Fuck DSGVO! Oder was ist eigentlich zu tun?
Zugegeben, ich kann es nicht mehr hören. Alle sind aufgeregt oder regen sich zumindest auf. Über die Unklarheit der vielen gutgemeinten Informationen zur DSGVO, die nur an der Oberfläche kratzen oder so komplex sind, dass keiner mehr was versteht. Auch eine hohe Strafandrohung steht im Raum, für alle, die bis zum 25. Mai nichts gemacht haben.
Daher habe ich für mich eine Checkliste erstellt. Um mir selbst eine Struktur in der Umsetzung zu geben und diese auch meinem Netzwerk zur Verfügung zu stellen. Sobald ich zur DSGVO neue Erkenntnis bekomme, werde ich diesen Artikel auch weiter ergänzen. Ganz nach dem »Mehr ideale Kunden«-Motto: „Gib viel und dann etwas mehr.“
Worum geht es im Kern? Als Kreativ-Unternehmer werden wir durch die DSGVO gezwungen, die persönlichen Daten von Kunden und Mitarbeitern besser zu schützen. Ich habe den Eindruck, dass ich als Nicht-Jurist es kaum durchschauen kann, was nun eigentlich zu tun ist. Mit dieser lebenden Checkliste zwinge ich mich dazu, mich vorzubereiten und die notwendigen Schritte zu setzen.
1. Brauche ich einen Datenschutzbeauftragten?
Wir müssen einen Datenschutzbeauftragten benennen! Dies ist Pflicht, wenn im Unternehmen personenbezogene Daten automatisiert verarbeitet werden, also per EDV, CRM, EXCEL, Outlook etc. Personenbezogene Daten sind insbesondere Kunden- und Mitarbeiterdaten.
Die meisten Unternehmen in meinem Kreativwirtschafts-Netzwerk sind EPUs oder Kleinstbetriebe. Für diese macht die DSGVO eine Ausnahme: Sind regelmäßig nur neun oder weniger Mitarbeiter mit der Verarbeitung personenbezogener Daten beschäftigt, braucht ein Kreativ-Unternehmen KEINEN Datenschutzbeauftragten.
Dann kann der Geschäftsführer selbst den Datenschutz übernehmen. Achtung: Es sind auch jene Mitarbeiter zu berücksichtigen, die nur ab und zu Daten verarbeiten, etwa Zugriff auf die Kundendatenbank haben. Es spielt keine Rolle, ob ein Mitarbeiter Teil- oder Vollzeit arbeitet, freier oder fester Mitarbeiter ist, Praktikant oder Auszubildender. Entscheidend ist die Anzahl der Köpfe.
Achtung Therapeuten: Wenn du in deiner Praxis Daten hast, die ein hohes Risiko für die Betroffenen darstellen (z. B. zu ihrer ethnischen Herkunft, sexuellen Orientierung, Gesundheit oder zur politischen Einstellung) dann ist eine Datenschutz-Folgeabschätzung notwendig. Auch eine kleine psychotherapeutische Praxis, die solche Daten in der Patientenakte speichert, braucht also daher einen eigenen Datenschutzbeauftragten.
Was muss der Datenschutzbeauftrage können? Die Fachkunde des Datenschutzbeauftragten muss sichergestellt sein, etwa durch Fortbildungen beim WIFI.
2. »Verzeichnis der Verarbeitungstätigkeiten« anlegen
Jedes Unternehmen muss ein »Verzeichnis der Verarbeitungstätigkeiten“ anlegen. Dies ist im einfachsten Falle eine EXCEL-Tabelle, in der aufgelistet ist, welche Daten wann, wie und warum erhoben werden. Etwa die Daten seiner Kunden: Name, Adresse, Telefonnummer.
Achtung: Hier nicht die internen Daten vergessen, die verarbeitet werden, etwa Personaldaten, Daten aus der Lohnbuchhaltung und so weiter.
Bei einer Werbeagentur könnte das Verarbeitungsverzeichnis zum Beispiel so aussehen:
1. Kundenstammdaten
- Verantwortlich: GF Max Muster, Adresse, Telefonnummer
- Zweck: Erbringung von Marketing-Dienstleistungen
- Betroffene: Kunden der Agentur
- Wer kann auf die Daten zugreifen?: Alle Mitarbeiter in der Kundenberatung
- Datenkategorie: Kundenstammdaten (Name, Telefonnummer, E-Mail-Adresse). Alle Ansprechpersonen beim Kunden
- Übermittlung an Drittstaaten: Nein
- Löschfrist: Bei Widerruf des Betroffenen
- Rechtsgrundlage: DSGVO Art. 6, Abs. 1b
- Einwilligung des Betroffenen: Jeder Kunde wird auf die Erfassung der Daten durch die Mitarbeiter mündlich hingewiesen und darauf aufmerksam gemacht, dass er diese Daten jederzeit einsehen und löschen lassen kann.
