Am 25. Mai 2018 treten mit der neuen EU-Datenschutz-Grundverordnung (EU-DS-GVO) wichtige Änderungen im Hinblick auf den eigenen Datenschutz in Kraft.

Betroffen sind ALLE Seitenbetreiber, Agenturen, Shops und Dienstleister!  Egal mit welcher Rechtsform Sie am Markt tätig sind, auch als Solo Einzelunternehmer oder kleines Startup. Egal ob Sie einen Blog, eine Webseite, einen Newsletter, Werbepost versenden oder eine App betreiben, es geht darum, was Sie mit den Daten machen die Sie erhalten!

Was Sie mit der Einführung der neuen gesetzlichen Regelungen beachten müssen und wann ein Datenschutzbeauftragter auch von Gründern und Startups zwingend bestellt werden muss, welche Aufgaben dieser zu übernehmen hat, erklärt Brigitte Jordan von der REVIDATA GmbH.

Warum und für was gibt es die Datenschutzgesetze und warum wurden sie verschärft?

Sie alle kennen bestimmt die spektakulären Berichterstattungen, die uns mittlerweile wöchentlich erreichen, nur zu gut: „Schon wieder wurde eine erhebliche Menge an personenbezogenen Daten gehackt – und das auf hochprofessionelle und raffinierte Art und Weise!“ In den meisten Fällen handelt es sich dabei um spektakuläre Fälle aus den Bereichen der Telekommunikation, der Finanzdienstleistungen u. Ä. Von den alltäglichen Fällen aus Handel und Industrie hört man hingegen weniger, doch auch hier kommt es regelmäßig zu ähnlichen Fällen. Dabei steht doch eines außer Frage: Es gibt nichts Persönlicheres und kaum etwas Begehrenswerteres als unsere persönlichen Daten sowie schützenswerte Unternehmensdaten z. B. aus der Entwicklung und Forschung und dem Kundenumfeld. Und noch etwas fällt auf: Bei der „Jagd“ auf unsere Daten scheuen die Hacker keine Mühe, wenden alle Tricks an und legen im Zweifel eine Menge Kohle auf den Tisch, um sie zu erhalten. Doch warum eigentlich? Und warum sind auch Existenzgründer davon „betroffen“.

Was macht unsere Daten so interessant und so wertvoll? Ganz einfach: Unsere Daten enthalten für bestimmte Gruppen eine Menge wichtiger Informationen wie z.B. Angaben zu Alter, Gesundheitszustand,  Religionszugehörigkeit, Hobbys und Vorlieben, Familienstand, Adressen oder auch Bankverbindungen. Und genau diese sensiblen Daten wollen viele Menschen zu Geld machen. Denn je besser man uns kennt, desto gezielter kann man uns aufspüren, um uns zu umwerben und uns etwas andrehen – ganz egal, ob wir es gerade brauchen oder nicht. Genau diesem Treiben will nun die EU mit einer verschärften Europäischen Gesetzgebung und wesentlich höheren Sanktionen bei Verstößen entgegen wirken.

Umso wichtiger, das eigene Unternehmen und den Gründer direkt vor finanziellem Schaden zu schützen!

Das sieht die neue Gesetzgebung vor

Um unsere, wie erläutert, wertvollen und begehrten persönlichen Daten besser zu schützen, wird das bisherige Bundesdatenschutzgesetz durch die zum 25.05.2018 wirksam werdende Europäische Datenschutz Grundverordnung abgelöst. Das bedeutet, dass alle Europäischen Unternehmen und Behörden aller Arten und Größen ab diesem Datum verstärkt dazu angehalten sind, die ihnen anvertrauten personenbezogenen und betrieblichen Daten besser zu schützen und zu sichern. Sollte das Management dies nicht tun, wird es für einen auftretenden Datenmissbrauch mit wesentlich höheren Sanktionen durch den Gesetzgeber rechnen müssen als bisher - nicht nur das Unternehmen, sondern auch die verantwortlichen Personen im Unternehmen.

Ein paar Beispiele für die Praxis

Es wird z.B. neue Vorgaben für Einwilligungserklärungen online und offline geben sowie neue Vorgaben für die Datenschutzerklärung auf Webseiten. Die SSL Verschlüsselung bei Bestellprozessen und Kontaktlisten wird zur absoluten Pflicht.
Zukünftig wichtig bei der Nutzung von externen Tools ist darauf zu achten, dass die EU Vorgaben beachtet werden – das ist z.B.  wichtig für Webinar Anbieter.
Zukünftig wird es ein sog. Kopplungsverbot geben. Das bedeutet, dass z.B. ein Whitepaper Download nicht an eine Newsletter Bestellung gekoppelt werden darf. Alte, bisherige Vereinbarungen werden mit dem neuen Gesetz ungültig. Das wird die gesamte Werbebranche verändern.
Ein schriftlicher Vertrag zur Auftragsdatenvereinbarung in dem geregelt ist Art, Zweck und Umfang der Verarbeitung der Personenbezogenen Daten erfolgt, muss zukünftig im Original beidseitig unterschrieben vorliegen. Für 1a-STARTUP z.B. wird das zukünftig jeder Kunde der von uns beraten wird mit und vereinbaren.

Das ist nur ein kleiner Auszug – die anstehenden Änderungen sind sehr komplex, umfangreich, umfassend und individuell zu prüfen.

