DSGVO und jetzt? 4 Punkte, die Sie garantiert vergessen haben
Ja, das Leben geht weiter. Wenn man noch Anfang des Jahres dachte, dass in Sachen DSGVO am 25. Mai die Welt für alle Selbständigen und Betriebe untergeht, dann sieht es heute schon wieder ganz anders aus: "Ich denke nicht, dass die Datenschützer ausgerechnet bei mir als kleiner Heilpraktiker anfangen" oder "Ein Verzeichnis von Verarbeitungstätigkeiten ist mühselig, kostet nur wertvolle Zeit und wird sicher keiner von einer Zielgruppe 2 sehen wollen"... Haben Sie diese Sätze auch schon gehört oder selbst gedacht?
Ich schon. Und zwar ziemlich oft. Sobald ich ins Gespräch mit Kunden komme oder auf Fachveranstaltungen zu diesem Thema bin, dann werden diese Argumente von allen Seiten angeführt. Es ist ja auch nur allzu verführerisch bei den ganzen Aufgaben, die jeden Tag anfallen, ein solch unliebsames Thema hinten anzustellen oder gar zu vergessen. Da ist es doch sehr viel leichter, sich sein eigenes Nichtstun schön zu reden statt endlich anzupacken. Ich rede mich leicht, weil ich als Datenschutzbeauftragter vom Fach bin? Vielleicht.
Aber Sie sind in der Pflicht Dinge zu ändern.
Und das eigentlich schon seit Ende Mai! Ein paar Themen, die Sie garantiert bislang vergessen haben, habe ich Ihnen hier zusammengestellt. Dann sind Sie auf der sicheren Seite:
1. Schulen Sie die Mitarbeiter.
Jetzt mal ehrlich: Wussten Sie, dass Sie als Selbständiger dafür verantwortlich sind, dass eine umfassende und kompetente Schulung ALLER Mitarbeiter auch nach dem 25. Mai 2018 stattfindet? Gemäß Art. 39 Abs. 1 DSGVO sind Sie verpflichtet Ihre Mitarbeiter für das Thema Datenschutz und -sicherheit zu sensibilisieren. Falls Sie nicht wissen, welche Infos Sie Ihren Mitarbeitern mit in den Arbeitsalltag mitgeben sollen, dann finden Sie hier die DSGVO zusammengefasst.
2. Das Verarbeitungsverzeichnis. Jetzt sind Sie wirklich dran.
Wer denkt, dass die Behörden nicht bei Ihnen als Drei-Mann-Betrieb anfangen werden, der täuscht sich. Und das kann im schlimmsten Fall böse bzw. teuer enden. Darum erstellen Sie bitte Ihr Verzeichnis aller Verarbeitungstätigkeiten. Jetzt gleich! Es müssen darin alle Tätigkeiten aufgelistet sein, die Ihrer Zuständigkeit unterliegen.
3. TOMs umsetzen, nachweisen und dokumentieren.
Der Schutz personenbezogener Daten ist in der DSGVO verankert. Hierum dreht sich so einiges. Sie als Unternehmer sind verpflichtet, sogenannte technische und organisatorische Maßnahmen (TOMs) zu ergreifen, um den Schutz dieser sensiblen Daten zu gewährleisten. Dazu gehören zum Beispiel die Pseudonymisierung, um die Zuordnung von Daten und Personen zu erschweren. Das gleiche Ziel hat auch die Verschlüsselung personenbezogener Daten mithilfe kryptografischer Verfahren. Damit ist es aber noch nicht genug. Es besteht Dokumentationspflicht und das bedeutet einen gewissen Mehraufwand für Sie.
4. Lassen Sie die IT-Sicherheit nicht außen vor.
Bei Ihnen klingeln die Ohren vor lauter Paragraphen? Dann habe ich jetzt noch was. Die ISO 27001 ist die international führende Norm für Informationssicherheits-Managementsysteme. Sie bietet sowohl einen systematischen als auch strukturierten Ansatz, der vertrauliche Daten schützt und die betriebliche Integrität sicherstellt. Welche IT-Sicherheitsthemen gerade relevant sind, erfahren Sie hier. Und es besteht natürlich ein Zusammenhang zwischen dieser Norm und der Datenschutzgrundverordnung. Wird das eine korrekt angewendet, ist es die Basis für das andere. Also kümmern Sie sich schnell um die Umsetzung der ISO-Norm.
Der Hype um den Datenschutz und die DSGVO vom Anfang des Jahres ist weg. Aber ein paar wichtige Punkte sind in dem ganzen Trubel untergegangen. Das Thema sollte keine einmalige Sache sein. Dafür ist es einfach zu wichtig. Datenschutz muss permanent gelebt werden.
Verwenden Sie Tools für Ihr Datenschutzmanagement? Wie viel Zeit haben Sie in letzter Zeit auf das Thema DSGVO verwendet? Ich freue mich auf Ihr Feedback!