Countdown: Die ultimativen Top Ten für Mittelständler zur DSGVO
Am 25. Mai 2018 wird die neue EU-DSGVO wirksam. Unternehmen bekommen Torschlusspanik und so mancher scheint den Kopf in den Sand stecken zu wollen. Aber auch für Mittelständler ist eine rechtskonforme Umsetzung der Vorgaben der DSGVO machbar. IT-Unternehmen und Webagenturen haben dabei Multiplikatorenfunktion für eine rechtskonforme Umsetzung in der Wirtschaft insgesamt.
Die neuen Regelungen sehen erweiterte Betroffenenrechte, Pflichten und Bußgeldvorschriften vor, gleichzeitig geben sie Gelegenheit, das eigene Firmen Kno-How neu zu ordnen und in ein IT-Sicherheitssystem einzubinden. Auch bringt die DSGVO einige vorteilhafte Änderungen. So ist z.B im Gegensatz zum bisherigen BDSG eine Möglichkeit für jedermann, in das Verzeichnis von Verarbeitungstätigkeiten Einsicht zu nehmen, nach der DSGVO nicht vorgesehen. Ebenso entfallen mit der DSGVO die bisher in § 4d und § 4e BDSG geregelten Meldepflichten von manchen Unternehmen an die Aufsichtsbehörde. Erstellt und vorgehalten werden müssen die Verzeichnisse dennoch, da sie den Aufsichtsbehörden jederzeit auf Anfrage zur Verfügung zu stellen sind (siehe Art. 30 Abs. 4 DS-GVO und ErwGr. 82).
Wenn man sich an die folgenden Punkte hält und umsetzt, sollte man für die Deadline zum 25.05.2018 aber gerüstet sein:
- Datenschutzbeauftragten benennen (ab 10 Bildschirmplätzen Pflicht)
- Schulungen von Mitarbeitern, Booklet mit DS-Regeln erstellen
- Datenschutzrisikomanagement einführen, Prozess für fortlaufende Evaluierung etablieren (Wiedervorlagen Geschäftsführung)
- Verarbeitungsverzeichnisse erstellen mit Risikofolgenabschätzung und Festlegung von Löschungsfristen
- IT-Infrastruktur überprüfen und TOMs erstellen (Cloud in Deutschland, Virensoftware, Firewall, Dateiverschlüsselung, Back-Up-Routinen)
- Dokumentation aller Maßnahmen und Entscheidungen schriftlich festhalten
- Datenschutzerklärung Website
- Datenschutzverpflichtung der Mitarbeiter und der externen Dienstleister (ADV)
- Unnötig risikobehaftete und nicht erforderliche Datenverarbeitungen einstellen
- Verschlüsselung der Kommunikation prüfen und anbieten
Auch der Bayerische Landesdatenschützer versucht nach der Panikmache der letzten Monate die Wirtschaft und vor allem den Mittelstand einzufangen, indem er die gesamten Pflichten aus der DSGVO einmal auf die wesentlichen notwendigen Maßnahmen heruntergebrochen hat.