Faktencheck DSGVO
Haben Sie an alles gedacht?
von:Christian Heutger
Fulda. – Am 25. Mai beginnt eine neue Datenschutz-Ära – dann tritt die EU-Datenschutzgrundverordnung (DSGVO) in Kraft. Sie nimmt Unternehmen, die personenbezogene Daten erfassen und speichern, in die Pflicht, ihre Datenverwaltung anzupassen. Bei Verstößen drohen empfindliche Geldbußen von bis zu bis 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes. Auch im Baugewerbe wird mit sensiblen Daten gearbeitet. IT-Sicherheitsexperte Christian Heutger erklärt, wie Betriebe den neuen Regeln gerecht werden. Betriebe erfassen Mitarbeiterdaten, speichern Kundendaten, posten Fotos ihrer Arbeiten bei Kunden in Sozialen Medien und geben Daten unter Umständen an Dritte weiter – z. B., wenn Rechnungen von einem Software-as-a-Service-Dienst in der Cloud bearbeitet werden. Ab sofort gilt es, dabei Folgendes zu beachten:
Evaluierung von Prozessen, bei denen personenbezogene Daten verarbeitet werden: Voraussetzung für die Erfüllung der DSGVO ist, zu wissen, in welchen Unternehmensprozessen personenbezogene Daten anfallen, wo sie gespeichert und weiter verarbeitet werden. Dazu gehören die Kundendaten-Verarbeitung (Vertrags-, Kontakt-, Zahlungs-Daten, Kaufhistorie, Bonitätsprüfungen, . . .), Cookies und Social Plugins auf der Firmenhomepage, der Newsletter-Versand sowie Analyse- sowie Trackingtools, die (Lohn-) Buchhaltung und das Rechnungswesen (Abrechnungs- und Warenwirtschaftssystem), der Einkauf sowie Vertrieb. Nicht zu vergessen sind Personaldaten (z. B. Arbeitszeiterfassungen und -verträge, Bewerbungsmanagement), die Kameraüberwachung im Lager und die Navis im Betriebsfahrzeug.
Erstellung eines Verzeichnis von Verarbeitungstätigkeiten: Wo personenbezogene Daten verarbeitet werden, müssen Datenverarbeitungsprozesse in einem "Verzeichnis von Verarbeitungstätigkeiten" dokumentiert werden. Darin wird aufgeführt, welche Daten verarbeitet und wofür sie benutzt werden. Zwar sind Unternehmen mit weniger als 250 Angestellten i. d. R. nicht verpflichtet, dieses Verzeichnis zu führen – aber nur, wenn die Datenverarbeitung nicht nur gelegentlich erfolgt. In der Praxis ist es Ansichts- oder Auslegungssache, was "gelegentlich" ist und was nicht. Zudem dürfte es selbst in kleinsten Betrieben regelmäßige Datenverarbeitungsvorgänge geben.
Datenschutzerklärung aktualisieren: Die Datenschutzerklärung wird in den meisten Betrieben neu aufgesetzt werden müssen und wird deutlich ausführlicher ausfallen als bisher. Bspw. müssen Betroffene explizit auf ihre Rechte hingewiesen werden und auch die Kontaktdaten des Datenschutzbeauftragten müssen angegeben werden.
Datenschutzbeauftragen bestellen: Auch wenn ein Unternehmen nicht verpflichtet sein sollten, einen Datenschutzbeauftragen zu bestimmen, lohnt es sich, einen Verantwortlichen für den Datenschutz zu benennen. Es sollte jemand sein, der auf Datenschutz spezialisiert ist, denn er wird die Einhaltung der Datenschutzbestimmungen verantworten.
