Welche Maßnahmen müssen Sie als Unternehmer (Freiberufler, Verein …) im Innenverhältnis – also betriebs- bzw. vereinsintern – treffen, um für die EU-DSGVO gerüstet zu sein?
1.) Das Verzeichnis der Verarbeitungstechnik
Im Verarbeitungsverzeichnis (bzw. Verzeichnis der Verarbeitungstechnik) wird aufgeschlüsselt, welche Daten Sie von welchem Betroffenen (Mitarbeiter, Kunden, Lieferant …) sie vorhalten. Ferner wird hier aufgeschlüsselt, woher Sie die Daten erhalten haben und ob Sie eine Genehmigung des datenschutzrechtlich Betroffenen haben, diese Daten zu speichern und zu verarbeiten. Sofern es eine gesetzliche Grundlage gibt, dass Sie die Daten speichern und verarbeiten müssen (was z. B. bei Mitarbeitern der Fall ist), dann entfällt für diesen Personen die Zustimmungspflicht. Bei Kunden, Lieferanten und auch bei Vereinsmitgliedern ist jedoch diese gesetzliche Grundlage nicht immer gegeben, weshalb man hier explizit eine Einverständniserklärung benötigt.
Im Verzeichnis muss ebenfalls erfasst werden, mit welchen Programmen diese Daten verarbeitet und gespeichert werden. Auch welche Personen Zugriff auf die jeweiligen Datensätze hat, muss penibel dokumentiert werden. Wenn die erfassten Daten weitergeleitet werden (müssen), dann muss aufgelistet werden, welche Daten an wen warum weitergegeben werden (z. B. Steuerberater, Finanzbehörden …).
In das Verzeichnis gehört weiterhin eine Übersicht, wann welche Daten gelöscht werden (müssen), auch mit Hinblick auf eventuelle gesetzliche Aufbewahrungsfristen.
Abschließend gehört in das Verzeichnis eine Aufstellung, welche technischen und organisatorischen Maßnahmen getroffen worden sind, um die erfassten, verarbeiteten und gespeicherten Daten zu schützen. Hierzu gehören u. a. Themen wie (Gebäude-)Zutrittsberechtigungen, Zugriffsberechtigungen (sichere Passwörter …) und die Datensicherung.
2.) Die Datenschutzfolgeabschätzung
Bei der Datenschutzfolgeabschätzung handelt es sich um eine Risikoanalyse, welche im Vorfeld erstellt werden muss, wenn neue Systeme aufgebaut werden müssen (Lohnbuchhaltung, Website, aber auch zum Beispiel Mitgliederverwaltung in Vereinen). Die Datenschutzfolgeabschätzung greift auch, wenn vorhandene Systeme erneuert werden, zum Beispiel durch ein größeres Softwareupdate (hier sind z. B. nicht die Sicherheitsupdates der Softwarehersteller gemeint, sondern ein Versionswechsel).
Das Ergebnis dieser Risikoanalyse ist schriftlich zu dokumentieren und aufzubewahren. Bei Bedarf muss diese Analyse den Behörden vorgelegt werden können.
3.) Der Datenschutzbeauftragte
Ein Datenschutzbeauftragter ist nur notwendig, wenn mindestens neun Personen in Ihrem Unternehmen/Ihrem Verein in direkten Kontakt mit datenschutzrechtlich relevanten Daten kommen. Speziell bei Vereinen muss hier auf eine Besonderheit hingewiesen werden: Eine Kartenbestellung beinhaltet automatisch immer den Kontakt mit datenschutzrechtlich relevanten Daten! Der Hinweis vieler Vereine, dass Karten für deren Veranstaltungen bei allen Mitgliedern bestellt werden können, macht diese Mitglieder automatisch zu einer Person mit Kontakt zu datenschutzrechtlich relevanten Daten! Daher ist bei Beibehaltung dieser Vorgehensweise so gut wie jeder Verein nach der EU-DSGVO verpflichtet, einen Datenschutzbeauftragten zu stellen!
Der Datenschutzbeauftragte hat die Aufgabe auf die Geschäfts- bzw. Vereinsführung im Bezug auf datenschutzrechtliche Themen und deren Einhaltung einzuwirken. Hierbei berät der Datenschutzbeauftragte die Geschäfts- bzw. Vereinsführung in den entsprechenden Fragen und klärt über neue und bestehende Bestimmungen auf.
Die Datenschutzfolgeabschätzung (siehe Punkt 2) gehört ebenfalls zur Aufgabe eines Datenschutzbeauftragten, sofern dieser bestellt worden ist.
Wenn Auskunftsanfragen an das Unternehmen durch Personen mit Bezug auf ihre erfassten und verarbeiteten Daten gestellt werden, werden diese Anfragen durch den Datenschutzbeauftragten im Rahmen der gesetzlichen Vorgaben nach der EU-DSGVO beantwortet.
Zu guter Letzt schult der Datenschutzbeauftragte die Mitarbeiter, welche mit entsprechenden Daten in Berührung kommen, auf die Einhaltung der Datenschutzbestimmungen sowie der sonstigen rechtlichen Vorgaben im Zusammenhang mit der Datennutzung bzw. -verarbeitung.
Der Gesetzgeber gibt dabei nicht vor, ob der Datenschutzbeauftragte intern oder extern bestellt werden muss (und suchen Sie jetzt nicht bei Amazon oder eBay, da finden Sie so etwas nicht). Nur sollte klar sein, dass der externe Datenschutzbeauftragte immer weitaus mehr Informationen an Sie und Ihre Mitarbeiter vermitteln kann als eine interne Lösung!
Auch hier gilt: Wir beraten Sie gerne und vermitteln Ihnen bei Bedarf entsprechend fachlich qualifizierte Datenschutzbeauftragte.