Acht Schritte, um das Unternehmen DSGVO-konformer zu machen. Datenschutz verbessern - BM online

Acht Schritte, um das Unternehmen DSGVO-konformer zu machen

Datenschutz verbessern

Fotolia_195650110_L.jpg
Am 25. Mai 2018 ist die neue Datenschutzgrundverordnung (DSGVO) der Europäischen Union endgültig in Kraft getreten. Davon sind auch kleine Handwerksbetriebe wie Tischlereien und Schreinereien betroffen. Foto: Fotolia/Stockpics
Am 25. Mai hat eine neue Datenschutz-Ära begonnen: die EU-Datenschutzgrundverordnung (DSGVO) tritt in Kraft. Sie nimmt alle Unternehmen, die personenbezogene Daten erfassen und speichern, in die Pflicht, ihre Datenverwaltung anzupassen – vom Konzern bis hin zum „Handwerker um die Ecke“.

von Christian Heutger

Auch Tischler und Schreiner sind von der Datenschutzgrundverordnung nicht ausgeschlossen, denn sie erfassen Mitarbeiterdaten, speichern Kundendaten, posten Fotos ihrer Arbeiten in sozialen Medien und geben Daten unter Umständen an Dritte weiter – zum Beispiel, wenn Rechnungen von einem Software-as-a-Service-Dienst in der Cloud bearbeitet werden. IT-Sicherheitsexperte Christian Heutger erklärt, was auf Betriebe zukommt und wie sie die neuen Regeln meistern.

Schritt 1: Wo werden personenbezogene Daten verarbeitet?

Im Rahmen einer „Dateninventur“ ist zu prüfen, in welchen Unternehmensprozessen personenbezogene Daten anfallen, wo sie gespeichert und wie sie verarbeitet werden. Diese Prozesse sollten durchleuchtet werden:

  • Verarbeiten von Kundendaten (Vertrags-, Kontakt-, Zahlungsdaten, Kaufhistorie, Bonitätsprüfungen, …)
  • Datenverarbeitungsprozesse, die extern geregelt werden
  • Finanzen und steuerrechtliche Daten (Rechnungsstellungen, Lohnbuchhaltung etc.)
  • Personaldaten (Arbeitszeiterfassungen und -verträge, Bewerbungsmanagement etc.)
  • Einkauf und Vertrieb (Lieferanten etc.)
  • Buchhaltung
  • externe Dienstleister
  • Auf der Homepage: Cookies und Social-Plug-ins, wie zum Beispiel Facebooks „Gefällt mir“-Button, Analyse- sowie Trackingtools
  • Newsletter-Versand.

Schritt 2: Erstellen Sie ein Verzeichnis für Verarbeitungsprozesse!

Wo personenbezogene Daten verarbeitet werden, müssen Datenverarbeitungsprozesse in einem „Verzeichnis von Verarbeitungstätigkeiten“ dokumentiert werden. Zwar sind Unternehmen mit weniger als 250 Angestellten in der Regel nicht verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten zu führen – aber nur, wenn die Verarbeitung von Daten nicht nur gelegentlich erfolgt. In der Praxis ist es aber Ansichts- oder Auslegungssache, was „gelegentlich“ ist und was nicht. Zudem dürfte es selbst in kleinsten Betrieben regelmäßige Datenverarbeitungsvorgänge geben.

In das Verfahrensverzeichnis gehören:

1. Name und die Kontaktdaten des Verantwortlichen, seines Vertreters sowie eines etwaigen Datenschutzbeauftragten.

2. Zwecke der Datenverarbeitung, beispielsweise „Personalmanagement“.

3. Beschreibung der Kategorien betroffener Personen (zum Beispiel „Mitarbeiter“ oder „Kunden“) und der Kategorien personenbezogener Daten (Stammdaten, Bewegungsdaten, Nutzungsdaten usw.).

4. Kategorien von Empfängern, gegenüber denen personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, z. B. natürliche oder juristische Personen, Behörden oder öffentliche Einrichtungen.

