Wir nehmen an dieser Stelle nochmals das Thema vom letzten Blog-Artikel auf und verraten Ihnen, wie Sie doch noch Ihr Unternehmen fit für die DSGVO machen können.
Laut einem Artikel der Wirtschaftswoche vom 17.06.2019 sind über die Hälfte der KMUs noch nicht mit der DSGVO vertraut. Man schätzt sogar, dass fast 70 Prozent der kleineren und mittleren Unternehmen nicht über eine vollständige Dokumentation verfügen und keine Nachweise von Mitarbeiterschulungen vorlegen können. Doch die ersten drakonischen Strafen wurden jetzt auch in Deutschland verhängt. So wurde im November 2019 gegen die Wohnungsgesellschaft Deutsche Wohnen ein Bußgeld von EUR 14,5 Mio verhängt, da sie Mieterdaten speichert, die keine Möglichkeit der Löschung vorsieht.
Die Gefahr droht nicht von den Aufsichtsbehörden
Die Wahrscheinlichkeit, dass Aufsichtsbehörden kleine und mittelständische Unternehmen bei nicht korrekter Umsetzung abmahnen ist eher gering. Dazu fehlt den Landesämtern einfach das notwendige Fachpersonal. Die Möglichkeit, dass hingegen unzufriedene Kunden, Website-Besucher, Abmahnanwälte oder unliebsame Konkurrenten Ihr Unternehmen abmahnen könnten, stellt sich dagegen schon deutlich größer dar. Auch bei einem möglichen Hackerangriff auf Ihre EDV oder Website oder bei einer Nachlässigkeit Ihrer Mitarbeiter, z. B. schon nur das „Verlieren“ eines Smartphones mit offenen Zugang zu Ihrer IT, kann schon zur Verletzung Ihrer Aufsichtspflicht beitragen.
Verheerend kann es aber auch für ein Unternehmen werden, wenn man wegen eines Hackangriffes oder durch persönliches Versagen Kunden- oder Mitarbeiterdaten in den unkontrollierten Umlauf kommen. Dann besteht sofortige Anzeigepflicht bei den Behörden und gleichzeitig müssen alle betroffenen Personen umgehend informiert werden. Damit kann ein beträchtlicher Imageschaden entstehen, der mit Geld nicht mehr zu bezahlen ist. Mit Einführung der DSGVO ist jeder Geschäftsführer auch persönlich herausgefordert, das eigene Datenschutzkonzept zu überprüfen und Sicherheitslücken auszumerzen.
Ihr Fahrplan zur nachträglichen Einführung des innerbetrieblichen Datenschutzes
Diese Punkte sollten unbedingt geklärt werden und stellen erst einmal das Pflichtprogramm für jedes Unternehmen dar:
- Bestellung eines Datenschutzbeauftragten bei mehr als 10 Mitarbeitern, die personenbezogene Daten verarbeiten
- Website absichern: Korrektes Impressum formulieren, Newsletter absichern, individuelle Datenschutzerklärung generieren, SSL-Verschlüsselung umsetzen, Cookie-Banner installieren, Plug-Ins für WordPress einsetzen, zusätzlich besondere Maßnahmen bei Betreiben eines Onlineshops vorsehen
- Mitarbeiterschulungen und Nachweise dokumentieren
- Auftragsverarbeitungs-Verträge (AVV) mit allen Dienstleistern, die personenbezogene Daten verarbeiten
- Verzeichnisses aller Verarbeitungstätigkeiten erstellen
- Dokumentation der technischen oder organisatorischen Maßnahmen (TOM) vornehmen
- Dokumentation möglicher Datenschutzverletzungen und Folgenabschätzung nachweisen
- Idealerweise die komplette Dokumentation mit allen Nachweisen erarbeiten
Die DSGVO nervt, aber sie kann auch als Wettbewerbsvorteil dienen
Natürlich nervt diese Pflicht erst einmal jeden Selbständigen. Wenn dann aber alles umgesetzt ist, kann man sich damit vom Wettbewerb abheben und Datensicherheit professionell vermarkten. Denn letztlich wollen wir auch, dass unsere persönlichen Daten bei unseren Lieferanten und Dienstleistern geschützt sind und verantwortungsvoll damit umgegangen wird.
Da wir als Agentur unsere Kunden mit der DSGVO-konformen Umsetzung ihrer Website bereits unterstützen, sind immer mehr Unternehmen an uns mit der Bitte herangetreten, ob wir nicht auch ihr gesamtes Management und die Dokumentation für die Anwendung der DSGVO übernehmen könnten.
In Zusammenarbeit mit erfahrenen Datenschützern haben wir ein Vorlage-System entwickelt, das auf die meisten Datenverarbeitungen unserer kleinen und mittelständischen Kunden passt. Natürlich müssen für die individuellen Anwendungen, auch im Bereich der Hard- und Software, Anpassungen vorgenommen werden. Gerade aber die umfangreiche Dokumentation des Verzeichnisses der Verarbeitungstätigkeiten kann dabei sehr effektiv abgearbeitet werden. Schon in wenigen Arbeitstagen kann damit eine komplette Dokumentation erstellt werden.
Entscheidend bei der Zusammenstellung aller Unterlagen ist auch die Reflexion mit der vorhandenen Ist-Situation. Erst wenn alle Verarbeitungsaufgaben und die technische Infrastruktur auf das Papier gebracht wurden, besitzt man einen klaren Überblick über mögliche Sicherheitslücken und erkennt den Handlungsbedarf. Dabei wird man wohl nie einen perfekten Zustand erreichen. Durch das regelmäßige Vervollständigen und Arbeiten an der Dokumentation erzielt man aber den notwendigen Fortschritt.
Lieber verspätet als gar nicht mit professionellem Datenschutz anfangen
Wenn Sie endlich mit der DSGVO auf der sicheren Seite sein und sich gegen mögliche Abmahnungen und Angriffen von Konkurrenten schützen wollen, nehmen Sie bitte mit uns Kontakt auf. Schon nach einem kurzen Informationsgespräch können wir Ihnen den Aufwand für die erstmalige Umsetzung der wichtigsten Punkte der DSGVO (sh. oben) nennen. Sie entscheiden dann, ob Sie weiterhin mit unserer Hilfe an der ständigen Pflege Ihres betrieblichen Datenschutzes weiterarbeiten oder Sie diese Aufgabe nach einem Coaching selber in Ihrem Haus übernehmen wollen.
Auch wenn die Zeit schon fortgeschritten ist: Handeln Sie jetzt, bevor es zu spät ist. Die Anwendung der DSGVO ist einfacher als Sie denken. Wir helfen Ihnen und unterstützen Sie dabei.
Bildnachweis:
Bild-Nummer: 261324492 vonPatrick Daxenbichler, 260666348 von goodluz – stock.adobe.com
