Der entscheidende Termin ist zum Greifen nah, seit Monaten schon ist sie in aller Munde und die rote Linie rückt immer näher: Die DSGVO.
Hinter fünf harmlosen Buchstaben versteckt sich für Unternehmen in ganz Europa eine große Menge Aufwand. Am 25. Mai ist es soweit und die Datenschutz-Grundverordnung (Volltext hier) tritt in Kraft. Mit ihr, zahlreiche Richtlinien und Auflagen, die bei Nichteinhaltung mit hohen Strafen geahndet werden können – sodass ein Ignorieren der Änderungen für Unternehmen teuer enden kann.
Gerade in letzter Zeit wurde bereits viel geschrieben, dramatisiert und auseinander genommen. Doch was bedeutet die neue Richtlinie wirklich für ein Unternehmen in der Praxis?
Hiermit wollen wir Ihnen als junges, digitales Unternehmen unsere ganz eigene Sicht auf die DSGVO darstellen und bieten Ihnen einen Erfahrungsbericht:
Was haben wir gemacht um DSGVO-konform zu werden?
Überblick
Der erste Schritt ist natürlich sich Informationen und einen Überblick einzuholen. Sehr hilfreich dafür ist beispielsweise der Artikel des Rechtsanwalts Dr. Ronald Kandelhard, der das Komplettpaket DSGVO von Anfang bis Ende beschreibt und auch Laien verständlich mitnimmt. Auch Magazine wie die t3n berichten auf ihren Websites schrittweise, was die Grundverordnung bedeutet. Wer sich aber das 999€ teure DSGVO-Paket der Zeitschrift sparen will, macht es wie wir auf eigene Faust – und packt selber an.
Verarbeitungsverzeichnis
Sehr empfehlenswert dafür ist ausnahmsweise (das müssen wir als Nordlichter so sagen) die Arbeit der Bayern. Das bayerische Landesamt für Datenschutzaufsicht fasst auf seiner Website sehr übersichtlich und wirklich hilfreich zusammen, was kleine Unternehmen aus den jeweiligen Branchen leisten müssen. Ein Aspekt hierbei ist das Verarbeitungsverzeichnis, welches alle Firmen anlegen müssen. Es ist zentraler Bestandteil der neuen Grundverordnung und beinhaltet alle wichtigen Informationen über die Datennutzung eines Unternehmens. Auf der Seite des Landesamtes finden Sie Musterverzeichnisse je nach Tätigkeitsbereich. Damit können Sie sich – wie zum Beispiel in unserem Fall – ein Muster Online-Shop-Verzeichnis ansehen und das auf das eigene Unternehmen anwenden.
Data Processing Agreements
Wie bei den meisten Unternehmen tritt auch bei uns der Fall von Auftragsdatenverarbeitung auf. Das ist (fast) immer der Fall, wenn externe Unternehmen Zugriff auf Daten der eigenen Kunden haben und dann gilt: Ran an die Tasten. Unternehmen mit Datenzugriff müssen angeschrieben werden und DPAs abgeschlossen werden: Data Processing Agreements. Bei uns betraf das – um nur ein Beispiel zu nennen – unter anderem den Instant-Messaging-Dienst “Slack”. Dieser bietet online ein Formular an, das unterschrieben an Slack gesendet wird.
Es gilt also genau zu prüfen, welche Unternehmen Zugriff auf Kundendaten haben und dann mit diesen “Auftragsdatenverarbeitern” analog wie mit Slack zu verfahren und DPAs abzuschließen. Grundsätzlich sollten alle Unternehmen einen solchen DPA Vertrag haben und in der Regel informieren diese dann auch in Ihren Newslettern darüber.
Wichtig ist am Ende Verträge mit allen externen Unternehmen mit Datenzugriff abgeschlossen zu haben, weil diese Kontrakte von Behörden angefordert und überprüft werden können.
Datenschutzerklärung
Weiterhin benötigen wir noch eine Datenschutzerklärung, angepasst an unsere Bedürfnisse. Wenn Sie diese für Ihr eigenes Unternehmen auch noch nicht verfasst haben, keine Panik: Nutzen Sie ganz einfach den Datenschutzerklärungs-Generator der Deutschen Gesellschaft für Datenschutz. Dieser erstellt kostenlos und angepasst an Ihr Unternehmen Datenschutzerklärungen, die mit den neuen Regelungen der DSGVO konform sind.
Zu guter Letzt…
Grundsätzlich ist das Ziel der DSGVO ja nicht, kleine und mittelständische Unternehmen zu ärgern – auch wenn das teilweise mit ihr einhergeht – sondern der Schutz unserer aller persönlichen Daten. Längst überfällig gewesen, soll die neue Grundverordnung zu einem Umdenken im Umgang mit persönlichen Daten führen und eine verbesserte “Datenhygiene” anregen. Mit dem umfassenden und unkontrollierten Daten-Sammeln soll Schluss sein und an dessen Stelle transparente, geordnete Prozesse treten – was ja grundsätzlich nicht schlecht ist, sondern durchaus seine Berechtigung hat.
Damit die DSGVO trotzdem nicht zum Desaster für kleine und mittelständische Unternehmen wird, haben wir hier noch einen kleinen Geheimtipp für Sie. Wenn es wirklich dazu kommt und ein Kunde Sie auffordert –
“Gemäß der DSGVO möchte ich von Ihnen wissen, welche Daten Sie von mir haben und was Sie damit machen!”
Dann sollten Sie ab dem 25. Mai reflexartig und zu jeder Tages- und Nachtzeit folgende Antwort parat haben:
“Sehr gerne! Bitte übermitteln Sie uns über ihre Email Adresse eine Kopie Ihres Personalausweises, um Sie als Nutzer unserer Services zu identifizieren. Bitte schwärzen Sie dabei alle Angaben außer Bild, Name und Geburtsdatum. Erst bei erfolgreicher Verifizierung dürfen wir Ihre Daten an Sie weiterleiten.”
Und schon haben Sie locker einen Monat gewonnen!
Noch ist miraminds nicht komplett gerüstet, aber bis zum drohenden 25.05.2018 werden wir Datenschutz-Grundverordnungs-konform sein. Machen auch Sie sich schnell auf den Weg und werden Sie mit uns bereit für die EU-Datenschutzgrundverordnung – denn wenn man es einmal hinter sich hat, dann ist die Richtlinie gar nicht mehr so schlimm, sondern nur ein Teil der tagtäglichen Arbeit.