Einwilligung einholen: Betriebe müssen für jede Datennutzung eine Einwilligungserklärung der jeweiligen Person einholen. Ausnahmen gelten, wenn die Datenverarbeitung zur Auftragserfüllung erforderlich ist (z. B. die Adressverarbeitung des Kunden, wenn ein Auftrag vor Ort ausgeführt wird), oder wenn die Daten zur Durchführung vorvertraglicher Maßnahmen verarbeitet werden (bspw., wenn der Kunde einen Kostenvoranschlag per E-Mail anfordert). Ohne Einwilligung dürfen Daten verarbeitet werden, die Arbeitgeber zur Erfüllung ihrer Pflichten benötigen, z. B., um Sozialabgaben und Lohnsteuer an die Finanzbehörden und Krankenkassen zu melden.
Verträge zur Auftragsverarbeitung prüfen: Viele Unternehmen verwalten ihre Daten nicht komplett allein, sondern binden externe Dienstleister ein. Sobald personenbezogene Daten im Auftrag verarbeitet werden, muss mit dem Dienstleister ein Auftragsverarbeitungsvertrag abgeschlossen werden. Darin sind u. a. gemeinsame Compliance-Regeln abzustimmen und vertraglich festzuhalten.
Datenschutz-Folgenabschätzung durchführen: Wenn eine Datenverarbeitung für die Rechte und Freiheiten einer Person ein hohes oder ein sehr hohes Risiko zur Folge hat, muss der Verantwortliche vor deren Einführung eine sog. Datenschutz-Folgenabschätzung (DSFA) vornehmen. Dabei ist zu ermitteln, welche Folgen eine geplante Verarbeitung für den Schutz der Daten Betroffener hätte.
Anpassung interner Prozesse zur Gewährleistung neuer Betroffenenrechte: Natürliche Personen dürfen Auskunft über ihre gespeicherten Daten, den Zweck der Datenspeicherung und etwaige Datenweitergaben einholen. Sie können Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten einlegen oder deren Löschung beantragen. Unternehmen bewältigen diese Aufgaben, indem sie Auskünfte oder Löschung per Knopfdruck generieren. Die im Unternehmen verwendete Software kann so programmiert werden, dass Auskunftsfunktionen integriert oder geeignete Daten gekennzeichnet sind und schnell ersichtlich ist, wer Einwilligungen oder Widersprüche eingereicht hat. Zudem erhalten Betroffene die Rechte auf Vergessen werden und Datenübertragbarkeit. Auch sie sollten in den Workflow eingearbeitet werden. Es kann softwareseitig ermöglicht werden, dem Recht auf Datenübertragbarkeit zügig und umfassend nachzukommen. Dafür sollten alle Informationen über einen Betroffenen übersichtlich gespeichert sein, um sie ohne großen Aufwand übertragbar zu machen.
Einführung eines Reaktionsplan für Datenpannen: Datenpannen müssen der Aufsichtsbehörde innerhalb von 72 Std. nach Kenntnisnahme mitgeteilt werden. Sind personenbezogene Daten von der Datenpanne betroffen, müssen auch die Betroffenen informiert werden. Es sollten deshalb Verfahren implementiert werden, Verstöße zügig aufzudecken, melden und untersuchen zu können.
Zertifizierungen prüfen: Wer ideal auf die DSGVO vorbereitet sein und ihre Regelungen souverän umsetzen will, sollte über eine Zertifizierung nachdenken, denn sie können sich bei Verstößen bußgeldmindernd auswirken. Während für große Unternehmen die ISO27001 ideal ist, kommt für KMU die ISIS12-Zertifizierung in Frage. Im Rahmen einer Zertifizierung wird das gesamte Unternehmen auf Datenschutz getrimmt.
Über den Autor: Christian Heutger berät als IT-Sicherheitsexperte Unternehmen zu Datenschutz und IT-Security. Er ist Lehrbeauftragter sowie temporär agierender Lehrer und Dozent, u. a. an der FH Fulda. Heutiger ist außerdem Gesch.ftsführer der PSW Group, die sich auf SSL- und Internet Security-Produkte spezialisiert hat, der PSW Group Training sowie der PSW Group Consulting.
ABZ-Stellenmarkt
