Die neue DSGVO für Unternehmer – was sie jetzt auch als Kleinbetrieb beachten müssen

 

Jeder Unternehmer und jedes Unternehmen muss die DSGVO beachten und befolgen. Auch Ein-Personen-Handwerksbetriebe und einen Kleinbetrieb betrifft die DSGVO. Die Regelungen sind von jedem Betrieb und Unternehmen (als Verantwortlicher) einzuhalten, mag er noch so klein sein.

Worum geht es in der DSGVO?

Es geht im Kern um den Schutz von personenbezogenen Daten, d. h. von Daten über natürlichen Personen, wie etwa Kunden und Interessenten, die weitere Rückschlüsse zulassen (also: Name, Kontaktdaten, E-Mailadresse, aber auch IP-Adressen).

 

Was ist jetzt zu tun?

Die Datenschutzgrundverordnung sieht gewisse Mindestanforderungen für jeden Betrieb und jedes Unternehmen vor. Zudem müssen gewisse Mindestanforderungen zwingend eingehalten werden. Welche dies im Einzelnen sind, haben wir hier aufgeführt:

 

Braucht ein Unternehmen einen Datenschutzbeauftragten?

JA, vorausgesetzt daß mindestens 10 Personen „ständig“ mit personenbezogenen Daten „beschäftigt“ sind. D. h. regelmäßig Kunden- oder Personaldaten verwalten. Ein Datenschutzbeauftragter kann intern oder extern berufen werden.

 

Wichtig: In Österreich gibt es keine „10 Personen Regel“. Ein DSB ist demzufolge erst zu bestellen, wenn sensiblen Daten in umfangreicher Verarbeitung bestehen.  Zur Zeit geht man davon aus, dass sowohl Ärzte als auch Angehörige eines Gesundheitsberufes, NICHT betroffen sind. Dies ist jedoch eine reine Interpretation der Aussagen der Art. 29 Gruppe.
Freiwillig kann natürlich immer ein Datenschutzbeauftragter bestellt werden.

 

Benötige ich neben den Arbeitsverträgen für meine Beschäftigten noch weitere Dokumente und Unterlagen?

Sie müssen Ihre Beschäftigten bzw. Angestellten einerseits auf „Vertraulichkeit“ verpflichten und zudem eine sogenannte Vertraulichkeitserklärung (früher: Datengeheimnis) abschließen. Es handelt sich um eine Information dahingehend, dass auch Mitarbeiter die gesetzlichen Regelungen einhalten müssen.

 

Muss ich Daten besonders sichern?

Unternehmen müssen die Standardmaßnahmen hinsichtlich technischer und organisatorischer Abläufe und Gegebenheiten einhalten.

Beispiele hierfür sind:

  • Büroräume verschlossen,
  • Server vor Feuer und Wasserschaden gesichert,
  • Backup-Strategie, nur bestimmte Mitarbeiter haben Zugriff auf Kundendaten,
  • Computer sind mit aktueller Firewall u. Virenschutz ausgestattet,
  • Betriebssystem ist aktuell,
  • WLAN ist gesichert,
  • Zugriff nur mit Passwort und User-ID, etc.).

 

Muss ich das sog. TOM oder T.O.M. führen?

Die Bezeichnung „TOM“ steht für „technische und organisatorische Maßnahmen“, die zum Schutz von personenbezogenen Daten ergriffen werden. Es ist ein Nachweis, wie die personenbezogenen Daten innerhalb des Unternehmens „gesichert“ werden.

Jedes Unternehmen muss zwingend sowohl technische als auch organisatorische Maßnahmen zum Schutz der personenbezogenen Daten treffen.

 

Beispiele technische Maßnahmen:

Türschloss, Firewall, Virenschutz, Rauchmelder, Feuerlöscher, Zutrittskontrolle, Schlüsselprotokolle, gesicherte Fenster etc.

Beispiele organisatorische Maßnahmen:

Zugriffsberechtigungen von Mitarbeitern, Schulungen v. Mitarbeitern, Löschkonzept etc.

