Obwohl die neue Datenschutzgrundverordnung (DSGVO) und deren Inkrafttreten am 25. Mai 2018 schon 2016 beschlossen wurden, war die häufigste Reaktion doch große Überraschung.
„Was? Davon habe ich ja noch nie etwas gehört?“, „Das wird uns doch nicht betreffen.“ „Das geht nur die großen Firmen etwas an.“ Diese und ähnliche Aussagen haben wir in diesem Frühjahr öfters vernommen.
Nachdem wir uns mit dem Thema auseinandergesetzt haben (das braucht schon gut eine Arbeitswoche und einen Mitarbeiter, der sich durch die ganzen Paragraphen, Websites und Forenbeiträge kämpft, um herauszufinden, was die neue DSGVO besagt und was man als Unternehmer wirklich machen muss.), wurde eines schnell klar: es gibt unzählige Websites mit Forenbeiträgen, in denen jeder seine Meinung sagt, am Ende aber wenig oder nichts Verwertbares drinsteht. Und dutzende Firmen bieten plötzlich an, individuelle Datenschutzerklärungen zu verfassen. Wir fragen uns: wo kommen denn auf einmal all diese „Experten“ her? Es galt also herauszufinden, welche Seiten seriös sind und tatsächlich nützliche Infos beinhalten.
Wenn man schließlich mit dem Zusammentragen aller relevanten Informationen durch ist, erkennt man, dass es eigentlich nicht so schlimm ist, wie anfangs befürchtet: Vorsicht ist gut, Panik unangebracht! Leider betrifft die neue Datenschutzverordnung eben nicht nur große Firmen, sondern tatsächlich alle. Jeder Unternehmer muss sich mit diesem Thema auseinandersetzen.
Das Schwierigste war anfangs, eine Übersicht mit einzelnen Punkten zum Abarbeiten zu erstellen: Was ist die DSGVO? Inwieweit betrifft sie mich als Unternehmen? Und was muss ich jetzt tun?
Wenn man das geschafft hat, gestaltet sich der weitere Weg wesentlich einfacher.
Wir haben für uns einmal so eine Übersicht angefertigt:
- Datenschutzerklärung
- Einwilligungserklärung
- Benennung Datenschutzbeauftragter und Meldung an Behörde
- Konzept für Antrag von Kunde auf Auskunft
- Infos für Kunden vor erstmaliger Datenerhebung
- TOM (technisch-organisatorische Maßnahmen)
- Mitarbeiterschulung
- Verzeichnis von Verarbeitungstätigkeiten
- Notfallkonzept (Meldung an Aufsichtsbehörde)
- Löschungskonzept (Antrag von Kunde auf Löschung)
- Auftragsverarbeiter und Vereinbarungen
- Richtlinien intern für Unternehmen
Der vielleicht wichtigste Punkt ist die firmeneigene Datenschutzerklärung und deren Einwilligungsmöglichkeit. Normalerweise würde man zuerst bei den anderen Firmen nachschauen, sodass man sich dort an der Datenschutzerklärung orientieren kann. Leider gab es vor der DSGVO natürlich noch keine aktualisierten Erklärungen, sodass sich die Formulierung etwas schwierig gestaltete, besonders in Bezug auf die zu erwähnenden Punkte und Paragraphen. Was muss erwähnt werden, was braucht man nicht, weil es das eigene Unternehmen nicht betrifft und welche Funktionen der eigenen Homepage müssen erwähnt werden? Dazu gehört, die eigene aktuelle Datenschutzerklärung zu analysieren und anzupassen; anschließend muss noch jedem Kunden (Bestands- und Neukunden) die Möglichkeit gegeben werden, freiwillig einzuwilligen; zum Beispiel auf der eigenen Homepage im Kontaktformular.
Müssen wir jetzt in unserem Unternehmen einen Datenschutzbeauftragten bestimmen? Muss ich das irgendwo melden? Darf ich in diesem Fall einfach einen meiner Mitarbeiter abbestellen? Und was für Eignungen muss dieser überhaupt haben?
Diese Fragen waren zunächst auch nicht einfach zu klären. Es gibt nämlich die Möglichkeit zwischen einem internen und einem externen Datenschutzbeauftragten zu wählen. Dann bleibt natürlich die Frage, welche der beiden Möglichkeiten man wählen soll? Was spricht für einen Mitarbeiter, der im eigenen Unternehmen beschäftigt ist und die Strukturen kennt und was für einen externen Beauftragten, der in einiger Entfernung zum betreffenden Unternehmen steht? Wenn man sich für den eigenen Mitarbeiter entscheidet, muss sich dieser neben seiner eigentlichen Arbeit auch noch um die neue Datenschutzthematik kümmern; als interner Beschäftigter ist er aber meistens vor Ort. Wenn man einen externen Datenschutzbeauftragten bestimmt, kann dieser der Firma eventuell viel Arbeit in Bezug auf den Datenschutz abnehmen. Es gibt externe Dienstleister, die sich um das Verfassen der Datenschutzerklärung, um die jeweilige Homepage des Unternehmens und weiteres kümmern. Die Preise hierfür können jedoch sehr stark variieren.
Bei mehr als zehn Mitarbeitern, die mit personenbezogenen Daten arbeiten, muss ein Unternehmen einen Datenschutzbeauftragten stellen und dieser muss auch an die Aufsichtsbehörde gemeldet werden. Hier bleiben jedoch weitere Fragen: Wo muss man ihn oder sie melden, was genau muss bei der Anmeldung beinhaltet sein? (Scheinbar ist ein Datenschutzbeauftragte immer für das jeweilige Bundeslandes zuständig und man kann die Anmeldung auch online auf der Homepage der Behörde machen).
Wichtig ist außerdem, dass man seine eigenen Mitarbeiter in Bezug auf den Datenschutz und den Umgang mit personenbezogenen Daten schult (interne und/oder externe Mitarbeiterschulungen).
Es gilt des Weiteren die Mitarbeiter zu beruhigen, denn viele sind bei diesem Thema sehr verunsichert und wissen nicht, wie und was sie diesbezüglich kommunizieren dürfen. Was darf ich am Telefon sagen, welche Informationen darf ich abfragen und weitergeben? Auf was muss ich beim Versand von E-Mails achten (z.B. CC vs. BCC)?
Jeder hat zu Beginn Angst, einen Fehler zu machen, aber das heißt nicht, dass man die Kommunikation einstellen muss, bis man sich sicher ist, was genau zu tun ist. Man muss vielleicht einfach ein bisschen langsamer und konzentrierter arbeiten, bis sich die praktischen Methoden verinnerlicht haben. Denn der Datenschutz ist bei uns ja nichts Neues …