Egal ob kleiner Familienbetrieb oder großer Konzern – Die gesetzlichen Vorschriften der DSGVO gelten für nahezu alle Unternehmen. Sogar Vereine oder eine selbstständige Yoga-Lehrerin können betroffen sein. Denn 99,9% der Firmen arbeiten mit personenbezogenen Daten. Es reicht schon aus, wenn du den Namen eines Kunden abspeicherst!
Damit du Klarheit darüber erlangst, welchen DSGVO Pflichten du als Unternehmer nachkommen musst, haben wir dir das in 4 Punkten zusammengefasst!
1. Dokumentationspflicht
Die DSGVO sieht vor, dass gewisse Aktivitäten, Vorgänge und Prozesse dokumentiert werden müssen.
Diese Pflicht umfasst mehrere „Aufgaben“:
Erstellung und laufende Aktualisierung der gesetzlich verpflichtenden DSGVO Dokumentation
Gewisse Dokumente sind laut Gesetz für alle Unternehmen, die von der DSGVO betroffen sind, Vorschrift. Zu diesen Dokumentationen gehören z.B. ein Verzeichnis Ihrer Verarbeitungstätigkeiten, die TOMs (technische und organisatorische Maßnahmen) und ein Löschkonzept. Den Aufwand solltest du hier auf keinen Fall unterschätzen. Denn alleine das Verarbeitungsverzeichnis kann einen Umfang von bis zu 250 Seiten annehmen. Außerdem solltest du diese Dokumentationen laufend aktualisieren!
Dokumentation von Datenpannen
Ein Hackerangriff, ein gestohlener Firmenlaptop, eine falsch adressierte E-Mail oder ein verlorener USB-Stick mit Kundendaten. Das alles sind Datenpannen und sie passieren schneller als man vielleicht denkt. Wenn in deinem Unternehmen so eine Panne geschieht, darfst du das nicht einfach ignorieren! Datenpannen müssen dokumentiert und bewertet werden! Außerdem müssen diese spätestens 72 Stunden nach Bekanntwerden der Aufsichtsbehörde gemeldet und die Personen, deren Daten betroffen sind, müssen informiert werden. Gib also Acht und nimm eine Datenpanne nicht auf die leichte Schulter!
Erstellung der Auftragsverarbeiter-Dokumentationen
Auftragsverarbeiter ist man, wenn man personenbezogene Daten im Auftrag eines Kunden verarbeitet.
Beispiele dafür sind:
IT-Dienstleister, die auf die Systeme ihrer Kunden zugreifen
Werbeagenturen, die z.B. Websites oder Social Media Kanäle betreuen
Papier- oder Aktenvernichtung
Wenn du ein Auftragsverarbeiter bist, hast du einige zusätzliche Pflichten. Beispielsweise die Erstellung eines Auftragsverarbeiter Vertrages oder das Führen eines Auftragsverarbeiter Verzeichnisses.
2. Informationspflicht
Umsetzung der Informationspflichten bei jeder Datenverarbeitung
Verarbeitest du personenbezogene Daten von einer Person, musst du sie im Vorhinein darüber informieren, spätestens zum Zeitpunkt der Erhebung. Die Information sollte dabei unter anderem Angaben, wie die Kontaktdaten des Datenschutz-Verantwortlichen, den Verarbeitungszweck und die Rechtsgrundlage und die Speicherdauer der Daten umfassen.
Umsetzung der Informationspflichten auf deiner Website
Wenn du eine Website hast, müssen die Informationspflichten auch hier erfüllt werden.
Folgende Regeln solltest du dabei unbedingt beachten:
- Google-Dienste, Analyse Tracker, Social Media Plugins etc. dürfen nicht ohne vorgehenden Hinweis und Einwilligung verwendet werden
- Ein vollständiges und sichtbares Impressum muss jederzeit erreichbar sein
- Die Datenschutzerklärung muss den Anforderungen der DSGVO entsprechen
- Cookie Banner müssen nach genauen Richtlinien gestalten werden
Detailliertere Informationen dazu erfährst du in unserem Beitrag „DSGVO & Website“.
3. Erfüllung der Betroffenenrechte
Jeder Mitarbeiter, Kunde, Lieferant, Besucher Ihrer Website etc. hat das Recht, eine Anfrage an dich stellen. Dies kann die Auskunft, Löschung, Berichtigung oder auch die Einschränkung zur Verarbeitung ihrer Daten umfassen. Nachdem die anfragende Person eindeutig identifiziert wurde, hast du 30 Tage Zeit, um die Anfrage zu beantworten. Die Antwort unterliegt dabei gewissen Vorschriften.
Beispielsweise muss sie Folgendes beinhalten:
- Verarbeitungszwecke
- Löschfristen
- Rechtsgrundlagen
- Kategorien personenbezogener Daten
- Empfänger oder Kategorien von Empfängern
Grundsätzlich solltest du bei der Beantwortung mit einem hohen Aufwand rechnen. Hältst du hierbei die gesetzlichen Vorschriften nicht ein, drohen schnell Strafen. Außerdem hat jeder Betroffene ein Recht auf Schadensersatz, wenn du seinen Pflichten nicht ordnungsgemäß nachkommst!
4. Pflicht zur laufenden Sicherstellung des Datenschutzes
Um den Datenschutz laufend zu gewährleisten, solltest du einige Maßnahmen setzen. Dazu gehören:
Beauftragung eines Datenschutzbeauftragten
Auch Unternehmen mit weniger als 20 Mitarbeitern können dazu verpflichtet sein, einen Datenschutzbeauftragten bei der Behörde zu benennen. Ab wann ein solcher benötigt wird, ist länderspezifisch geregelt.
Um einen umfangreichen und fehlerlosen Datenschutz zu gewährleisten, verlangt die DSGVO den Einsatz von geeigneten technischen und organisatorischen Maßnahmen.
Das sind Vorkehrungen, die die Daten im Unternehmen vor Gefahren, wie z.B. einem Fremdzugriff, schützen. Dazu gehört beispielsweise die Verwendung einer Alarmanlage oder das regelmäßige Ändern von Passwörtern.
Laufende Umsetzung des Datenschutzes
Die DSGVO soll nicht nur eine gesetzliche Richtlinie sein. Wichtiger ist es, dass Datenschutz in deiner Unternehmensphilosophie verankert ist.
Dabei ist es essenziell, deine Mitarbeiter regelmäßig zu schulen. Alle sollten auf dem neuesten Stand sein und sich ihrer Pflichten bewusst sein. Es hilft nichts, wenn du ein korrektes Datenverarbeitungsverzeichnis führst, dein Mitarbeiter aber täglich vertrauliche Daten via WhatsApp mit seinen Freunden teilt!
Außerdem solltest du regelmäßig ein Datenschutzaudit durchführen. Das ist eine allgemeine Prüfung der Einhaltung und Umsetzung der DSGVO in einem Unternehmen. Es hilft dir festzustellen, ob du deine DSGVO-Pflichten erfüllst, wo möglicherweise Risiken bestehen und wie du diesen Risiken gegenübertreten solltest.
Im besten Fall sollte die DSGVO ein Teil deines Unternehmensalltags werden!
Willst du mehr über deine Möglichkeiten zur Erfüllung der DSGVO Pflichten wissen?
Dann buche jetzt ein unverbindliches Beratungsgespräch mit einem unserer Datenschutzexperten!
Wir informieren dich gerne über alle Details. Weiters klären wir persönlich deine offenen Fragen. Garantiert kostenlos und unverbindlich!