2. Bewerberdaten
- Verantwortlich: GF Max Muster Adresse, Telefonnummer
- Zweck: Bewerbermanagement
- Betroffene: Bewerber
- Wer kann auf die Daten zugreifen?: GF Max Muster Adresse, Telefonnummer
- Datenkategorie: Bewerbungsmappen, Lebensläufe, Adressdaten (Name, Adresse, Telefonnummer, E-Mail-Adresse)
- Übermittlung an Drittstaaten: Nein
- Löschfrist: Sechs Monate nach Beendigung des Bewerbungsverfahrens
- Rechtsgrundlage: Art. 13 Abs. 1 und Abs. 2 DSGVO
- Einwilligung des Betroffenen: Bewerber werden mit einer automatischen E-Mail über den Zweck der Datenerhebung und die Dauer der Datenaufbewahrung informiert.
Die Unternehmen müssen darüberhinaus den Weg der Daten nachzeichnen, von der Erhebung, der Speicherung (etwa bei der Verwendung einer CRM-Software als SaaS) bis hin zur Nutzung (zum Beispiel durch die Mitarbeiter).
3. Prozesse festlegen und Prozesshandbuch schreiben
Unternehmer sollten jetzt alle mit Datenverarbeitung verbundenen Prozesse dokumentieren und – wenn nötig – optimieren. Zum Beispiel:
- Wie werden Kunden über die Verarbeitung ihrer Daten informiert?
- Wie reagieren Mitarbeiter, wenn Kunden fragen, welche Daten von ihnen gespeichert wurden?
- Was ist der Prozess, wenn ein Kunde darauf besteht, dass seine Daten gelöscht werden? Wer ist dafür verantwortlich?
- Was ist der Prozess, falls es zu einem Datenleck kommt und personenbezogene Daten in falsche Hände geraten?
- Denn Achtung: Kommen z. B. die Daten aus dem CRM abhanden, zum Beispiel durch einen Hackerangriff, müssen Unternehmen binnen 72 Stunden die zuständige Landesdatenschutzbehörde informieren.
- Ist das Ziel, warum Daten gespeichert wurden, erreicht, müssen die Daten gelöscht werden (bei einem Gewinnspiel etwa nach der Ermittlung der Gewinner). Wie ist der Löschprozess organisiert?
- Wie werden Mitarbeiter geschult, damit sie diese Prozesse kennen und ausführen können?
4. Datenschutz-Folgeabschätzung durchführen, aber nur wenn nötig
Wer mit besonders sensiblen Daten arbeitet – etwa Arztpraxen, Therapeuten, Coaches oder Versicherungsmaklern – muss damit besonders umsichtig umgehen und unter Umständen eine sogenannte Datenschutz-Folgeabschätzung durchführen. Das gilt für alle Unternehmen, die eine Identifizierung und Kategorisierung der Person ermöglichen nach Themen wie z. B. Sexualität, Krankheiten, Finanzen, rassische oder ethnische Herkunft oder politischen Ansichten – denn hier besteht ein besonders hohes Risiko für die Betroffenen, wenn diese Daten missbraucht werden. Eigentlich sollte hier die Datenschutzbehörden eine Liste herausgeben, die besagt, welche Datenverarbeitungsvorgänge eine Datenschutz-Folgeabschätzung voraussetzen. Diese Liste gibt es aber bisher nicht, sodass im Einzelfall entschieden werden muss. Ein hohes Risiko kann sich aus der Art der Daten, ihrem Umfang oder dem Zweck der Datenverarbeitung ergeben.
Ziel der Datenschutz-Folgeabschätzung ist, die Risiken für die Persönlichkeitsrechte der betroffenen Personen zu kennen, um so geeignete Schutzmaßnahmen treffen zu können.
Worin besteht eine Datenschutz-Folgeabschätzung?
- Beschreibung der Datenverarbeitungsvorgänge.
- Beschreibung des Zwecks der Datenverarbeitung und Begründung, warum das Unternehmen ein berechtigtes Interesse daran hat. Die Datenverarbeitung muss im Hinblick auf den Zweck verhältnismäßig sein.
- Beschreibung der Risiken, die für betroffene Personen bestehen.
- Dokumentation: Was wird technisch und organisatorisch getan, um diese Daten gegen unberechtigten Zugriff oder Weitergabe zu sichern?
- Dokumentation: Wie wird im Falle eines Leaks verfahren?
- Dokumentation: Welche Kontrollmechanismen greifen, damit die Daten geschützt bleiben?
5. Alle Anstrengungen dokumentieren
Als Kreativ-Unternehmer sollten wir alle Anstrengungen dokumentieren: Welche Firewall wurde wann installiert? Welche Verträge wurden mit Dienstleistern geschlossen? Zu welchem Seminar ist der Datenschutzbeauftragte gegangen? Denn selbst bei Datenlecks oder Verstößen wie Fehlern in der Datenschutz-Erklärung besteht bei guter Dokumentation die Chance, ohne Bußgeld davonzukommen. Dafür muss man aber die Unterlagen auf Anfrage umgehend vorlegen können. Also sofort einen eigenen Ordner anlegen und die im Artikel beschriebenen Dokumente erstellen, ausdrucken und ablegen.
Hinterlasse einen Kommentar
An der Diskussion beteiligen?Hinterlasse uns deinen Kommentar!