 

Diese Maßnahmen sind einzeln zu dokumentieren. Deshalb hat eine Liste mit allen Maßnahmen, die Sie zum Schutz von personenbezogenen Daten Ihrer Kunden, Interessenten und Mitarbeiter ergriffen wurde, nicht nur zu existieren. Dieser Maßnahmenkatalog ist ebenfalls auch regelmäßig zu pflegen, zu erweitern und an geänderte Gegebenheiten anzupassen.

Muss ich ein Verarbeitungsverzeichnis erstellen?

Da auch in einem Handwerksbetrieb personenbezogene Daten von Kunden, Interessenten und Mitarbeitern verarbeitet werden, muss ein sogenanntes Verarbeitungsverzeichnis erstellt werden. Dieses Verarbeitungsverzeichnis dient dazu, z.B. folgende Abläufe zu dokumentieren:

 

  • Lohnabrechnung
  • Personalverwaltung
  • Betrieb einer Homepage
  • Kundenverwaltung
  • Umgang mit Bewerberdaten
  • Umgang mit E-Mails

 

Hat ein Unternehmen bestimmte Informations- und Auskunftspflichten?

Die DSGVO sieht umfangreiche Informations- und Auskunftspflichten gegenüber betroffenen Personen, deren Daten erhoben werden, vor. Sowohl Mitarbeiter als auch Kunden sind also bei der Datenerhebung über die Verarbeitung ihrer Daten und ihre Rechte (Auskunft, Löschung, Korrektur, etc.) umfassend zu informieren. Auch wie das Unternehmen ihre Kunden- Personal- und Interessentendaten elektronisch verarbeitet und somit daraus auch gewisse Rechte und Pflichten für beide Seiten entstehen.

 

Hat ein Unternehmen die Verpflichtung Daten zu löschen?

Spätestens nach Ablauf gesetzlicher Aufbewahrungspflichten müssen Daten, die nicht mehr benötigt werden, fachgerecht gelöscht und nachweislich vernichtet werden. Andere Daten müssen schon früher gelöscht werden.

 

Muss ein Unternehmen im Verhältnis zu externen Dienstleistern Regelungen treffen?

Beauftragt ein Unternehmen demzufolge einen Dienstleister mit der weisungsgebundenen Verarbeitung personenbezogener Daten, muss zwingend ein Auftragsverarbeitungsvertrag geschlossen werden. Wer also für ein Unternehmen wie einen Handwerksbetrieb, personenbezogene Daten verarbeitet (oder zumindest Zugriff darauf hat), muss folglich auch vertraglich garantieren können, die DSGVO sowie weitere gesetzliche Regelungen einzuhalten.

 

Kein Auftragsdatenverarbeitungsvertrag ist bei Steuerberatern oder Rechtsanwälten notwendig. Diese arbeiten weisungsungebunden. Auch bei reinen Telefonanbietern, Post- und Zahlungsdienstleistern sind üblicherweise keine Verträge notwendig. Diese personenbezogene Daten werden entweder für eigene Zwecke erhoben oder  es wird keine Datenverarbeitung als Kerngeschäft betreiben. Allerdings sollten diese Unternehmen auf Vertraulichkeit verpflichtet werden.

 

 

Muss ein Unternehmen bei Datenschutzverletzungen reagieren?

Wenn es Verletzungen (Diebstahl, Hacking, Verlust von Smartphones, etc.) mit relevanten Risiken gibt, können gesetzliche Meldepflichten gegenüber der zuständigen Datenschutzbehörde bestehen.

Resultierend daraus, da für den Betroffenen (Kunden, Interessenten, Mitarbeiter) ein hohes Risiko besteht, dass die erfassten personenbezogenen Daten außerhalb ihres Sicherungsbereiches sind. Somit sind in gewissen Fällen auch diese zu informieren.

 

Weitere News DSGVO:  Verein

https://datenschutzbeauftragter-dsgvo.com/dsgvo-im-verein-diese-tipps-sind-wichtig/