Einfach anfangen!

Einfach anfangen! Das sagt sich so leicht. Ist es auch. Der Anfang in wenigen Schritten:

  1. Brauche ich überhaupt „diesen Datenschutz“

Jeder, der Waren und Dienstleistungen in Deutschland oder der EU anbietet oder Mitarbeiter im Unternehmen hat, für den ist die Datenschutzgrundverordnung auch anwendbar.

Weiter ist die Datenschutzgrundverordnung für Auftragsverarbeiter anwendbar, d. h., immer wenn im Auftrag eines Dritten Dienstleistungen oder Waren in Deutschland oder der Europäischen Union angeboten werden.

Jeder, der unter die Datenschutzgrundverordnung fällt, also nicht nur rein privat und zu familären Zwecken Daten verarbeitet, sollte sich als nächstes fragen, ob ein Datenschutzbeauftragter bestellt werden muss.

2. Muss ich einen Datenschutzbeauftragten bestellen?

Soweit mehr als 20 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist ein Datenschutzbeauftragter für ein Unternehmen zu bestellen.

Darüber hinaus können auch Unternehmen dann verpflichtet sein einen Datenschutzbeauftragten zu benennen, wenn weniger als 20 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Allein die Beschäftigtenzahl ist nämlich nicht entscheidend.

Soweit im Unternehmen oder Verein Daten besonders schützenswerter Kategorien:

  • Gesundheitsdaten
  • Daten zum Sexualleben oder zur sexuellen Orientierung
  • genetische Daten
  • Daten, aus denen rassistische oder ethnische Herkunft hervorgeht
  • Daten aus denen politische Meinung hervorgeht
  • Daten aus denen religiöse und weltanschauliche Überzeugung hervorgeht
  • Daten aus denen die Gewerkschaftszugehörigkeit hervorgeht
  • Daten über strafrechtliche Verurteilungen und Straftaten

verarbeitet werden, ist unter Umständen ein Datenschutzbeauftragter zu bestellen.

Nämlich dann, wenn die Kerntätigkeit eines Unternehmens oder Vereins die Verarbeitung dieser besonderen Daten ist. Die Daten also nicht nur „so nebenbei“ gelegentlich verarbeitet werden.

Auch ist ein Datenschutzbeauftragter zu bestellen, wenn es zur Kerntätigkeit eines Unternehmens oder Vereins gehört, Personen in umfangreicher Weise regelmäßig und systematisch zu überwachen.

Fazit: Nur wenn ein Unternehmen weniger als 20 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, keine Daten aus besonders schützenswerten Kategorien gemäß obiger Auflistung als Kerntätigkeit verarbeitet und die Kerntätigkeit des Unternehmens nicht in der systematischen Überwachung von Personen liegt, braucht kein Datenschutzbeauftragter bestellt zu werden.

Es ist aber natürlich möglich, freiwillig einen Datenschutzbeauftragten zu benennen.

Wenn Sie einen Datenschutzbeauftragten benennen, wird dieser sich von nun an um den Datenschutz in Ihrem Unternehmen kümmern.

Auch wenn Sie keinen Datenschutzbeauftragten zu bestellen brauchen, müssen Sie sich trotzdem um den Datenschutz im Unternehmen kümmern. Die DSGVO gilt für alle, s.o.

3. Verzeichnis der Verarbeitungstätigkeiten

Jetzt geht es endlich los! Ein Datenschutzbeauftragter ist bestellt oder auch nicht – wir wollen jetzt endlich mit diesem Datenschutz anfangen! Und zwar mit dem wichtigsten Schritt, dem gefürchteten

Verzeichnis der Verarbeitungstätigkeiten

Jedes Unternehmen, auf das die Datenschutzgrundverordnung anwendbar ist, ist verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten zu erstellen.

Eine Ausnahme von der Erstellung des Vearbeitungsverzeichnis gibt es nur für Unternehmen und Einrichtungen mit weniger als 250 Mitarbeiter, wenn die Verarbeitung Daten nur gelegentlich erfolgt und keine besonderen Datenkategorien verarbeitet werden.

Das ist bei Unternehmen allerdings in der Praxis nicht denkbar, schon die Lohnbuchhaltung einschließlich der Verarbeitung von Religionsdaten oder Gesundheitsdaten wie Krankheitstagen bewirken schon, dass eine Freistellung nicht in Betracht kommt.

Das Verzeichnis ist in deutscher Sprache zu führen, ob schriftlich oder elektronisch ist egal.

Eine Excel-Tabelle ist also genauso gut, wie ein Ordner. Das Einfachste ist, Sie erstellen sich einen Ordner „Datenschutz“ füllen zunächst das Verzeichnis der Verarbeitungstätigkeiten aus.

Mit einem solchen Verzeichnis von Verarbeitungstätigkeiten erhalten Sie einen ersten Überblick über die in Ihrem Unternehmen anfallenden und verarbeiteten Karten entsprechende Muster mit weiteren Erläuterungen halten die sehr gut aufgestellten Datenschutzbehörden der jeweiligen Länder parat, beispielsweise das Datenschutzzentrum Schleswig-Holstein (ULD):

https://www.datenschutzzentrum.de/dsgvo/#vt

Was ist also konkret zu tun um dieses gefürchtete Verzeichnis endlich zum Leben zu erwecken?

Schritt 1: Erstmal ein Deckblatt!

