Warum die erweiterte Rechenschaftspflicht der DSGVO gerade für kleine Unternehmen ein Muss ist!

Die neue Datenschutzgrundverordnung (DSGVO) ist nun in Kraft getreten. Wie kritisch sich das gerade für kleine Unternehmen auswirken könnte, wird an der verschärften Rechenschaftspflicht und damit verbundenen Dokumentationspflicht spürbar. Wie Sie in Zukunft datenschutzkonform beispielsweise Lösch- und Speicherprozesse dokumentieren können – das zeigen wir Ihnen!

Eine gewissenhafte Dokumentationspflicht sollte nicht unterschätzt werden

Durch die DSGVO werden persönliche Daten nun umfangreicher denn je geschützt. Dabei werden die Prinzipien Datenvermeidung und Datensparsamkeit fortlaufend berücksichtigt: Das heißt, dass nur die Daten gesammelt werden, die wirklich relevant sind. Und damit diese Prinzipien auch für Behörden nachprüfbar eingehalten werden, tritt mit der Dokumentationspflicht auch die Beweislastumkehr ein. Jeder Verantwortliche (also Sie als Datenverarbeiter), muss die Einhaltung der DSGVO-Regeln nachweisen können, um einer Haftung zu entgehen. Setzen Sie sich mit den Vorgaben der DSGVO daher unbedingt nachhaltig auseinander!

Der sensible Umgang mit Daten

Die Uhr tickt – bald wird die DSGVO zum essenziellen datenschutzrechtlichen Pfeiler für jede Organisation. Ob und wie ein Unternehmer Daten verwendet, ist nun mit einer weitläufigen Rechenschaftspflicht verbunden. Gesichert werden soll es durch eine umfangreiche Dokumentationspflicht, die bestenfalls bereits vor dem Eintreten der DSGVO eingeführt und umgesetzt werden sollte.

Die Dokumentationspflichten finden sich in der gesamten DSGVO und sind in vereinzelten Vorgaben geregelt. Das kann sich für den Datenschutz-Einsteiger durchaus unübersichtlich darstellen. Unverzichtbar hingegen ist ein Blick auf die Regelungen für Dokumentationen im Hinblick auf Speichern und Löschen von Daten.

Das Verarbeitungsverzeichnis:Datenspeicherung dokumentieren um Rechenschaft abliefern zu können

Die DSGVO trennt internen oder externen Daten nicht: Sobald personenbezogene Daten (auch von Mitarbeitern) gespeichert werden, unterliegen Sie der Einhaltung der datenschutzrechtlichen Maxime. Eine einfache Excel-Tabelle die auflistet, welche Daten Sie genau speichern und eventuell an Auftragsverarbeiter weiterleiten, kann bereits ausreichen. Denken Sie daran, dass Sie gemäß Art. 24 DSGVO verpflichtet sind geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit der personenbezogenen Daten zu gewährleisten.

Dokumentieren Sie daher im Detail wo die Daten gespeichert werden und welche Maßnahmen Sie zum Schutz ergreifen. Dafür erstellen Sie ein Verzeichnis für Verarbeitungstätigkeiten, in denen Sie auch hinterlegen ob und ja, welche Einwilligungen zur Datenverarbeitung vorliegen und an wen die Daten übertragen werden. Ein Muster für Handwerksbetriebe hat der Zentralverband des Deutschen Handwerks (ZDH) erstellt: https://www.zdh.de/fachbereiche/organisation-und-recht/datenschutz/datenschutz-fuer-handwerksbetriebe/

Schriftliche Einwilligung nicht zwingend erforderlich

Ein wichtiges Recht der Betroffenen ist die erforderliche Einwilligung des Datenverarbeiters. Die Einwilligung eines Kunden oder Nutzers zur Speicherung und Verarbeitung von Daten muss nach der DSGVO genau für den verfolgten Zweck (beispielsweise zur Weitergabe an einen Auftragsverarbeiter) erteilt werden. Ändert sich dieser Zweck, dann muss auch eine neue Einwilligung gegeben werden.

Definieren Sie also vorab welche Daten sie erfassen und zu welchem Zweck. Ein Protokoll darüber erleichtert den etwaigen späteren Nachweis gegenüber Behörden. Die Einwilligung kann auch durch schlüssiges Verhalten des Kunden gegeben werden, auf der sicheren Seite sind Sie aber, wenn Sie sich alles schriftlich geben lassen und im Verarbeitungsverzeichnis dokumentieren. Aber keine Panik: Es existieren, beispielsweise für den Online-Bereich, durchaus Ausnahmen von der Einwilligungspflicht. Holen Sie sich hierzu Rat von Experten und prüfen Sie, ob Ihr Unternehmen betroffen ist.

Herausforderung: Vergessenwerden als Recht?

Jede Person, deren Daten Sie verarbeiten, hat das Recht auf Auskunft darüber. Diesem Begehren müssen Sie binnen eines Monats nachkommen. Dazu gehören auch unter anderem Informationen zu dem Verarbeitungszweck und über das Beschwerderecht bei der zuständigen Datenschutzaufsichtsbehörde. Mit einem soliden Verarbeitungsverzeichnis können Sie diesem Auskunftsbegehren zügig nachkommen. Schwieriger hingegen gestaltet sich das neue „Recht aufs Vergessenwerden“. Das bedeutet vor allem, dass Sie sicherstellen müssen, dass bei Inanspruchnahme des Rechts auf Löschung gem. Art. 17 DSGVO jede Stelle an die Sie die Daten geschickt haben, über die Löschung informiert wird.

Keine Sorge: Sie müssen darüber keinen expliziten Nachweis führen, hilfreich ist aber ein Löschkonzept, indem Sie festlegen wie lange bestimmte Daten gespeichert werden. Sind Sie sich unsicher, wie lange Sie Daten speichern dürfen, dann fragen Sie sich: Wie lange benötigen Sie die Daten? Gibt es eine aktive Kundenbeziehung, beziehungsweise ist der Mitarbeiter noch bei Ihnen beschäftigt? Je detaillierter Ihr Löschkonzept, desto sicherer können Sie sein, dass Ihr Datenschutzkonzept auf sicheren Füßen steht.

Fazit:

Datenverarbeitung neu konzipieren Ein Verarbeitungsverzeichnis, welches Speicher- und Löschprozesse dokumentiert ist immens wichtig und sollte bereits vor Inkraftreten der DSGVO eingerichtet werden. Speichern Sie eine Fülle von Daten? Dann kann Ihnen der Rat eines Experten dabei helfen, die für Sie relevanten Regelungen in der DSGVO zu finden. Sensibilisieren Sie sich und Ihr Unternehmen für das neue Gesetz und sichern sie sich effektiv gegen den Ernstfall ab!