Mannheim – Ab dem 25. Mai 2018 wird es ernst – denn dann gilt die neue Datenschutzgrundverordnung. Auf diese Weise wird der Datenschutz in der Europäischen Union einheitlich geregelt. Die Industrie- und Handelskammer (IHK) Rhein-Neckar rät Unternehmen vor allem zu folgenden fünf Schritten:
Erster Schritt: Verfahren schriftlich beschreiben
Die wesentlichen Datenverarbeitungen sollten verschriftlicht werden – zum Beispiel bei Kunden- oder Mitarbeiterdaten. Das geht mit Hilfe sogenannter Verfahrensbeschreibungen. Betriebe mit mehr als 250 Mitarbeitern sind dazu sogar gesetzlich verpflichtet. „Aber auch Unternehmen mit weniger Mitarbeitern sollten entsprechende Verfahrensbeschreibungen erstellen. Auf die Weise ist sichergestellt, dass die Datenströme ordnungsgemäß dokumentiert werden“, erklärt Lisa Schmidt, Rechtsreferentin der IHK Rhein-Neckar. Denn künftig dreht sich die Beweislast bei einer Datenschutzüberprüfung durch Behörden um. Nicht die Datenschutzaufsicht muss einen Verstoß nachweisen, sondern das betreffende Unternehmen muss dokumentieren können, dass es alle notwendigen Maßnahmen für den Datenschutz ergriffen hat.
Zweiter Schritt: Einwilligungserklärungen überprüfen und einholen
Des Weiteren ist es für Unternehmen wichtig, Einwilligungserklärungen von Kunden zu überprüfen. Zum einen müssen sie dokumentiert sein, zum anderen müssen Kunden darauf hingewiesen worden sein, dass die Einwilligung freiwillig und jederzeit widerruflich ist. „Hat diese Belehrung in der Vergangenheit gefehlt, ist die Einwilligung unwirksam und muss neu eingeholt werden“, so Schmidt. Vorsicht ist bei der Zustellung von Newslettern geboten. Die Zustellung ohne wirksame Einwilligung stellt nicht nur einen Datenschutzverstoß dar, sondern zugleich auch einen Wettbewerbsverstoß, der kostenpflichtig abgemahnt werden kann. Für die Onlineeinwilligung hat sich das Double-Opt-In-Verfahren bewährt.
Dritter Schritt: Auftragsdatenvereinbarungen regeln
Sollten Unternehmen Personendaten durch Agenturen oder Callcenter verarbeiten lassen, dann ist dazu eine Auftragsdatenvereinbarung erforderlich. Das gilt auch beim Druck und Versand von Werbeflyern. Die meisten Unternehmen verfügen bislang noch nicht über Auftragsdatenvereinbarungen, obwohl das nach bisherigem Recht schon erforderlich war. Vor dem Hintergrund des erhöhten Bußgeldrahmens ist das jetzt dringend nachzuholen. Viele Auftragsdatenvereinbarungen aus der Vergangenheit genügen auch den neuen Anforderungen nach der Datenschutzgrundverordnung nicht. Entsprechend müssen die Vereinbarungen angepasst werden.
Vierter Schritt: Datenzugriff und Datensicherheit überprüfen und dokumentieren
Firmen sind dazu verpflichtet, gängige Datenschutzstandards einzuhalten und das zu dokumentieren. Zu regeln sind beispielsweise Zugriffsrechte, Passwortschutz, Firewalls und Back-Ups gegen Datenverlust. „Es genügt nicht, dass die Sicherheitsmaßnahmen vorhanden sind. Diese müssen auch entsprechend dokumentiert werden und auf Anfrage der Datenschutzaufsicht ausgehändigt werden“, erklärt Schmidt.
Fünfter Schritt: Datenschutzbeauftragten bestellen und benennen
Sobald ein Unternehmen zehn Mitarbeiter hat, die regelmäßig Zugriff auf Kunden- oder Mitarbeiterdaten haben, ist die Bestellung eines Datenschutzbeauftragten zwingend. Sonderregeln gelten für Unternehmen, die mit besonders sensiblen Daten umgehen, zum Beispiel mit Gesundheitsdaten. Diese Unternehmen müssen auch bei weniger Mitarbeitern einen Datenschutzbeauftragten bestellen. „Datenschutzbeauftragter kann entweder ein eigener Mitarbeiter sein oder ein externer Beauftragter. Bei Internen ist darauf zu achten, dass sie selbst nicht Mitglied der Geschäftsleitung sein dürfen und auch nicht Leiter der IT“, so Schmidt. Der interne oder externe Datenschutzbeauftragte muss dem Landesdatenschutzbeauftragten namentlich genannt werden und eine hinreichende fachliche Qualifikation im Datenschutz besitzen.
Weitere grundlegende Informationen zur EU-Datenschutzgrundverordnung und eine Checkliste für Unternehmen sind abrufbar unter:
www.rhein-neckar.ihk24.de/dsgvo