat exportieren.

4. Angemessene TOM (technisch und organisatorische Maßnahmen) beginnen beim Zugang zum Unternehmen, setzen sich fort an den Arbeitsplätzen der Beschäftigten, den baulichen Gegebenheiten rund um die IT Infrastruktur, einer eventuell notwendig werdenden Pseudonymisierung und Verschlüsselung personenbezogener Daten und enden … dies kann tatsächlich nur vor Ort entschieden werden.
   In diesem Zusammenhang sind weitere Schlagworte: Vertraulichkeit und Integrität der Systeme und Dienste – Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung deren Wirksamkeit.

5. Datenschutz-Folgenabschätzung diese kann an verschiedensten Stellen gefordert sein. Wirklich komplex, also ganz einfach im Unternehmen auf Datensuche gehen, sensible Daten aufspüren, das damit behaftete Risiko analysieren und bewerten. Risikobewertung, das klingt kompliziert, ist jedoch nicht so kniffelig zu lösen. Denn es wurde ja schon vorgearbeitet – oder? Mittels Auftragsdatenverarbeitungsvereinbarungen, einem Verarbeitungsverzeichnis, sind doch einige Risiken schon eingeschränkt. Auch die technische und organisatorische Maßnahmen stehen:  Pseudonymisierung und Verschlüsselung der personenbezogenen Daten (falls erforderlich). Stopp: Das Handeln gemäß DS-GVO ist ein schlanker Prozess und erfordert nicht zwingend eine große Menge an Ressourcen. In kleineren Unternehmen ist es einfach wichtig, dass der Chef entsprechend sensibilisiert ist und dies den Beschäftigten vorlebt. Dann klappt’s auch mit einer Datenschutz-Folgenabschätzung.

6. Im VV = Verzeichnis über Verarbeitungstätigkeiten werden alle Prozesse (Abläufe) erfasst, die innerhalb des Unternehmens zur Verarbeitung personenbezogener Daten eingesetzt werden. Dafür gibt es unterschiedliche Dokumentationsmöglichkeiten. Wir bevorzugen die Listenform. Diese kann in Anlehnung eines Musters des LDA Bayern in einem Standard Tabellenkalkulationsprogramm (Excel, OpenOffice Tabellenkalkulation) erstellt und gepflegt werden. Das LDI NRW hat als Muster eine Seitendarstellung. Da sollte jeder selbst entscheiden, was komfortabler in der Handhabung ist.

7. Aufgrund der Rechenschaftspflicht muss der Verantwortliche (=der Chef des Unternehmens) nachweisen, dass die Verarbeitung der personenbezogenen Daten den Grundsätzen zur Gewährleistung der Datenverordnung entspricht:
   – Rechtmäßigkeit und Transparenz
   – Zweckbindung
   – Datenminimierung
   – Richtigkeit von Daten
   – Speicherbegrenzung
   – Integrität und Vertraulichkeit
   – Rechenschaftspflicht
   Darauf gründet sich die Sicherheit der Datenverarbeitung.

8. Bestellung eines Datenschutzbeauftragten für das Unternehmen, wenn mindestens zehn Beschäftigte personenbezogene Daten verarbeiten.

9. Sollte es trotz aller Maßnahmen zu einem Datenschutzverstoß kommen, dann ist dieser innerhalb von 72 Stunden nach bekannt werden, an den Landesbeauftragten für Datenschutz in dem jeweiligen Bundesland zu melden.

10. Einbindung aller Beschäftigten in die sensible Handhabung aller Vorgänge, bei denen personenbezogene Daten verarbeitet werden.