So machen Sie Ihr Unternehmen fit für die DSGVO

Wie Sie Schritt für Schritt die Richtlinie umsetzen und Strafen vermeiden

Seit dem 25. Mai gilt die neue Europäische Datenschutz-Grundverordnung (DSGVO). Diese betrifft nicht nur große Firmen, sondern auch viele kleine und mittelständische Unternehmen. Wir sagen Ihnen, was jetzt wichtig ist und wie Sie auch noch kurzfristig Ihr Unternehmen ins neue Datenschutz-Zeitalter führen können.

Haben Sie die neuen Datenschutzregelungen bereits umgesetzt? Die EU droht Firmen, die personenbezogene Daten nicht DSGVO-konform verwenden, mit drakonischen Strafen. Bis zu 20 Millionen Euro beziehungsweise zwei bis vier Prozent des Jahresumsatzes stehen als Zwangsgeld im Raum.

„Ob die Bußgelder tatsächlich so hoch ausfallen, kann im Moment noch niemand sagen“, sagt Frank Trojahn, Projektleiter DSGVO beim Deutschen Sparkassen- und Giroverband. Dennoch: Die Unsicherheit führt in manchen Unternehmen zu größeren Lösch-Aktionen. Getreu dem Motto: Lieber löschen als blechen. Dadurch gehen viele Kundenkontakte verloren. Bevor Sie also mit dem Löschen beginnen, ist es besser, sich jetzt zu informieren und Schritt für Schritt die Vorgaben der DSGVO zu erfüllen.

1. Schritt: „Verzeichnis der Verarbeitungstätigkeiten“ führen

Nach Artikel 30 der DSGVO muss jedes Unternehmen ein Verzeichnis darüber führen, welche Daten zu welchem Zweck gespeichert und verarbeitet werden. Das sind beispielsweise die Kundennamen und -adressen.

„Je mehr personenbezogene Daten ein Unternehmen verarbeitet, desto umfangreicher wird natürlich das Verzeichnis“, erklärt Trojahn. Bei kleineren Firmen mit einer simplen Kundenkartei kann dagegen eine einfache Tabelle ausreichen. „Im Grunde genommen muss das Verzeichnis nicht einmal digital sein. Sportvereine beispielsweise können auch alles auf Papier auflisten.“

2. Schritt: Gegebenenfalls Datenschutz-Beauftragen benennen

Nach der DSGVO brauchen Unternehmen unter bestimmten Voraussetzungen einen Datenschutz-Beauftragten. Wenn zehn oder mehr Mitarbeiter mit der Verarbeitung personenbezogener Daten im Betrieb zu tun haben, muss ein Datenschutz-Beauftragter benannt werden. Bei kleinen Firmen kann das der Geschäftsleiter selbst übernehmen.

Der Datenschutz-Beauftragte kümmert sich um alles, was mit dem Datenschutz zu tun hat. Er oder sie muss also die Anfragen von Kunden beantworten und für die Löschung von Daten sorgen, falls das notwendig ist.

3. Schritt: Einwilligung zur Datennutzung einholen

Unternehmen müssen nachweisen können, dass sie die Einwilligung ihrer Kunden für die Nutzung der personenbezogenen Daten haben, falls deren Verarbeitung nicht auf gesetzlicher oder vertraglicher Grundlage erfolgt. Diese Einwilligung soll freiwillig sein und ist an bestimmte Verarbeitungszwecke gebunden. Liegt eine solche Einwilligung nicht vor, kann ein Unternehmen diese im Nachhinein bei ihren Kunden abfragen.

Dazu müssen Informationen über die Verarbeitung von Daten in Zukunft „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ den Kunden erreichen – so will es das Gesetz. Die Datenschutz-Erklärung für Kunden sollte dementsprechend überarbeitet werden.

4. Schritt: Auskunftspflichten kennen

Die Auskunftspflichten werden durch die DSGVO erweitert. Jede Person hat das Recht, die über sie gespeicherten Daten einzusehen. Betreiber von Webseiten müssen die gewünschten Auskünfte unentgeltlich erteilen.

Grundsätzlich ist die Auskunftspflicht nichts Neues. Allerdings dürfen Nutzer nun gegen die Verarbeitung ihrer Daten vorgehen und beispielsweise die geplante Speicherungsdauer erfragen. Unternehmen werden also auf Nachfrage des Kunden tätig.

Firmen sollten auf Anfragen dieser Art vorbereitet sein. „Gerade Firmen, die mit der Umsetzung im Verzug sind, sollten auf die Einfallstore der Kunden achten. Das kann zum Beispiel die Website der Firma sein. „So kann sich ein Unternehmen möglichen Ärger ersparen“, sagt Trojahn.

5. Schritt: Recht auf Vergessen einräumen

Falls Kunden es wünschen, muss ein Unternehmen die personenbezogenen Daten der Betreffenden löschen. Wenn eine Firma dem nicht nachkommt, sind Klagen auf Schadensersatz möglich.

6. Schritt: Sonderfall Datenschutz-Folgeabschätzung

Die Datenschutz-Folgeabschätzung ist ein Spezialfall in der DSGVO und betrifft sensible Datenverarbeitungszwecke. Das können zum Beispiel Patientendaten in Arztpraxen und Krankhäusern sein. „Es geht hier auch um die Bewertung, ob eine nicht vertraglich vereinbarte Nutzung von Daten notwendig und verhältnismäßig ist“, sagt Trojahn.

Im Zweifel sollten sich Unternehmen von den Landesdatenschutzbehörden beraten lassen, um zu klären, ob eine Datenschutz-Folgeabschätzung notwendig ist.

Jetzt handeln

Wenn Sie diese Schritte erfolgreich gegangen sind, sind Sie auf einem guten Weg. Wenn Sie Fragen haben, finden Sie auf der Internetseite der Datenschutzbehörde des jeweiligen Landes Hilfe und jede Menge Tipps.

Auf Anfrage können dort auch weitere Fragen geklärt werden: Wie sieht es mit der Verwendung von Adressdaten bei Newslettern aus? Darf man weiterhin Webanalyse-Tools auf seiner Internetseite verwenden? Die Anforderungen des Datenschutzes sehen bei jedem Unternehmen anders aus und müssen individuell geklärt werden. Eine gute Orientierungshilfe bietet das Bayerische Landesamt für Datenschutzaufsicht. Anhand eines Fragebogens können Firmen überprüfen, inwieweit sie allen Anforderungen der DSGVO erfüllt habe.

Es wird Zeit

Sie haben noch nicht mit der Umsetzung begonnen oder sind klar im Verzug? Dann wird es höchste Zeit! Das wichtigste ist, dass Sie jetzt handeln und versuchen, so viel wie möglich umzusetzen.

„Klar ist, dass man die Bestimmungen kennen muss. Und wenn man noch nicht alles umsetzen konnte, muss es einen Maßnahmenplan geben, der zeigt, wie die Firma der DSGVO nachkommen will“, erklärt Trojahn.

Dokumentieren Sie alle Schritte, die Sie zur Umsetzung gemacht haben bzw. noch durchführen müssen. Sie sind ihre Argumentationshilfe bei den Landesdatenschutzbehörden, falls Sie momentan noch nicht so weit sind.

Mehr Infos und Konditionen finden Sie bei Ihrer Sparkasse.

Bitte wählen Sie Ihre Sparkasse aus:

Ist das nicht Ihre Sparkasse?