Mel­dung des Daten­schutz­be­auf­trag­ten schon erle­digt?

Die Daten­schutz­be­auf­trag­te des Lan­des NRW hat­te mit Inkraft­tre­ten der DSGVO eine Schon­frist für die Mel­dung eines Daten­schutz­be­auf­trag­ten aus­ge­ge­ben. Die­se Endet mit dem 31.12.2018. Wenn Sie noch nicht tätig gewor­den sind oder noch nicht voll­stän­dig mit der Umset­zung der Anfor­de­run­gen aus der DSGVO fer­tig sind gibt es Punk­te, auf die Sie sich zunächst fokus­sie­ren soll­ten:

Ist ein Daten­schutz­be­auf­trag­ter not­wen­dig?

Haben Sie schon geprüft ob Sie einen Daten­schutz­be­auf­trag­ten benen­nen müs­sen?

Für Arzt­pra­xen haben wir hier einen spe­zi­el­len Arti­kel zu die­sem The­ma. Gene­rell gilt aber für alle fol­gen­des:

Die DSGVO und das BDSG for­mu­lie­ren Bedin­gun­gen, unter denen ein Daten­schutz­be­auf­trag­ter bestellt wer­den muss. Für nicht-öffent­li­che Stel­len ist die Beset­zung eines Daten­schutz­be­auf­trag­ten not­wen­dig, wenn einer der fol­gen­den Punk­te erfüllt ist:

  • In der Regel min­des­tens zehn Per­so­nen stän­dig mit der auto­ma­ti­sier­ten Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten beschäf­ti­gen sind
  • Falls Ver­ar­bei­tun­gen statt­fin­den, bei denen eine Daten­schutz-Fol­gen­ab­schät­zung not­wen­dig ist
  • Wenn sie per­so­nen­be­zo­ge­ne Daten geschäfts­mä­ßig zum Zweck der Über­mitt­lung, der anony­mi­sier­ten Über­mitt­lung oder für Zwe­cke der Markt- oder Mei­nungs­for­schung Ver­ar­bei­ten

Unter den Vor­aus­set­zun­gen wer­den die meis­ten Unter­neh­men, wel­che mehr als 10 Mit­ar­bei­ter haben schnell in die Ver­le­gen­heit kom­men, dass sie einen Daten­schutz­be­auf­trag­ten benen­nen müs­sen.

Mel­dung des Daten­schutz­be­auf­trag­ten

Wenn Sie einen Daten­schutz­be­auf­trag­ten benen­nen müs­sen soll­ten Sie dies, falls nicht gesche­hen, sehr zeit­nah tun, denn die Schon­frist der Lan­des­da­ten­schutz­be­auf­trag­ten für NRW läuft zum 31.12.2018 ab. Auf der Home­page der Behör­de, auf der auch die Mel­dung statt­fin­den muss steht:

HINWEIS: Wir beab­sich­ti­gen, unter­las­se­ne Mel­dun­gen der Kon­takt­da­ten der/des Daten­schutz­be­auf­trag­ten wäh­rend einer Über­gangs­zeit bis zum 31.12.2018 nicht als Daten­schutz­ver­stö­ße zu ver­fol­gen oder zu ahn­den.

Da eine Über­prü­fung der Mel­dung durch die Auf­sichts­be­hör­den sehr ein­fach ist soll­ten Sie auf jeden Fall bis Jah­res­en­de die Prü­fung abge­schlos­sen und eine etwai­ge Mel­dung durch­ge­führt haben. Die Mel­dung ihres Daten­schutz­be­auf­trag­ten müs­sen Sie in NRW über das Por­tal der Lan­des­da­ten­schutz­be­auf­trag­ten erle­di­gen

Erstel­len des Ver­zeich­nis­ses der Ver­ar­bei­tungs­tä­tig­kei­ten

In der DSGVO wird das Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten gefor­dert. Die­ses Ver­zeich­nis muss vor­lie­gen und in ihm müs­sen alle Ver­ar­bei­tun­gen von per­so­nen­be­zo­ge­nen Daten ent­hal­ten sein. Wenn Sie noch kein Ver­zeich­nis besit­zen soll­ten Sie dies auch schnellst­mög­lich auf die Agen­da brin­gen, denn das Erstel­len des Ver­zeich­nis­ses funk­tio­niert nicht auf Zuruf. Hier­zu muss ein gewis­ser Auf­wand getrie­ben wer­den. Zu begin­nen, wenn die Auf­sichts­be­hör­de das Ver­zeich­nis anfor­dert ist ein­deu­tig zu spät!

