Auch viele Klein- und Kleinstunternehmen haben die DSGVO nicht auf dem Zettel, weil sie sich nicht betroffen fühlen. Dabei gelten die neuen Vorschriften für ausnahmslos jedes Unternehmen, das mit den Daten von EU-Bürgern zu tun hat selbst wenn es sich nur um Namen und Mail-Adressen für den Versand eines Newsletters handelt.
Jedoch lagern auch bei kleinen Firmen in der Regel viel mehr personenbezogene Daten: nämlich die der eigenen Mitarbeiter. Dazu kommen dann meist noch Kundendaten.
Erste Schritte einleiten
In der Regel steht am Anfang eine Analyse, welche personenbezogenen Daten vorhanden sind, wo sie lagern und in welchen Prozessen mit ihnen gearbeitet wird. Daraus lässt sich bereits ein sogenanntes Verfahrensverzeichnis erstellen, das alle Datenverarbeitungsprozesse im Unternehmen dokumentiert. Denn nur so lassen sich Anfragen von Behörden oder Bürgern, die Auskunft über die von ihnen erfassten Daten verlangen, beantworten.Anschließend kann mit verschiedenen Sicherheitslösungen dafür gesorgt werden, dass Daten nicht entwendet, manipuliert oder zerstört werden.
Im nächsten Schritt gilt es, Prozesse aufzusetzen oder anzupassen, damit Daten den DSGVO-Vorgaben entsprechend künftig nur mit Einwilligung der betroffenen Person erhoben und nur für die bei der Erhebung genannten Zwecke genutzt werden.
Zudem braucht es Prozesse, um Löschanfragen nachzukommen, was gar nicht so leicht ist, weil die Daten oft an vielen Stellen im Unternehmen gespeichert sind,
Oft stehen Löschwünsche allerdings im Widerspruch zu gesetzlichen Aufbewahrungsfristen. Hier gilt: Müssen bestimmte Daten und Dokumente aus beispielsweise steuerrechtlichen oder handelsrechtlichen Gründen eine bestimmte Zeit lang aufbewahrt werden, dürfen sie nicht gelöscht werden und das Löschersuchen ist dann abzulehnen.
Meldepflicht als Herausforderung
Schwierigkeiten dürften viele Unternehmen auch mit der neuen Meldepflicht haben. Sie müssen binnen 72 Stunden nach dem Erkennnen eines Datenschutzvorfalls die Behörden darüber informieren — und hier reicht nicht nur der einfache Hinweis auf den Vorfall, sondern es sind detaillierte Informationen zur Art und Menge der Daten sowie zur Zahl der Betroffenen erforderlich.Kleine und mittelständische Firmen sind daher mehr denn je darauf angewiesen, dass die Systeme ausreichend geschütz sind. Man wolle schließlich nicht von einem Datendiebstahl überrascht werden und aus dem Internet davon erfahren.
Da sich die Unternehmen sich wahrscheinlich schwer tun werden, in drei Tagen alle notwendigen Informationen zu besorgen und zu schützen oder das Verlust- und Missbrauchsrisiko zu minimieren.
Zudem müssen in diesem Fall auch die betroffenen Verbraucher angeschrieben werden, wenn der Datenschutzvorfall für deren Rechte und Freiheiten ein »hohes Risiko« darstellt.
Eine weitere Maßnahme, sind Datenschutzfolgeabschätzungen . Eine Daten-schutzfolgeabschätzung ist eine Risikobewertung, die in der DSGVO für besonders gefährdete Daten oder große Mengen von personenbezogenen Daten vorgesehen ist.
Es gibt daher auch für kleine Unternehmen umfangreiche Vorbereitungen notwendig. Die eine oder andere Softwarelösung hilft dabei.
Kommentare
Kommentar veröffentlichen