5. Sofern es der Fall ist: Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation.

6. Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien. Normalerweise unverzüglich nach Erfüllung ihres Zwecks; außer Daten, die unter die gesetzlichen Aufbewahrungspflichten fallen.

Schritt 3: Erstellen Sie eine umfassende Datenschutzerklärung!

Die Datenschutzerklärung muss deutlich umfangreicher ausfallen, als bisher. Diese Angaben gehören hinein:

  • Name/Firma und Adresse
  • Kontaktangaben, z. B. E-Mail-Adresse
  • E-Mail-Adresse des Datenschutzbeauftragten, wenn vorhanden.
  • Welche Daten werden für welche Zwecke verarbeitet. Heißt: Angaben zu einzelnen Verarbeitungstätigkeiten, wenn Nutzer davon betroffen sind.
  • Werden Daten auf Basis berechtigter Interessen wie Werbemaßnahmen verwendet, müssen diese benannt werden. Bei Marketingmaßnahmen wären dies „wirtschaftliche Interessen“.
  • Nennung der Rechtsgrundlagen der Datenverarbeitung.
  • Zeitpunkt der Löschung personenbezogener Daten.
  • Datenquelle, wenn der Nutzer die Daten nicht selbst mitteilt.
  • Sämtliche Rechte des Nutzers. Besondere Aufmerksamkeit erhält das Widerspruchsrecht: Es muss gesondert aufgeführt werden.

Schritt 4: Holen Sie Einwilligungserklärungen zur Datenverarbeitung ein!

Ohne Einwilligung geht nichts mehr: Betriebe müssen für jede Datennutzung eine Einwilligungserklärung der betreffenden Person einholen. Ausnahmen gelten, wenn die Datenverarbeitung zur Auftragserfüllung erforderlich ist (z. B. die Adressverarbeitung des Kunden, wenn ein Auftrag vor Ort ausgeführt wird), oder wenn die Daten zur Durchführung vorvertraglicher Maßnahmen verarbeitet werden, (bspw. wenn der Kunde einen Kostenvoranschlag per E-Mail anfordert). Ohne Einwilligung dürfen Arbeitgeber Daten verarbeiten, die sie zur Erfüllung ihrer Pflichten benötigen, z. B. zur Meldung von Sozialabgaben und Lohnsteuer an Finanzbehörden und Krankenkassen.

Schritt 5: Wenn Sie externe Dienstleister engagieren …

Jedes Unternehmen, das personenbezogene Daten im Auftrag – also von einem Dienstleister – verarbeiten lässt, muss einen Auftragsverarbeitungsvertrag abschließen. Mit dem Dienstleister sind gemeinsame gesetzeskonforme Richtlinien abzustimmen und vertraglich festzuhalten. AV-Dienstleister sind u. a. Gehaltsabrechnungsbüros, Datenträgerentsorger, Werbe- bzw. Marketingagenturen, Cloud-Computing-Anbieter, Web- bzw. E-Mail-Hoster.

Schritt 6: Wenn Personen Widerspruch einlegen …

Natürliche Personen dürfen Auskunft über ihre gespeicherten Daten, den Zweck der Datenspeicherung und etwaige Datenweitergaben einholen, sie können Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten einlegen oder deren Löschung beantragen. Die Anträge müssen zwingend binnen eines Monats umgesetzt werden – es sei denn, Betriebe können geltend machen, ihnen entstehen ohne die Datenverarbeitung schwerwiegende Nachteile. Idealerweise bewältigen Unternehmen diese Aufgaben, indem sie Auskünfte über personenbezogene Daten oder deren Löschung per Knopfdruck generieren. Die im Unternehmen verwendete Software kann so programmiert werden, dass Auskunftsfunktionen integriert und geeignete Daten gekennzeichnet sind.

Schritt 7: Wie reagieren Sie schnell bei Datenpannen?

