Datenschutz – womit fange ich an?

Wenn Sie frisch einen Verein oder ein Unternehmen gegründet haben, müssen Sie sich reichlich Gedanken machen. Datenschutz ist da nur eines unter vielen Themen. Bei all den vielen Dingen, die die DSGVO vorschreibt, stellt sich oft die Frage: “Womit fange ich beim Datenschutz an?”

Vorüberlegung

Wenn Sie mehr als 9 (demnächst 19) Mitarbeiter haben, die personenbezogene Daten verarbeiten, bestellen Sie einen Datenschutzbeauftragten (DSB). Ehrenamtliche zählen auch. Den DSB melden Sie beim Landesdatenschutzbeauftragten an. Der DSB hilft Ihnen bei der Umsetzung der folgenden Schritte. Denken Sie daran den DSB immer frühzeitig einzubinden. Auch für Prozesse gilt der Grundsatz “privacy by design”.

Wenn Sie weniger als 10 (bald 20) Mitarbeiter haben, müssen Sie keinen DSB bestellen, aber sich dennoch an die Vorgaben der DSGVO und weiterer Vorschriften halten. In diesem Fall unterstütze ich Sie gern.  

Schritt 1: das Verzeichnis für Verarbeitungstätigkeiten (VVT)

Vor jeder Verarbeitung muss man zunächst die Rechtsgrundlage klären. Dann muss man überprüfen, ob es eine Übermittlung gibt. Und schließlich, ob Risiken bestehen etc. Dies machen Sie mit dem VVT. Das VVT ist sozusagen unsere Schaltzentrale, mit der wir alles im Überblick haben. Die Form des VVT ist nicht vorgegeben, es muss aber alle Prozesse enthalten, bei denen personenbezogene Daten verarbeitet werden.

Zu den Fragen “Was sind personenbezogene Daten?” sowie “Welche Rechtsgrundlagen gibt es?”, habe ich im Artikel “Datenschutz im Verein” schon etwas geschrieben.

Das VVT hat mehrere Funktionen:

  • Zuallererst erfüllt es die Nachweispflicht.
  • Gleichzeitig ist es die Basis für die Information nach Artikel 13 (z.B. die Datenschutzerklärung auf Ihrer Website).
  • Außerdem haben Sie eine Überblick über Ihre Auftragsverarbeiter (bzw. wo Sie schon Verträge abgeschlossen haben)
  • Sie sehen auf einen Blick, ob eine Datenschutzfolgeabschätzung nötig ist und
  • welche besonderen Technisch-Organisatorischen Maßnahmen (TOM) nötig sind. Idealerweise gehören hierzu die Umsetzung der Betroffenenrechte (siehe Schritt 2)

Auf Basis des VVT können Sie also ganz leicht schon Verfahrensanweisungen und Richtlinien für Ihre Mitarbeiter erarbeiten.

Übrigens: Haben Sie keine Angst vor dem Begriff “Prozesse”. Ein strukturiertes Arbeiten ist wirtschaftlich und hilft Ihnen, sich auf das Wesentliche zu konzentrieren. Für viele Unternehmen war die Einführung der DSGVO daher eine gute Gelegenheit eingefahrene Strukturen zu überdenken und effizienter zu werden.


Schritt 2: Betroffenenrechte

Jetzt, wo Sie Ihre geplanten Prozesse (Verarbeitungstätigkeiten) kennen, müssen Sie sich um die Rechte der Betroffenen kümmern. Grundsätzlich gilt: Erst Betroffene informieren, dann Prozesse ändern.

Die wichtigsten Rechte der Betroffenen sind:

  • Information
  • Auskunft
  • Widerspruch
  • Löschung
  • Korrektur
  • Datenportabilität
  • Beschwerde bei einer Datenschutzbehörde

Definieren Sie also Verfahren, wie Sie mit Betroffenenanfragen (v.a. Auskunft, …) umgehen. Bedenken Sie, dass Sie z.B. für eine Auskunft eine gesetzliche Frist von lediglich einem Monat haben. 

Definieren Sie in diesem Zusammenhang gleichzeitig ein Verfahren zur Bearbeitung von Datenschutz-Vorfällen (“Datenpannen”). Die gesetzliche Frist von 72 Stunden erlaubt es nicht, sich erst dann Gedanken um die Vorgehensweise zu machen, wenn der Vorfall schon geschehen ist.