Das Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten hat aber auch Vor­tei­le für die eige­ne Fir­ma. Beim Erstel­len wer­den Sie fest­stel­len, dass Sie Ihre Fir­ma von einer ganz ande­ren Sei­te ken­nen­ler­nen und Ihnen vie­le Details prä­sent wer­den, an denen Opti­mie­run­gen und Ver­bes­se­run­gen statt­fin­den kön­nen. Dies liegt dar­an, dass Sie die meis­ten Pro­zes­se inner­halb Ihrer Fir­ma auf den Prüf­stand stel­len. Hier ist auch ein guter Punkt um über das The­ma Digi­ta­li­sie­rung nach­zu­den­ken.

Daten­schutz­in­for­ma­tio­nen und Daten­schutz­er­klä­rung

Der nächs­te wich­ti­ge Punkt ist: Kom­mu­ni­ka­ti­on. Die Pflich­ten, die bezüg­lich der Kom­mu­ni­ka­ti­on im The­ma Daten­schutz haben sich deut­lich ver­schärft. Es ist wich­tig, dass sie in kla­rer und ein­fa­cher Spra­che for­mu­lie­ren wie sie per­so­nen­be­zo­ge­ne Daten ver­ar­bei­ten und zu wel­chem Zweck. Dies stel­len Sie Ihren Kun­den in Form der Daten­schutz­er­klä­rung bzw. Daten­schutz­in­for­ma­tio­nen zur Ver­fü­gung.

Gera­de die Home­page des Unter­neh­mens ist hier ein Fokus­punkt, denn es kann sehr schnell über­prüft wer­den ob hier die Daten­schutz­er­klä­rung mit den tat­säch­lich ver­ar­bei­te­ten Daten zusam­men­pas­sen. Hier wer­de auch schon Prü­fun­gen voll­au­to­ma­tisch durch­ge­führt um mög­li­che Ver­stö­ße zu iden­ti­fi­zie­ren.

Es wird Zeit zu han­deln

Abschlie­ßend ist wich­tig das The­ma auf den Weg zu brin­gen. Daten­schutz ist ein Bau­stein des Unter­neh­mens, mit dem man sich beschäf­ti­gen muss. Das The­ma muss ähn­lich wie das The­ma Steu­ern behan­delt wer­den. Hier stellt auch nie­mand mehr in Fra­ge ob Steu­ern gezahlt wer­den müs­sen oder nicht.

Die EU hat mit der DSGVO eine Grund­la­ge geschaf­fen auf deren Basis Unter­neh­men das eige­ne Han­deln über­den­ken müs­sen. Bis­her war das The­ma Daten­schutz für vie­le Unter­neh­men kein Fokus­the­ma. Wie viel Ener­gie ein Unter­neh­men für das The­ma auf­brin­gen kann muss jeder ein­zel­ne Unter­neh­mer für sich beur­tei­len.

Die oft­mals in der Ver­gan­gen­heit ange­trof­fe­ne Betrach­tung, Daten­schutz­ver­let­zun­gen als gerin­ges Risi­ko für das Unter­neh­men zu igno­rie­ren, muss über­dacht wer­den. Die EU hat den Auf­sichts­be­hör­den nicht ohne Grund die Mög­lich­keit gege­ben gra­vie­ren­de Stra­fen aus­zu­spre­chen. Natür­lich wird nicht jedes Unter­neh­men bei jedem Ver­stoß mit 4% oder 20.000.000 Euro bestraft, aber die Stra­fen wer­den emp­find­lich sein.

Die­sen Bei­trag tei­len