Im Falle einer Datenpanne müssen die Aufsichtsbehörden innerhalb von 72 Stunden nach Kenntnisnahme informiert werden. Sind personenbezogene Daten betroffen, müssen auch die Betroffenen informiert werden.

Schritt 8: Bestimmen Sie einen Datenschutzbeauftragten!

Die meisten Unternehmen sind laut DSGVO verpflichtet, einen Datenschutzbeauftragten zu benennen. Nach deutschem Recht müssen alle Unternehmen mit mehr als zehn Mitarbeitern, die mit personenbezogenen Daten arbeiten, einen Datenschutzbeauftragten bestellen. Aber auch für alle anderen lohnt es sich, externe Unterstützung zu holen, um regelmäßig über Änderungen in der Datenschutzgesetzgebung informiert zu sein.


Der Autor

Als IT-Sicherheitsexperte berät Christian Heutger Unternehmen zu Datenschutz und IT-Security. Er ist Lehrbeauftragter sowie temporär agierender Lehrer und Dozent, u. a. an der FH Fulda. Heutger ist außerdem Geschäftsführer der PSW Group, die sich auf SSL- und Internet Security-Produkte spezialisiert hat, der PSW Group Training sowie der PSW Group Consulting.

www.psw-consulting.de


Unterstützung vom Verband NRW

Infos und Vorlagen zum Download

Die Verunsicherung darüber, was Betriebe durch die neue Datenschutz-Grundverordnung (DSGVO) erwartet, ist groß. Doch: Es besteht zwar Grund zum Handeln – aber kein Grund zur Panik. Das sagt der Fachverband Tischler NRW und unterstützt seine Innungsmitglieder bei der Umsetzung.

„In die DSGVO sind viele Prinzipien der bisherigen Regelungen eingeflossen und ähneln den Vorschriften und der Dogmatik des Bundesdatenschutzgesetzes“, sagt Heinz-Josef Kemmerling, Justiziar des Fachverbandes Tischler NRW. „Die in der DSGVO niedergelegten Grundsätze unterscheiden sich daher praktisch nicht von den bisherigen Regelungen: Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung oder Gewährleistung von Vertraulichkeit sind nicht neu.“

Die neuen Regeln betreffen alle, die personenbezogene Daten verarbeiten. „Und das machen auch Verbände und Betriebe – weil sie Mitarbeiter beschäftigen, eine Kundendatenbank nutzen, Fotos von Referenzobjekten posten oder Mitarbeitern die private Nutzung von Firmenhandys erlauben“, so Kemmerling. „Wer nicht in die Schusslinie tatendurstiger Datenschutzbehörden geraten möchte, sollte sich auf das neue europäische Datenschutzrecht einstellen, was aber meines Erachtens keine allzu große Herausforderung darstellt.“ Bei der Umsetzung der neuen Regeln unterstützt der Fachverband Tischler NRW Innungsbetriebe mit Vorlagen und Mustern – u. a. auch für eine Datenschutzerklärung und ein rechtssicheres Impressum auf der Betriebswebseite. Zusätzlich plant der Fachverband Informationsveranstaltungen auf Innungsebene.

www.tischler.nrw/infos-fuer-tischler

Kein Grund zur Panik: Heinz-Josef Kemmerling vom Fachverband Tischler NRW informiert Betriebe zur neuen Datenschutz-Grundverordnung.(Foto: Bettina Engel-Albustin)

Herstellerinformation

Herstellerinformation

BM-Titelstars: Schreiner wie wir

Herstellerinformation

Wissen testen – Preis absahnen

BM-Themenseite: Innentüren

Herstellerinformation

BM bei Facebook

Alles bio? Nachhaltigkeit im Tischler- und Schreinerhandwerk

Im Fokus: Gestaltung

Herstellerinformation


BM Bestellservice

Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der BM Bestellservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin-Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum BM Bestellservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des BM Bestellservice.
AGB
datenschutz-online@konradin.de