Aaaah!!!! Die DSGVO!!!!!

Sie befinden sich hier: :Home/Blog/Aaaah!!!! Die DSGVO!!!!!

Aaaah!!!! Die DSGVO!!!!! Ich sage: Locker bleiben. Und Regeln beachten.

Die Datenschutzgrundverordnung betrifft uns alle. Wichtig sind ein paar Grundsätze, damit der böse Abmahngeier gar nicht erst über einem kreist. Und wie erklärt man die am besten? Genau, an einem Beispiel:

Der Handwerker Max Mauer

… beschäftigt 50 Mitarbeiter. Davon knapp die Hälfte in Handwerk und Produktion. Die anderen teilen sich unter anderem die Personalverwaltung und Kundenverwaltung untereinander auf. Allein in diesen beiden Bereichen arbeiten elf Leute. Azubis hat Mauer auch. Buchhaltung und Steuerthemen übernimmt ein Steuerberater. Klar, dass Max Mauer eine schicke Firmenwebsite betreibt – die hat eine Agentur für ihn gebaut und auch das gesamte Hosting übernommen.

Was Max Mauer alles muss

1) … einen Datenschutzbeauftragten (DSB) ernennen
Warum? Weil elf Mitarbeiter direkt und regelmäßig mit personenbezogenen Daten arbeiten – in Kunden- und Personalverwaltung. Ab zehn ist die Ernennung eines DSB Pflicht. Und wer wird jetzt Datenschutzbeauftragter? Einer der Mitarbeiter zum Beispiel. Oder alternativ ein externer Dienstleister.

2) … ein Verzeichnis von Verarbeitungstätigkeiten anlegen
Warum? Weil regelmäßig personenbezogene Daten verarbeitet werden. Und deshalb muss exakt aufgeführt werden, wie und wo die verarbeitet und gespeichert werden. Das kann vom Umfang her aber für Mauers Handwerksbetrieb überschaubar sein. Im Internet gibt es hierzu einige Muster. Wichtig: Wer das Verzeichnis einmal angelegt hat, muss es regelmäßig aktualisieren.

3) … alle Mitarbeiter zum Datenschutz verpflichten
Warum? Weil letztlich jeder Mitarbeiter, auch die im Handwerk und in der Produktion, mit personenbezogenen Daten umgehen. Dazu kann auch die Adresse, die Mobilfunknummer oder die E-Mail-Adresse zählen, die dem ausführenden Handwerker für ein Aufmaß vor Ort genannt wird.
Und nicht vergessen: Auch der Arbeitgeber muss seinen Arbeitnehmer in Sachen Datenschutz und Informationspflicht belehren.

4) … seiner Informations- und Auskunftspflicht nachkommen
Warum? Weil er seinen Interessenten und feste Kunden auf die aktuelle Datenschutzerklärung hinweisen muss. Zum Beispiel auch die Besucher seiner Website. Schon wenn Max Mauer die ersten Daten eines neuen Kunden notiert, muss er dem Kunden sagen: Achtung, wir verarbeiten Ihre Daten auf diese und jene Weise.

5) … Daten auch wieder löschen
Warum? Weil das gesetzlich vorgeschrieben ist. Es gibt hierfür allerdings Aufbewahrungsfristen. Sind die rum, wird gelöscht. Wenn der Kunde zum Beispiel seit Jahren keinen neuen Auftrag mehr erteilt hat, sind seine Daten zu löschen.

6) … einen Vertrag über Auftragsverarbeitung abschließen. Zum Beispiel mit seiner Hostingagentur oder einem Systempartner und/oder Dienstleister für Multifunktionsgeräte
Warum? Weil der Dienstleister in Max Mauers Auftrag tätig wird und für sein Unternehmen mit personenbezogenen Daten arbeitet. Gilt übrigens auch für externe Buchhalter. Aber nicht für Steuerberater, die wiederum eigenverantwortlich handeln. Klar soweit?

Was Max Mauer tun muss, wenn er den Datenschutz verletzt
Kann ja passieren, zum Beispiel durch Diebstahl oder einen Hackerangriff. Oder, weil ein Mitarbeiter das Tablet mit unverschlüsselten Kundendaten verschludert hat. Oder weil eine Rechnung an den falschen Adressaten ging. Oder, oder. Dann muss das binnen 72 Stunden der Aufsichtsbehörde gemeldet werden. Die jeweils betroffene Person ist dagegen nur zu informieren, wenn ein hohes Risiko durch die Datenschutzverletzung entstanden ist.

Was Max Mauer nicht muss

1) … die Daten auf ganz spezielle Weise sichern
Warum? Weil seine bisherige, seit Jahren etablierte Datensicherung reicht, um die Daten gut zu schützen. Er nutzt aktuelle Betriebssysteme, passwortgeschützt, und einen Virenscanner. Er vergibt Nutzerrechte und hat ein regelmäßiges Backup eingerichtet. Das ist schon mal die halbe Miete.

2) … eine Datenschutz-Folgeabschätzung machen.
Warum? Weil es in seiner Firma nicht um supersensible Daten geht und die Personen, deren Daten verarbeitet werden, keine Sorge haben müssen, dass damit wer weiß was gemacht wird. Spricht: Es gibt kein hohes Risiko.

Eines bitte immer beachten:
Natürliche und juristische Personen, Behörden, Einrichtungen oder andere Stellen, die alleine oder gemeinsam darüber entscheiden, wie und warum personenbezogene Daten verarbeitet werden, sind Verantwortliche. Und als solche müssen sie sich mit der DSVGVO auseinandersetzen. Aber nicht panisch, sondern mit Bedacht.

Fragen dazu? Gerne. Einfach stellen!