Übrigens: Diese Prozessvorgaben (Verfahrens-/ Dienstanweisungen) gehören zu den Technisch-Organisatorischen Maßnahmen (TOM).

Erstellen Sie Dokumente zur Information von Kunden und Mitarbeitern (Art. 13-Informationen) sowie Mitarbeiterverpflichtungen für den Datenschutz. Die Information nach Artikel 13 darf übrigens cross-medial erfolgen. Sie dürfen in einem Brief auf die Datenschutzerklärung auf Ihrer Website verweisen. Allerdings müssen die entsprechendne Infos dann dort auch zu finden sein und nicht nur die Information für die Datenverarbeitung auf Ihrer Website enthalten.


Schritt 3: Datenschutzschulungen für Mitarbeiter

Die nächste TOM ist der Bereich Schulung/ Sensibilisierung.
Die größte Gefahr für Datenschutzverstöße sind die Mitarbeiter. Wenn diese nicht wissen, wie sie sich korrekt verhalten müssen, passieren zwangsläufig Fehler. Gleichzeitig helfen geschulte Mitarbeiter dabei, Fehler in Prozessen zu erkennen und nach Lösungen zu suchen. Sie müssen also nicht alles allein machen.

In diesem Zusammenhang können Sie auch gleich noch die Verpflichtung auf den Datenschutz bei Ihren Mitarbeitern abholen, falls Sie dies noch nicht bei der Einstellung getan haben. Auch Einwilligungen, z.B. für die Veröffentlichung von Mitarbeiterbildern im Internet, können jetzt eigeholt werden.

Überlegen Sie, ob Sie einen Intranet-Bereich für den Datenschutz etablieren, in dem Sie Schulungsmaterial, Vorlagen, FAQ, Handbücher, Richtlinien etc. für Ihre Mitarbeiter bereitstellen.


Schritt 4: Website

Warum erst jetzt? Ganz einfach: Die anderen Dinge sind wichtiger – auch, wenn man sie von außen nicht sofort sieht. Gleichzeitig können Sie jetzt bequem Ihre Website nutzen, um Informationen nach Art. 13 bereitszustellen (vgl. Verzeichnis für Verarbeitungstätigkeiten)

https://jogwitz.de/last-minute-check-ist-ihre-website-dsgvo-konform/

Alternativ können Sie Ihre Website von einer Agentur erstellen lassen. Das Erstellen eines Impressums und einer DSGVO-konformen Datenschutzerklärung gehört i.d.R. zum Leistungsumfang dazu. Bedenken Sie jedoch, dass die DSE der Agentur sich nur auf die Website (und nicht auf Ihre allgemeinen Geschäftsproszesse) bezieht.

Vergessen Sie nicht, über den Einatz von Cookies (vor allem solche zum Tracking der Nutzer, wie Google Analytics oder Facebook pixels) informieren.

Wenn Sie Social-Media-Portale nutzen und “teilen”-Buttons verwenden, sollten Sie dies ebenfalls in der Datenschutzerklärung anführen. Aktuell ist der Einsatz von Facebook-Fanpages allerdings nicht DSGVO-konform möglich. Sollten Sie sich dennoch aus Marketinggründen dafür entscheiden, empfehle ich eine schriftliche Risikobewertung durchzuführen.


Schritt 5: das DSMS

Jetzt können Sie anfangen, das Datenschutzmanagmentsystem zu etablieren. Überprüfen Sie in diesem Zusammenhang noch einmal, ob Sie Richtlinien für Passwörter und E-Mail-Nutzung haben, ob Sie z.B. von Ihren Mitarbeitern die Einwilligung haben für die Bildveröffentlichung zu Marketingzwecken, ob Sie die Datenschutzfolgeabschätzung zur Videoüberwachung haben, etc.

Bei all diesen Schritten unterstütze ich Sie natürlich sehr gern. Auf Wunsch führe ich auch Inhouse-Schulungen für Führungskräfte/ Vorstände oder allgemeine Datenschutzschlungen für Mitarbeiter durch. Fragen Sie einfach an.

Obligatorischer Hinweis: Dieser Artikel ist keine Rechtsberatung.

Bildquellen

  • startup-593341_1920-pixabay-StartupStockPhotos: pixabay StartupStockPhotos