Die Datenschutzbeauftragte des Landes NRW hatte mit Inkrafttreten der DSGVO eine Schonfrist für die Meldung eines Datenschutzbeauftragten ausgegeben. Diese Endet mit dem 31.12.2018. Wenn Sie noch nicht tätig geworden sind oder noch nicht vollständig mit der Umsetzung der Anforderungen aus der DSGVO fertig sind gibt es Punkte, auf die Sie sich zunächst fokussieren sollten:
Ist ein Datenschutzbeauftragter notwendig?
Haben Sie schon geprüft ob Sie einen Datenschutzbeauftragten benennen müssen?
Für Arztpraxen haben wir hier einen speziellen Artikel zu diesem Thema. Generell gilt aber für alle folgendes:
Die DSGVO und das BDSG formulieren Bedingungen, unter denen ein Datenschutzbeauftragter bestellt werden muss. Für nicht-öffentliche Stellen ist die Besetzung eines Datenschutzbeauftragten notwendig, wenn einer der folgenden Punkte erfüllt ist:
- In der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen sind
- Falls Verarbeitungen stattfinden, bei denen eine Datenschutz-Folgenabschätzung notwendig ist
- Wenn sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung Verarbeiten
Unter den Voraussetzungen werden die meisten Unternehmen, welche mehr als 10 Mitarbeiter haben schnell in die Verlegenheit kommen, dass sie einen Datenschutzbeauftragten benennen müssen.
Meldung des Datenschutzbeauftragten
Wenn Sie einen Datenschutzbeauftragten benennen müssen sollten Sie dies, falls nicht geschehen, sehr zeitnah tun, denn die Schonfrist der Landesdatenschutzbeauftragten für NRW läuft zum 31.12.2018 ab. Auf der Homepage der Behörde, auf der auch die Meldung stattfinden muss steht:
HINWEIS: Wir beabsichtigen, unterlassene Meldungen der Kontaktdaten der/des Datenschutzbeauftragten während einer Übergangszeit bis zum 31.12.2018 nicht als Datenschutzverstöße zu verfolgen oder zu ahnden.
Da eine Überprüfung der Meldung durch die Aufsichtsbehörden sehr einfach ist sollten Sie auf jeden Fall bis Jahresende die Prüfung abgeschlossen und eine etwaige Meldung durchgeführt haben. Die Meldung ihres Datenschutzbeauftragten müssen Sie in NRW über das Portal der Landesdatenschutzbeauftragten erledigen
Erstellen des Verzeichnisses der Verarbeitungstätigkeiten
In der DSGVO wird das Verzeichnis der Verarbeitungstätigkeiten gefordert. Dieses Verzeichnis muss vorliegen und in ihm müssen alle Verarbeitungen von personenbezogenen Daten enthalten sein. Wenn Sie noch kein Verzeichnis besitzen sollten Sie dies auch schnellstmöglich auf die Agenda bringen, denn das Erstellen des Verzeichnisses funktioniert nicht auf Zuruf. Hierzu muss ein gewisser Aufwand getrieben werden. Zu beginnen, wenn die Aufsichtsbehörde das Verzeichnis anfordert ist eindeutig zu spät!
Das Verzeichnis der Verarbeitungstätigkeiten hat aber auch Vorteile für die eigene Firma. Beim Erstellen werden Sie feststellen, dass Sie Ihre Firma von einer ganz anderen Seite kennenlernen und Ihnen viele Details präsent werden, an denen Optimierungen und Verbesserungen stattfinden können. Dies liegt daran, dass Sie die meisten Prozesse innerhalb Ihrer Firma auf den Prüfstand stellen. Hier ist auch ein guter Punkt um über das Thema Digitalisierung nachzudenken.
Datenschutzinformationen und Datenschutzerklärung
Der nächste wichtige Punkt ist: Kommunikation. Die Pflichten, die bezüglich der Kommunikation im Thema Datenschutz haben sich deutlich verschärft. Es ist wichtig, dass sie in klarer und einfacher Sprache formulieren wie sie personenbezogene Daten verarbeiten und zu welchem Zweck. Dies stellen Sie Ihren Kunden in Form der Datenschutzerklärung bzw. Datenschutzinformationen zur Verfügung.
Gerade die Homepage des Unternehmens ist hier ein Fokuspunkt, denn es kann sehr schnell überprüft werden ob hier die Datenschutzerklärung mit den tatsächlich verarbeiteten Daten zusammenpassen. Hier werde auch schon Prüfungen vollautomatisch durchgeführt um mögliche Verstöße zu identifizieren.
Es wird Zeit zu handeln
Abschließend ist wichtig das Thema auf den Weg zu bringen. Datenschutz ist ein Baustein des Unternehmens, mit dem man sich beschäftigen muss. Das Thema muss ähnlich wie das Thema Steuern behandelt werden. Hier stellt auch niemand mehr in Frage ob Steuern gezahlt werden müssen oder nicht.
Die EU hat mit der DSGVO eine Grundlage geschaffen auf deren Basis Unternehmen das eigene Handeln überdenken müssen. Bisher war das Thema Datenschutz für viele Unternehmen kein Fokusthema. Wie viel Energie ein Unternehmen für das Thema aufbringen kann muss jeder einzelne Unternehmer für sich beurteilen.
Die oftmals in der Vergangenheit angetroffene Betrachtung, Datenschutzverletzungen als geringes Risiko für das Unternehmen zu ignorieren, muss überdacht werden. Die EU hat den Aufsichtsbehörden nicht ohne Grund die Möglichkeit gegeben gravierende Strafen auszusprechen. Natürlich wird nicht jedes Unternehmen bei jedem Verstoß mit 4% oder 20.000.000 Euro bestraft, aber die Strafen werden empfindlich sein.