Die DSGVO ist am 25. Mai 2018 in Kraft getreten. Sie gilt für alle Unternehmen und Organisationen. Das gesamte Thema ist komplex. Ein klarer Weg, wie die Umsetzung der DSGVO in kleinen Unternehmen aussehen soll, ist nicht vorgegeben.
Keine Panik. DSGVO in kleinen Unternehmen kann einfach sein.
Was fordert die DSGVO in kleinen Unternehmen?
Vereinfacht ausgedrückt sind die wichtigsten Forderungen der DSGVO:
- Alle Daten, die direkt oder indirekt auf eine Person zurückgeführt werden können, sind personenbezogene Daten.
- Diese Daten dürfen nur auf rechtmäßige Weise und für den Betroffenen nachvollziehbar verarbeitet werden.
- Diese Daten dürfen nur für festgelegte, eindeutige Zwecke verarbeitet werden.
- Nur die Daten, die unbedingt benötigt werden, dürfen verarbeitet werden. – Daten, die nicht mehr benötigt werden, müssen gelöscht oder anonymisiert werden.
- Betroffene haben einen Rechtsanspruch darauf zu erfahren, was über sie gespeichert ist und können Korrekturen einfordern.
- Die Daten müssen nach dem Stand der Technik verarbeitet und geschützt werden.
- Es muss ein Verfahrensverzeichnis erstellt werden, in dem alle Datenverarbeitungen des Unternehmens aufgelistet sind.
- Es muss eine einfache Risikoabschätzung für alle Verfahren gemacht werden.
- Nur Berechtigte dürfen auf die Daten zugreifen.
- Datenverluste müssen der Behörde bzw. dem Betroffenen gemeldet werden.
- Die Einhaltung der DSGVO muss nachgewiesen werden.
siehe DSGVO Artikel 5
Warum kann ich das Ganze nicht einfach ignorieren?
Nichts machen wird teuer. Bei Nichteinhaltung der DSGVO riskiert man hohe Strafen. Die DSGVO gibt Betroffenen ein Recht auf Schadenersatz und die Möglichkeit, sich bei der Datenschutzbehörde zu beschweren. Die Behörde ist dazu verpflichtet, jeder Beschwerde nachzugehen. Die Datenschutzbehörde darf auch ohne Anlass tätig werden. (siehe DSGVO Artikel 83).
Die DSGVO gibt KEINE Details, wie die oben genannten Punkte umgesetzt werden sollen. Es wird gefordert, dass angemessene Lösungen am Stand der Technik verwendet werden. Es wird auch gefordert, dass die Maßnahmen regelmäßig auf Zweckmäßigkeit geprüft werden müssen.
Was ist zu tun, um die DSGVO in kleinen Unternehmen umzusetzen?
- Der erste Schritt ist festzustellen, welche Datenverarbeitungen im Unternehmen durchgeführt werden.
- Die Verarbeitungen müssen dokumentiert werden (welche Art von Daten wird verarbeitet, an wen werden die Daten übertragen, …).
- Für die Verarbeitungen muss festgelegt werden, wie lange die Daten gespeichert bleiben sollen (siehe Speicherbegrenzung und Aufbewahrungspflicht).
- Es muss das Risiko für die Betroffenen abgeschätzt werden.
- Der technische und organisatorische Datenschutz muss dokumentiert werden.
- Wenn es wesentliche Schwachstellen gibt, muss eine Behebung geplant werden.
- Wenn Unklarheiten oder ein hohes Risiko für Betroffene besteht, muss ein Experte hinzugezogen werden.
- Es muss mit diesen Informationen ein Verfahrensverzeichnis erstellt werden.
- Auftragsverarbeiter müssen gefunden und Verträge, gemäß der DSGVO, mit diesen abgeschlossen werden.
- Die Datenschutzerklärung auf der Website muss aktualisiert werden.
- Die Mitarbeiter müssen geschult werden, um Betroffenenanfragen korrekt zu beantworten. Schutzmaßnahmen im Betrieb müssen den Mitarbeitern bekannt sein.
- Es muss ein Termin für die Überprüfung dieser Maßnahmen definiert werden.
Bei der Vorbereitung muss keine Information an die Datenschutzbehörde weitergegeben werden. Die Vorbereitung stellt sicher, dass Sie die benötigten Dokumente und Informationen haben, wenn Betroffene oder die Behörde Anfragen stellen.
Wie kann ich mich als kleines Unternehmen vorbereiten ohne ein Vermögen auszugeben?
Um Ihnen diese Schritte einfacher zu machen, haben wir easyGDPR entwickelt. easyGDPR ist ein Online Tool, das Sie Schritt für Schritt beim Umsetzen der DSGVO unterstützt und Ihnen dabei hilft, die Situation in Ihrem Unternehmen korrekt zu dokumentieren.
Mit einfachen Fragen werden selbst komplexe Themen, wie die Risikoabschätzung, für Sie möglich. Gemeinsam mit Ihrem IT Leiter/-Betreuer können Sie problemlos die Fragen zum technischen und organisatorischem Datenschutz beantworten.
Wir bieten dabei für verschiedene Branchen wie Fahrschulen, Elektriker, Hausverwaltungen, Gartenbau, … Spezialversionen unserer Software an. Dabei sind häufig vorkommende Verarbeitungen bereits vordefiniert. So können sie noch einfacher ihr Verfahrensverzeichnis erstellen.
Unser Online Tool in Kombination mit unserem Online Training ermöglicht es Ihnen, viele Schritte der Vorbereitung auf die DSGVO selbst durchzuführen. Unser Ziel ist es, dass Sie dort wo Sie auf Experten zurückgreifen möchten, auf Augenhöhe mit den Experten arbeiten können.
Wieviel Aufwand muss ich für diese Arbeit rechnen?
Unserer Erfahrung nach kann die DSGVO Vorbereitung für Kleinunternehmen, ohne kritische Verarbeitungen, in der Regel in 3-4 Stunden erledigt werden.
Dazu kommt der Aufwand für evtl. notwendige Maßnahmen zur Datensicherheit (bessere Firewall, Datensicherung, …).
Wenn mögliche Datenschutzprobleme auftauchen (zB Sie speichern ungeschützte Kreditkartendaten, Sie arbeiten mit Gesundheitsdaten,…), sollte die Situation unbedingt mit einem Experten geklärt werden.
Wo bekomme ich Hilfe von Experten?
Abendworkshop „DSGVO einfach und effizient“
In unserem DSGVO Abendworkshop lernen Sie kurz und kompakt das 1×1 der Datenschutz-Grundverordnung. Der Workshop ist an die „Informationsoffensive Workshop Datenschutz Neu“ der WKO NÖ angelehnt. Der Vortragende, Andreas Schindler, ist geprüfter Datenschutzexperte und im DSGVO Beraterpool der WKO NÖ. Sie können sich direkt über unseren Onlineshop oder unter der e-Mailadresse: easygdpr@schindler-it.com anmelden.
Die Workshops finden in unserem Schulungszentrum in 2100 Stetten, Hautstraße 49 statt.