Diese DSGVO Pflichten haben Unternehmer

Egal ob kleiner Familienbetrieb oder großer Konzern – Die gesetzlichen Vorschriften der DSGVO gelten für nahezu alle Unternehmen. Sogar Vereine oder eine selbstständige Yoga-Lehrerin können betroffen sein. Denn 99,9% der Firmen arbeiten mit personenbezogenen Daten. Es reicht schon aus, wenn du den Namen eines Kunden abspeicherst!

Damit du Klarheit darüber erlangst, welchen DSGVO Pflichten du als Unternehmer nachkommen musst, haben wir dir das in 4 Punkten zusammengefasst!

1. Dokumentationspflicht

Die DSGVO sieht vor, dass gewisse Aktivitäten, Vorgänge und Prozesse dokumentiert werden müssen.

Diese Pflicht umfasst mehrere „Aufgaben“:

Erstellung und laufende Aktualisierung der gesetzlich verpflichtenden DSGVO Dokumentation

Gewisse Dokumente sind laut Gesetz für alle Unternehmen, die von der DSGVO betroffen sind, Vorschrift. Zu diesen Dokumentationen gehören z.B. ein Verzeichnis Ihrer Verarbeitungstätigkeiten, die TOMs (technische und organisatorische Maßnahmen) und ein Löschkonzept. Den Aufwand solltest du hier auf keinen Fall unterschätzen. Denn alleine das Verarbeitungsverzeichnis kann einen Umfang von bis zu 250 Seiten annehmen. Außerdem solltest du diese Dokumentationen laufend aktualisieren!

Dokumentation von Datenpannen

Ein Hackerangriff, ein gestohlener Firmenlaptop, eine falsch adressierte E-Mail oder ein verlorener USB-Stick mit Kundendaten. Das alles sind Datenpannen und sie passieren schneller als man vielleicht denkt. Wenn in deinem Unternehmen so eine Panne geschieht, darfst du das nicht einfach ignorieren! Datenpannen müssen dokumentiert und bewertet werden! Außerdem müssen diese spätestens 72 Stunden nach Bekanntwerden der Aufsichtsbehörde gemeldet und die Personen, deren Daten betroffen sind, müssen informiert werden. Gib also Acht und nimm eine Datenpanne nicht auf die leichte Schulter!

Erstellung der Auftragsverarbeiter-Dokumentationen

Auftragsverarbeiter ist man, wenn man personenbezogene Daten im Auftrag eines Kunden verarbeitet.

Beispiele dafür sind:
IT-Dienstleister, die auf die Systeme ihrer Kunden zugreifen
Werbeagenturen, die z.B. Websites oder Social Media Kanäle betreuen
Papier- oder Aktenvernichtung

Wenn du ein Auftragsverarbeiter bist, hast du einige zusätzliche Pflichten. Beispielsweise die Erstellung eines Auftragsverarbeiter Vertrages oder das Führen eines Auftragsverarbeiter Verzeichnisses.

2. Informationspflicht

Umsetzung der Informationspflichten bei jeder Datenverarbeitung

Verarbeitest du personenbezogene Daten von einer Person, musst du sie im Vorhinein darüber informieren, spätestens zum Zeitpunkt der Erhebung. Die Information sollte dabei unter anderem Angaben, wie die Kontaktdaten des Datenschutz-Verantwortlichen, den Verarbeitungszweck und die Rechtsgrundlage und die Speicherdauer der Daten umfassen.

Umsetzung der Informationspflichten auf deiner Website

Wenn du eine Website hast, müssen die Informationspflichten auch hier erfüllt werden.

Folgende Regeln solltest du dabei unbedingt beachten:

  • Google-Dienste, Analyse Tracker, Social Media Plugins etc. dürfen nicht ohne vorgehenden Hinweis und Einwilligung verwendet werden
  • Ein vollständiges und sichtbares Impressum muss jederzeit erreichbar sein
  • Die Datenschutzerklärung muss den Anforderungen der DSGVO entsprechen
  • Cookie Banner müssen nach genauen Richtlinien gestalten werden

Detailliertere Informationen dazu erfährst du in unserem Beitrag „DSGVO & Website“.

