Seit dem 25.5.2018 ist die EU-Datenschutz Grundverordnung (EU-DSGVO) in Kraft. Jedes Unternehmen ist verpflichtet, sich an die geltenden datenschutzrechtlichen Vorschriften zu halten.

Dies gilt unabhängig von der Frage, wie viele Mitarbeiter sie haben.

Die neue Datenschutz-Grundverordnung verschärft die Anforderungen an Unternehmen nochmals deutlich.

Das Gefährlichste: Ihr Unternehmen und ggf. die Unternehmensleitung haften persönlich mit Geldbußen in Höhe von bis zu 4 % des (Konzern-)Umsatzes für Verstöße gegen das Datenschutzrecht.

Es drohen außerdem Abmahnungen und Schadensersatzzahlungen. Die Haftungsszenarien sind real. Das deutsche Unternehmen Knuddel wurde bereits mit einem Bußgeld in Höhe von 20.000,00 € belegt. Gegen ein Krankenhaus in Portugal verhängte die Aufsichtsbehörde wegen eines fehlenden Berechtigungskonzeptes ein Bußgeld in Höhe von 300.000,00 €.

Dr. Brink, der Landesdatenschutzbeauftragte von Baden Württemberg hat sich in Zeitungen bereits geäußert, dass 2019 das Jahr der Kontrollen wird.

Das kommt zunächst darauf an, ob Sie bereits erste Maßnahmen und Strukturen in Ihrem Unternehmen etabliert haben. 

Die komplette Aufarbeitung des eigenen Unternehmens von null bedeutet in datenschutzrechtlicher Hinsicht einen nicht zu unterschätzenden Aufwand.

Durchschnittlich kann für die Umsetzung eines solchen Systems in einem mittelgroßen Unternehmen mit einem Aufwand von etwa einem „Personen-Jahr“ gerechnet werden. Dabei kommt es aber entscheidend darauf an, ob Sie versuchen die Strukturen selbst zu etablieren oder Ihnen externe Hilfe von Datenschutzexperten geboten wird.

Wir beraten Sie und zeigen Ihnen konkrete Lösungswege auf, wie Sie im Rahmen Ihrer Möglichkeiten Datenschutz in Ihr Unternehmen einführen. Wichtig ist, dass Sie den ersten Schritt gehen. Wir freuen uns auf Ihre Nachricht.

Alle Prozesse in Ihrem Unternehmen, bei denen personenbezogene Daten automatisiert verarbeitet werden, müssen juristisch auf Rechtmäßigkeit geprüft und entsprechend dokumentiert werden. „Prozess“ ist hierbei untechnisch zu verstehen. Hierunter fallen etwa Kontaktformulare und Bestellungen auf der Unternehmens-Webseite, der Umgang mit Bewerberdaten, das Halten einer Kundendatei etc.

Die Einhaltung der datenschutzrechtlichen Vorgaben muss durch Richtlinien, Betriebsvereinbarungen oder auf sonstige, geeignete Weise sicher gestellt werden. Die Vertragsformulare des Unternehmens (Arbeitsverträge, AGB, Nutzungsbedingungen, Lieferverträge u.a.) müssen angepasst werden.

Alle betroffenen Personen sind über den Umgang mit ihren Daten zu informieren.

Die Beziehungen zu dritten Unternehmen, die für das eigene Unternehmen Daten verarbeiten (früher: „Auftragsdatenverarbeiter“ müssen geprüft und ggf. neu geregelt werden. Typische Beispiele sind: Logistik- und Versandunternehmen, Buchhaltungsbüro, sonstige Dienstleister.

Die eigenen Mitarbeiter müssen geschult werden. Sensibilität für datenschutzrechtliche Belange und Berührungspunkte ist zu wecken.

Das errichtete System ist ständig zu überprüfen (Revision). Belastungstests sind erforderlich.

Der Markt ist überschwemmt von IT-Dienstleistern und Beratern, die oben stehende Leistungen zu einer relativ geringen monatlichen Pauschale anbieten. Häufig geht dies einher mit dem Stellen eines externen Datenschutzbeauftragten.

Das Problem: Die Errichtung eines Datenschutz-Management-Systems ist eine ureigene juristische Aufgabe. Nicht-juristisch vorgebildete Dienstleister sind in der Regel nicht in der Lage, die datenschutz-rechtlichen Belange eines Unternehmens verbindlich und abschließend zu bewerten.