Noch bis zum 25. Mai 2018 haben Unternehmen Zeit, sich auf die Veränderungen einzustellen, die durch die europäische Datenschutzgrundverordnung (DSGVO) eintreten werden. Kleinere Unternehmen und Startups sind davon genauso betroffen. Weil bei Verstößen hohe Geldbußen drohen, ist ein nahtloser Übergang besonders für kleine und junge Unternehmen wichtig. Folgende Checkliste führt durch die wichtigsten Aspekte der DSGVO – von unserer Gastautorin Tanja Müller für den Berufsverband der Rechtsjournalisten e.V.
Die DSGVO soll in erster Linie den Schutz personenbezogener Daten aller EU-Bürger stärken. Das heißt, auch außereuropäische Unternehmen müssen die neue Datenschutzbestimmung befolgen, wenn es um Daten von EU-Bürgern geht. Personenbezogene Daten sind Angaben, die sich einer bestimmten natürlichen Person zuordnen lassen und sie dadurch identifizierbar machen.
Dazu gehören beispielsweise Name, Geburtsdatum, Kontaktinformationen und Kontodaten. Weiterhin erhalten Angaben verschärften Schutz, die die Herkunft einer Person, deren politische Meinung, religiöse Überzeugung bzw. Weltanschauung, Gewerkschaftszugehörigkeit, Gesundheit und Sexualität betreffen.
Checkliste: Die wichtigsten Punkte der DSGVO, die Unternehmer umsetzen müssen
1. Betroffene Personen müssen informiert werden
Wer die Rechte kennt, die die DSGVO betroffenen Personen einräumt, kann die technischen und organisatorischen Anforderungen der Verordnung zielgerichteter umsetzen. So hat die betroffene Person laut Art. 13-15 das Recht auf Auskunft über die zu ihr gespeicherten personenbezogenen Daten. Aus dem Auskunftsrecht ergibt sich seitens der Unternehmer die Informationspflicht. Der Betroffene muss genau darüber informiert werden, welche Daten verarbeitet werden, wie dies geschieht und zu welchem Zweck.
In Art. 16-20 DSGVO wird dem Betroffenen außerdem das Recht auf Berichtigung und Löschung der Daten zugesprochen. Das bedeutet für die Verantwortlichen, dass alle Empfänger „denen personenbezogene Daten offengelegt wurden, jede Berichtigung oder Löschung der personenbezogenen Daten oder eine Einschränkung der Verarbeitung“ (Art. 19 Satz 1 DSGVO) mitteilen müssen.
Zuletzt hat auf Grundlage des Art. 21 DSGVO jede Person, mit deren personenbezogenen Daten die Verantwortlichen umgehen, ein Widerspruchsrecht. Folglich müssen die Verantwortlichen technisch und organisatorisch dazu in der Lage sein, umgehend und zuverlässig auf einen Widerspruch zu reagieren.
2. Auftragsdatenverarbeiter müssen die Einhaltung der DSGVO garantieren
Einige Unternehmen verarbeiten nicht selbst die personenbezogenen Daten von Kunden und Verbrauchern, sondern beauftragen ein anderes Unternehmen damit. Gemäß Art. 28 DSGVO dürfen sie das nur dann tun, wenn der Auftragsdatenverarbeiter hinreichend garantiert, „dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt […].“
Beauftragt der Auftragsdatenverarbeiter seinerseits Dritte, muss er dafür die Genehmigung der Verantwortlichen einholen.
3. Ein Verzeichnis über die Verarbeitungstätigkeiten muss angelegt werden
Art. 30 DSGVO schreibt den verantwortlichen Unternehmern vor, ein Verzeichnis über alle Verarbeitungstätigkeiten zu führen. In Absatz 5 räumt die Verordnung kleinen und mittleren Unternehmen Ausnahmen bei der Dokumentationspflicht ein. Ein Unternehmen mit weniger als 250 Mitarbeitern muss so ein Verzeichnis nur führen, wenn …
- die vorgenommene Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Person birgt,
- die Verarbeitung nicht nur gelegentlich erfolgt,
- nur eine Verarbeitung besonderer Datenkategorien (definiert in Art. 9 Abs. 1 DGSVO) bzw.
- von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten (im Sinne von Art. 10) erfolgt.
Kleinunternehmen und Startups deren Geschäftsmodell hauptsächlich auf innovativer Datenverarbeitung oder damit zusammenhängenden Technologien basiert, unterliegen trotzdem der Dokumentationspflicht.
Die Dokumentation ist außerdem wichtig, weil Verantwortliche dazu verpflichtet sind, eine Verletzung des Schutzes personenbezogener Daten der Aufsichtsbehörde zu melden und die betroffene Person darüber zu informieren. Durch das Verzeichnis lässt sich dann nachvollziehen, welche Daten von der Verletzung betroffen sind.
4. Ernennung eines Datenschutzbeauftragten
Wenn die Verarbeitung der Daten regelmäßig, systematisch und umfangreich durchgeführt wird, muss ein Datenschutzbeauftragter/eine Datenschutzbeauftragte ernannt oder eingestellt werden. Ein Mitarbeiter kommt dabei genauso für den Posten in Frage wie ein externer Bewerber.
Dieser muss allerdings über das nötige Fachwissen zum Datenschutz verfügen und in der Lage sein, das Unternehmen diesbezüglich zu beraten und die Einhaltung des Datenschutzes (auch in Zusammenarbeit mit der Aufsichtsbehörde) zu überwachen. Zehn Prozent des weltweiten Jahresumsatzes oder bis zu zehn Millionen Euro Geldbuße drohen, wenn diese Regel missachtet wird.
Datenschutzspezifische Zertifizierungsverfahren
Laut Art. 42 DSGVO besteht die Möglichkeit, eine Zertifizierung einzuholen. Diesbezüglich werden datenschutzspezifische Zertifizierungsverfahren, Datenschutzsiegel und -prüfzeichen eingeführt. Unternehmen, die diese Zertifizierung erhalten, können gegenüber Kunden und Verbrauchern nachweisen, die DSGVO hinreichend zu erfüllen. Kleine und mittlere Unternehmen haben oft noch nicht dieselben Kapazitäten zur Umsetzung der DSGVO, wie größere Unternehmen. Deshalb wird die Größe der Unternehmen laut Art. 42 Absatz 1 Satz 2 berücksichtigt.
Mehr zur neuen Datenschutzgrundverordnung, die am 25. Mai 2018 für alle EU-Mitgliedstaaten verbindlich wird, finden sich in einem eBook zum Thema, kostenlos erhältlich im Ratgeber zur DSGVO.
Über die Autorin
Tanja Müller studierte Journalismus und Kommunikation an der WWU Münster. Heute ist sie als freie Journalistin für verschiedene Verbände tätig. In ihren Artikeln befasst sie sich schwerpunktmäßig mit Fragestellungen aus den Bereichen Datenschutz und Urheberrecht.