Tipps für vorbereitende Maßnahmen

Um bestimmen zu können, wo es Änderungsbedarf gibt, empfehlen wir eine Bestandsaufnahme für alle relevanten Verarbeitungstätigkeiten im Unternehmen durchzuführen. In welchen Systemen werden personenbezogene Daten zu welchem Zweck verarbeitet? Wer hat wann und unter welchen Voraussetzungen auf diese Daten Zugriff? Hierzu gehört auch die Analyse von externen Dienstleistern, die im Auftrag des Unternehmens Daten verarbeiten (Cloud- und Hosting-Services, Lohnbuchhaltung, CRM-Systeme, Analyse- und Tracking-Tools, E-Mail-Dienste, Callcenter, Apps, etc.). Auch für diese Daten ist das Unternehmen verantwortlich.

Mit unserem Fragebogen können Sie ganz leicht nachschauen inwieweit Sie frühzeitig handeln müssen: Revidata Fragebogen

Was geschieht im Falle von Datenschutzverletzungen?

Für die Beachtung und Einhaltung des betrieblichen Datenschutzes haften wie bisher im BDSG a.F. weiterhin auch im DS-GVO die Mitglieder der Geschäftsführung, auch persönlich, zusätzlich aber auch das Unternehmen. Die neu ausgeschriebenen Bußgelder können bei Verstößen gegen die EU-DS-GVO wesentlich höher ausfallen (bis zu 20 Mio. Euro) und existenzbedrohend werden, als bisher unter dem BDSG a.F. (max. 300.000 Euro).

Die Datenschutzgesetzgebung muss von Jedermann, ob groß ob klein, beachtet werden. Es ist deshalb in jedem Fall wichtig festzustellen, ob und wie stark das eigene Unternehmen betroffen ist. Ein Unternehmen mit dem Geschäftszweck der Datenverarbeitung, also z. B. in Markt,- und Produktmeinungsumfragen oder Verhaltensumfragen, muss entsprechend der EU-DS-GVO, angemessene Datenschutz-Schutzmaßnahmen im Unternehmen etablieren und sogar einen Datenschutzbeauftragen zur Kontrolle der Einhaltung der eingerichteten Datenschutzmaßnahmen benennen.

Die Voraussetzungen zur Benennung eines Datenschutzbeauftragten finden Sie unter dem Artikel 37 der EU-Datenschutz-Grundverordnung. Wir empfehlen unbedingt zeitnah zu prüfen, welche Voraussetzungen, Anforderungen und Vorkehrungen Sie für Ihr Unternehmen treffen müssen um sicherzustellen, dass das eigene Unternehmen auf die neue EU-Datenschutz-Grundverordnung auch richtig vorbereitet ist.

Sollte die Aufsichtsbehörde zu Ihnen kommen, sollten Sie unbedingt folgende Fragen beantworten und dokumentiert vorweisen können:    

  • Welche datenschutzrelevanten Programme befinden sich bei Ihnen im Einsatz?
    Hinweis: EU-DS-GVO Artikel 30 Verzeichnis von Verarbeitungstätigkeiten
  • Welche Dienstleister/Auftragnehmer arbeiten in Ihrem Auftrag mit sensiblen und personenbezogenen Daten?
    Hinweis: EU-DS-GVO Artikel 28 Auftragsverarbeiter
  • Haben Sie mit allen Ihren datenschutzrelevanten Auftragsverarbeitern die erforderlichen Vereinbarungen mit dem Mindestinhalt nach Art. 28 Abs. 3 DS-GVO abgeschlossen?
  • Verfügen Sie über ein IT-Sicherheitskonzept?
    Hinweis: EU-DS-GVO Artikel 25 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen und Artikel 32 Sicherheit der Verarbeitung
  • Sind Sie auf eine Datenpanne vorbereitet?
    Hinweis: EU-DS-GVO Artikel 33 Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde
  • Sind die Mitarbeiter auf den Datenschutz und die Datensicherheit sensibilisiert?
    Hinweis: EU-DS-GVO Artikel 39 DSGVO Aufgaben des Datenschutzbeauftragten
  • Haben Sie Ihre Werbe-Einwilligungserklärungen für Kunden, Interessenten usw., an die Anforderungen von Art. 7 und 13 EU-DS-GVO angepasst (insbesondere: erweiterte Informationspflichten, auch zur jederzeitigen Widerrufbarkeit der Einwilligung)?
  • Ist Ihre Website auf die neue EU-Datenschutz-Grundverordnung angepasst worden?
    Hinweis: EU-DS-GVO Artikel 25 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

Hier können Sie online beim Bayrischen Landesamt für Datenschutzaufsicht mit 28 Fragen gezielt selber prüfen, wie und ob Sie schon gut vorbereitet sind: Online Tool
Unser Angebot: Crash-Kurs für Startups am Freitag 6. April 2018 Informationen und Anmeldung hier.

Sie sind Spezialist in Ihrem Bereich, wir für das Thema Datenschutz. Sprechen Sie uns gerne an wenn Sie für die anstehenden Änderungen Hilfe benötigen.

Revidata Brigitte Jordan

 

Kontakt:
REVIDATA GmbH - seit über 35 Jahren 
Brigitte Jordan
Telefon: 0211 496900
E-Mail: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
Webseite: www.revidata.de

 

 

 

Erfahrungen & Bewertungen zu 1a-STARTUP Unternehmensberatung für Existenzgründung, Fördermittel und Marketing