Marcus Dury, Fachanwalt für IT-Recht hat diese Tipps speziell für kleine und mittlere Unternehmen zusammengestellt.
Ab 25. Mai 2018 gilt die EU-Datenschutz-Grundverordnung (DSGVO). Auch wenn die Regelungen eigentlich schon länger umgesetzt sein sollten: Kleine und mittlere Unternehmen stellt das Regelwerk vor besonders große Herausforderungen – und bei Verstößen drohen empfindliche Strafen. Marcus Dury ist Fachanwalt für IT-Recht und mit seiner Kanzlei DURY Rechtsanwälte am Projekt „DaSoMan – Datensouveränitätsmanager“ beteiligt, das durch das Bundesforschungsministerium im Rahmen der Förderinitiative „KMU-Innovationsoffensive IKT“ gefördert wird. Dieser Förderschwerpunkt will das Innovationspotential kleiner und mittlerer Unternehmen (KMU) in der IT- und Kommunikationsbranche (IKT) stärken.
Marcus Dury kennt sich also sowohl mit KMU als auch mit Datenschutz aus. Er gibt zehn Tipps, die kleine und mittlere Unternehmen hinsichtlich DSGVO besonders beachten sollten.
Die Website ist besonders wichtig für die Außenwahrnehmung eines Unternehmens. Die dort präsente Datenschutzerklärung muss zwingend konform mit der DSGVO sein. Hier empfiehlt es sich dringend, die bestehende Erklärung durch einen spezialisierten Anbieter gemäß DSGVO überarbeiten zu lassen. Im Internet finden sich Dienstleister, die dies – auch zeitnah – erledigen können.
Die Datenschutzaufsichtsbehörden halten es für erforderlich, dass Nutzerinnen und Nutzer in den Einsatz von Webtracking-Technologien explizit einwilligen. Das ist eine sehr hohe Hürde. Wenn nicht unbedingt aus betriebswirtschaftlichen Gründen erforderlich, sollten KMU deshalb ganz auf Webtracking-Technologien wie Google Analytics verzichten.
Mit allen eigenen Dienstleistern, an die ein Unternehmen innerhalb von Datenverarbeitungsprozessen personenbezogene Daten liefert und die diese für das eigene Unternehmen verarbeiten, sollte das Unternehmen Auftragsverarbeitungsverträge abschließen. Darüber hinaus sollte ein Verzeichnis aller datenschutzrechtlich relevanten Verfahren im Unternehmen erstellt werden. Um dies zu erleichtern, gibt es zahlreiche, teilweise auch sehr erschwingliche Softwaretools.
Private und berufliche Mails sollten strikt getrennt werden. Kein Unternehmen sollte private E-Mails in dienstlichen E-Mail-Accounts dulden. Sinnvoll ist die Einführung einer IT-Benutzerordnung, die die Anweisung an die Mitarbeiterinnen und Mitarbeiter enthält, innerhalb einer Frist alle privaten Inhalte zu löschen. Zudem sollte die Einwilligung der Beschäftigten eingeholt werden, auf deren Postfach zugreifen zu dürfen.
KMU sollten es unbedingt vermeiden, den Newsletterversand zu tracken, denn es darf kein Newslettertracking mehr ohne vorherige Einwilligung der Nutzerinnen und Nutzer stattfinden. Momentan bieten viele Newslettertools die Möglichkeit, die Öffnungsquoten und die Klickquoten einzelner Links im Newsletter einzelnen E-Mail-Adressen zuzuordnen – das ist datenschutzrechtlich höchst problematisch.
Die DSGVO verlangt das Löschen der Bewerbungsunterlagen nach abgeschlossenen Auswahlprozessen. Unternehmen sollten Bewerberinnen und Bewerber auffordern, ihre Bewerbungsunterlagen ausschließlich an eigens dafür vorgesehene Mailadressen, zum Beispiel Bewerbung@....de, zu senden. Dieses Mailkonto sollte von einer revisionssicheren, dauerhaften E-Mail-Archivierung ausgenommen sein.
Das bayerische Landesdatenschutzzentrum hat ein Online-Tool veröffentlicht, damit kleine Unternehmen selbst überprüfen können, ob Handlungsbedarf besteht. Besuchen Sie dazu die Website des Bayerisches Landesamt für Datenschutzaufsicht mit seinem Angebot "Weg zur DS-GVO-Selbsteinschätzung".
Arbeiten in einem Unternehmen regelmäßig mehr als zehn Mitarbeiter mit personenbezogenen Daten, braucht es einen Datenschutzbeauftragten. Wenn weniger als zehn Mitarbeiter personenbezogene Daten verarbeiten, benötigt ein Unternehmen nur im Ausnahmefall einen Datenschutzbeauftragten – zum Beispiel bei der Verarbeitung von besonders schützenswerten personenbezogenen Daten, wie zum Beispiel Gesundheitsdaten.
Der Datenschutzbeauftragte muss ab dem 25. Mai 2018 der zuständigen Aufsichtsbehörde gemeldet werden. Die meisten Aufsichtsbehörden stellen hierfür Meldeformulare online bereit.
Soweit möglich, sollten externe Berater hinzugezogen werden, die im Rahmen vordefinierter Budgets die notwendigsten Handlungsbedarfe identifizieren und Änderungen umsetzen. Es dürfte aktuell aufgrund der starken Nachfrage jedoch schwer sein, zeitnah noch entsprechende Beratung zu erhalten. Es gibt allerdings die Möglichkeit zur Selbsthilfe durch entsprechende Software. Sie kann ein Unternehmen etwa dabei unterstützen, ein Verfahrensverzeichnis zu erstellen oder sich in sonstiger Form bezüglich des Datenschutzes zu organisieren.
Grundsätzlich ist es empfehlenswert, sich nicht verrückt machen zu lassen. Keiner weiß, ob die DSGVO tatsächlich so heiß zu verzehren ist, wie sie momentan gekocht wird.