3. Erfüllung der Betroffenenrechte

Jeder Mitarbeiter, Kunde, Lieferant, Besucher Ihrer Website etc. hat das Recht, eine Anfrage an dich stellen. Dies kann die Auskunft, Löschung, Berichtigung oder auch die Einschränkung zur Verarbeitung ihrer Daten umfassen. Nachdem die anfragende Person eindeutig identifiziert wurde, hast du 30 Tage Zeit, um die Anfrage zu beantworten. Die Antwort unterliegt dabei gewissen Vorschriften.

Beispielsweise muss sie Folgendes beinhalten:

  • Verarbeitungszwecke
  • Löschfristen
  • Rechtsgrundlagen
  • Kategorien personenbezogener Daten
  • Empfänger oder Kategorien von Empfängern

Grundsätzlich solltest du bei der Beantwortung mit einem hohen Aufwand rechnen. Hältst du hierbei die gesetzlichen Vorschriften nicht ein, drohen schnell Strafen. Außerdem hat jeder Betroffene ein Recht auf Schadensersatz, wenn du seinen Pflichten nicht ordnungsgemäß nachkommst!

4. Pflicht zur laufenden Sicherstellung des Datenschutzes

Um den Datenschutz laufend zu gewährleisten, solltest du einige Maßnahmen setzen. Dazu gehören:

Beauftragung eines Datenschutzbeauftragten

Auch Unternehmen mit weniger als 20 Mitarbeitern können dazu verpflichtet sein, einen Datenschutzbeauftragten bei der Behörde zu benennen. Ab wann ein solcher benötigt wird, ist länderspezifisch geregelt.
Um einen umfangreichen und fehlerlosen Datenschutz zu gewährleisten, verlangt die DSGVO den Einsatz von geeigneten technischen und organisatorischen Maßnahmen.
Das sind Vorkehrungen, die die Daten im Unternehmen vor Gefahren, wie z.B. einem Fremdzugriff, schützen. Dazu gehört beispielsweise die Verwendung einer Alarmanlage oder das regelmäßige Ändern von Passwörtern.

Laufende Umsetzung des Datenschutzes

Die DSGVO soll nicht nur eine gesetzliche Richtlinie sein. Wichtiger ist es, dass Datenschutz in deiner Unternehmensphilosophie verankert ist.
Dabei ist es essenziell, deine Mitarbeiter regelmäßig zu schulen. Alle sollten auf dem neuesten Stand sein und sich ihrer Pflichten bewusst sein. Es hilft nichts, wenn du ein korrektes Datenverarbeitungsverzeichnis führst, dein Mitarbeiter aber täglich vertrauliche Daten via WhatsApp mit seinen Freunden teilt!
Außerdem solltest du regelmäßig ein Datenschutzaudit durchführen. Das ist eine allgemeine Prüfung der Einhaltung und Umsetzung der DSGVO in einem Unternehmen. Es hilft dir festzustellen, ob du deine DSGVO-Pflichten erfüllst, wo möglicherweise Risiken bestehen und wie du diesen Risiken gegenübertreten solltest.
Im besten Fall sollte die DSGVO ein Teil deines Unternehmensalltags werden!

Willst du mehr über deine Möglichkeiten zur Erfüllung der DSGVO Pflichten wissen?

Dann buche jetzt ein unverbindliches Beratungsgespräch mit einem unserer Datenschutzexperten!
Wir informieren dich gerne über alle Details. Weiters klären wir persönlich deine offenen Fragen. Garantiert kostenlos und unverbindlich!

Du hast Fragen?

Unsere Experten stehen dir gerne für ein kostenloses & unverbindliches Gespräch zur Verfügung!

Hallo, mein Name ist Daniel Lukmann. Ich bin zertifizierter Datenschutzbeauftragter und CTO der Lukmann Consulting GmbH. Gerne beraten wir dich in Sachen Datenschutz!