Sinnvoll ist ein Deckblatt, aus dem sich Folgendes ergibt:

  • Angaben zum Verantwortlichen: Ihre Firma mit Name, Anschrift, Telefon und E-Mail – da gibt es bestimmt einen Stempel für?
  • Angaben zum ggfls. gemeinsamen Verantwortlichen: Wenn sie gemeinsam mit einen Dritten Daten verarbeiten brauchen Sie auch von dem Name, Anschrift, Telefon und E-Mail und Schreiben dies aufs Deckblatt. In der Praxis dürfte dies vor allem Facebook sein, wenn Ihr Unternehmen eine Fanpage betreibt.
  • Angaben zum Vertreter des Verantwortlichen: Name und Kontaktdaten einer natürlichen Person, juristische Person/Behörde/Einrichtung, etc.
  • Angaben zur Person des Datenschutzbeauftragten, sofern ein Datenschutzbeauftragter benannt ist (Name, Anschrift, Telefon, E-Mail).

Schritt 2: Ermittlung der Verarbeitungstätigkeiten

Setzen Sie sich mit Ihren Mitarbeitern/Abteilungen/Kollegen zusammen und starten mit einem Brainstorm: Wo werden üblicherweise personenbezogene Daten verarbeitet?

  • Personalabteilung?
  • Lohnabrechnung?
  • ERP-System?
  • Firmenwebseite?
  • Kundenverwaltung?

Schritt 3: Die so ermittelten Verarbeitungstätigkeiten werden aufgelistet. Es besteht kein Formularzwang. Besonders übersichtlich finde ich die Muster des LDA BAyern:

https://www.lda.bayern.de/media/muster/muster_1_verein_verzeichnis.pdf

https://www.lda.bayern.de/media/muster_2_kfz-werkstatt_verzeichnis.pdf

https://www.lda.bayern.de/media/muster_3_handwerksbetrieb_verzeichnis.pdf

Für jede Tätigkeit ist dann der Zweck der Verarbeitung anzugeben (Gehaltsabrechnung, Personalverwaltung, Kundenaqusie,…), wer davon betroffen ist (Mitarbeiter, Kunden, Geschäfstpartner, Lieferanten, Patienten…) welche Datenkategorien verarbeitet werden (Name, Anschrift, Geburtsdatum, Kontoverbindung,..), an wen die Daten weitergegeben werden (Steuerberater, Personalabteilung, etc), ob eine Übermittlung in Drittländer stattfindet – also Länder ausserhalb der EU und eine Löschfrist ist zu bestimmen. Also wird festgelegt, wie lange die Daten gespeichert werden.

Schritt 4: Technische Organisatorische Maßnahmen

Sie haben ein Vorblatt, Blätter mit der jeweiligen Verarbeitungstätigkeit. Jetzt brauchen Sie noch ein Schlussblatt, auf dem technisch und organisatorische Maßnahmen festgelegt werden. Wie schützen Sie die Daten im Unternehmen? Brainstorm!

  • Eingangstür hat ein Schloß
  • Pförtner bewacht den Zugang
  • Schlüssel nur für die jeweiligen Mitarbeiter in den einzelnen Abteilungen
  • Abgeschlossene Aktenschränke
  • Serverbackup, Antivirensoftware
  • Passwortsystem/Rollenkonzept in der IT
  • Regelmäßige Updates

Fertig ist das Verfahrensverzeichnis. Abheften. Eigentlich ganz einfach, oder?

4. Auftragsdatenverarbeiter

Als nächstes nehmen Sie sich das Verzeichnis der Verarbeitungstätigkeiten und schauen, inwieweit Daten von Dritten automatisiert verarbeitet oder gespeichert werden.

Ganz klassisch sind dies etwa Internet und E-Mail Provider.

Aber auch etwa Google, wenn Sie mit Google Werbeanzeigen (AdWords) arbeiten oder sonstige Dritte, denen Sie personenbezogene Daten zur Verarbeitung geben wie Telefondienstleister, Abrechnungsunternehmen, Subunternehmer.

Mit all diesen Unternehmen müssen Sie im Zweifel eine Auftragsdatenvereinbarung schließen.

Große Unternehmen wie Telekommunikationsunternehmen, Provider und natürlich auch Google halten entsprechende Auftragsdatenvereinbarung für Sie bereit, diese können Sie häufig einfach in Ihrem Kundenbereich ausdrucken.

Nehmen Sie diese Auftragsdatenvereinbarung in ihren Ordner Datenschutz mit auf.

5. Informationen für Betroffene

Immer dann, wenn Sie erstmalig personenbezogene Daten erheben, müssen sie denjenigen Informieren, dessen Daten Sie erhoben haben. Entweder derjenige ist „dabei“ – dann nach Art. 13 DSGVO oder er ist nicht dabei (schreibt z.B. eine E-Mail auf die Sie antworten) – dann nach Art. 14 DSGVO.

Wie macht man das? Sie erstellen Text „Datenschutzrechtliche Information gem. Art 13, 14 DSGVO“

Was muss da rein? Das steht direkt in den Art 13 und 14 DSGVO.

Für diese Information entwerfen Sie einen Workflow. Jeder neue Bewerber, Mitarbeiter, Geschäftspartner und potentielle Kunde bekommt es in die Hand gedrückt oder auf den ersten Kontakt – etwa in der Signatur – per E-Mail geschickt bzw. dem ersten Schreiben beigelegt. Wenn Sie sich unsicher sind, ob das immer so klappt sollten Sie sich den Erhalt quittieren lassen und abheften. Analog. Ganz einfach, aber nicht zwingend notwendig.

Herzlichen Glückwunsch. Das Schwierigste ist geschafft!