Loading

Anzeige

 

Die EU-Datenschutz-Grundverordnung (DSGVO) muss seit dem 25. Mai 2018 von allen Unternehmen eingehalten werden. Die meisten Unternehmen in Rostock haben sich auf die Veränderungen eingestellt und entsprechende Maßnahmen getroffen. Einige hinken bei der Einhaltung der Regelungen jedoch nach wie vor hinterher. Das stellt ein erhebliches Risiko dar. Zum einen können hohe Bußgelder verhängt werden. Zum anderen erhöhen Verstöße gegen die DSVGO das Abmahnrisiko. Aus diesem Grund möchten wir einige relevante Aspekte aufzeigen, die lokale Unternehmen beachten müssen, wenn sie den Datenschutz im Netz gewährleisten wollen. Eine Rechtsauskunft können und wollen wir allerdings nicht geben. Dafür ist die bisherige Gesetzeslage einfach zu unschlüssig.

Informationspflichten müssen eingehalten werdenUnternehmen haben die Pflicht, ihre Kunden darüber zu informieren, wie ihre Daten erfasst und bearbeitet werden. Die Verständlichkeit spielt dabei eine wichtige Rolle. Formulierungen dürfen keinen Interpretationsspielraum bieten. Eine einfache Sprache sowie ein strukturierter Aufbau sind daher zu empfehlen. Die Informationspflicht besteht grundsätzlich bei sämtlichen Aspekten des Formularwesens. Darunter beispielsweise Einwilligungserklärungen.

Dokumentation sämtlicher VerarbeitungstätigkeitenSämtliche Daten, die von Kunden erfasst werden, gilt es zu dokumentieren. Unternehmen sollten zu diesem Zweck ein Verarbeitungsverzeichnis erstellen. In dieses Verzeichnis müssen alle Verarbeitungstätigkeiten aufgenommen werden, die mit der Erfassung und Verarbeitung von personenbezogenen Daten zusammenhängen. Zu diesen Verarbeitungsprozessen zählen unter anderem die Auftragsverwaltung, Kundenverwaltung und Personalverwaltung. Das ist wichtig, um die neue Rechenschaftspflicht für Unternehmen einzuhalten. Eine detaillierte Protokollierung ist dabei unerlässlich. Ansonsten ist es bei juristischen Streitigkeiten kaum möglich, zu beweisen, dass man im Recht ist und die DSVGO eingehalten hat.

Gegebenenfalls ist ein Datenschutzbeauftragter erforderlichUnter bestimmten Voraussetzungen müssen Unternehmen einen Datenschutzbeauftragten haben. Das wäre beispielsweise dann der Fall, wenn mindestens zehn Personen regelmäßig mit der Verarbeitung von personenbezogenen Daten zu tun haben. Die Wahl eines Datenschutzbeauftragten sollte stets mit Sorgfalt erfolgen. Es ist wichtig, dass der- oder diejenige hinreichendes Fachwissen mitbringt. Schließlich geht es darum, rechtliche Konsequenzen zu vermeiden. Das mit solchen nicht zu spaßen ist, zeigt unter anderem der Fall der Delivery Hero GmbH, die aufgrund von Verstößen gegen die DSVGO 200.000 Euro Bußgeld zahlen musste.

Abschluss von AuftragsverarbeitungsverträgenSofern andere Unternehmen die Verarbeitung von privaten Daten eigener Kunden übernehmen, ist es wichtig, mit diesen einen Auftragsverarbeitungsvertrag abzuschließen. Entsprechende Unternehmen können beispielsweise Steuerberater, Hoster oder Werbeagenturen sein. Ein solcher Vertrag ist aus Sicherheitsgründen unerlässlich. Sofern Sie selbst als Auftragsverarbeiter fungieren, gibt es ebenfalls einige Dinge zu beachten. Unter anderem ein detailliertes Verarbeitungsverzeichnis ist von Relevanz. Auf ein solches sollte generell nicht verzichtet werden.

Sicherheit der Verarbeitung muss gegeben seinDie Verarbeitung von personenbezogenen Daten darf keine Sicherheitslücken aufweisen. Somit ist eine Prüfung der technischen und organisatorischen Maßnahmen unumgänglich. Für eine derartige Prüfung eignet sich unter anderem die Durchführung von Penetrationstests. Gerade bei risikoreicher Datenverarbeitung ist es wichtig, ein besonderes Augenmerk auf die Schutzmaßnahmen zu haben. Eine risikoreiche Datenverarbeitung würde beispielsweise bei Apotheken vorliegen. Schließlich müssen sich diese mit Gesundheitsdaten und der Verschreibung von Rezepten befassen. Sicherheitslücken gilt es daher um jeden Preis zu vermeiden.