Am 25. Mai 2018 war es so weit: Die neue EU-Datenschutz-Grundverordnung (DSGVO) fand ihre Anwendung. Von dieser sind alle Betriebe betroffen, die mit personenbezogenen Daten von EU-Bürgern arbeiten. Das bedeutet, auch kleine und mittelständische Unternehmen (KMU) müssen sich den Anforderungen der DSGVO bewusst sein. Was Sie künftig beachten müssen, um Stolperfallen zu vermeiden, finden Sie in diesem Gastbeitrag mit Checkliste.

Einige Vorgaben der DSGVO waren bereits durch das Bundesdatenschutzgesetz (BDSG) bekannt, zum Beispiel das Führen eines Verfahrensverzeichnisses. Sie wurden allerdings mitunter verschärft, während andere wiederum gänzlich neu sind. Vor allem die aktuellen Nachweispflichten stellen KMU vor große Herausforderungen. Ein Verstoß hierbei kann zudem weitreichende Folgen für das Unternehmen besitzen: Bis zu 20 Millionen Euro Bußgeld oder vier Prozent des Jahresumsatzes werden unter Umständen erhoben.

Die neuen Rechenschaftspflichten

Die DSGVO fordert, dass grundsätzlich alle Unternehmen – auch KMU – dazu in der Lage sein müssen, einen Nachweis zur Einhaltung der Datenschutzvorgaben zu erbringen. Auf Nachfrage der Aufsichtsbehörde ist das Vorlegen einer ausführlichen Dokumentation über jede personenbezogene Informationsverarbeitung notwendig. Dazu gehören das Festhalten des Zeitpunkts und des Zwecks der Erhebung, der Dauer der Speicherung sowie der Kategorie der jeweiligen Daten. Das bedeutet zum Beispiel bei der Erhebung einer Kundenadresse, dass in dem Bericht nicht die Adresse selbst, sondern ausschließlich die Art der Information – hier: Kontaktdaten – zu nennen ist.

Checkliste zur Umsetzung der DSGVO

Die folgenden Aspekte sollten KMU so schnell wie möglich nachprüfen und gegebenenfalls anpassen, um die Datensicherheit der Verbraucher gemäß DSGVO zu gewährleisten.

  • Besitzen Sie im Zuge einer jeden Nutzerdatenerhebung eine Einwilligung? Bei der Newsletter-Anmeldung beispielsweise wird die Zustimmung in Form einer Double-Opt-in-Erklärung gefordert, um die freiwillige und aktive Handlung sicherzustellen. Das bedeutet für Sie: Checkbox für den Newsletter auf der Webseite einrichten, E-Mail mit einem Bestätigungslink versenden und erst danach die E-Mail-Adresse des Kunden in die Mailing-Liste aufnehmen.
  • Halten Sie die Informationspflichten ein? Beim Einholen der Nutzereinwilligung muss gleichzeitig eine umfassende Belehrung über die einzelnen Betroffenenrechte erfolgen. Dazu gehören das Auskunftsrecht, das Recht auf Löschung, das Recht auf Datenübertragbarkeit, das Recht auf Einschränkung der Datenverarbeitung, das Recht auf Berichtigung sowie das Widerspruchsrecht.
  • Findet eine Risikobewertung statt? Im Falle einer besonders umfangreichen Datenerhebung oder auch unter Verwendung besonderer Technologien wird in regelmäßigen Abständen eine Risikoanalyse notwendig. Werden dabei mindestens zwei Gefährdungen offenbar, muss eine Datenschutz-Folgenabschätzung erstellt werden.
  • Bestehen mit externen Dienstleistern Verträge zur Auftragsdatenverarbeitung? KMU sind auch als Auftraggeber dazu verpflichtet, die Einhaltung der DSGVO durch Dritte sicherzustellen und eine angemessene Rechtsgrundlage für die Verarbeitung der Daten zu schaffen.

Weitere Informationen zur DSGVO hat der Berufsverband der Rechtsjournalisten e.V. auf seiner Ratgeberseite für Sie zusammengestellt.

Laura Gosemann, Berufsverband der Rechtsjournalisten e.V.

Checkliste zur DSGVO: Was KMU wissen sollten
Markiert in: