#007 KMU meets Datenschutz
KMU meets Datenschutz.
Die geltenden Gesetze innerhalb der EU und damit auch für Deutschland stellen Unternehmen vor besondere Herausforderungen. Insbesondere kleine und mittelständische Unternehmen (KMU) sehen den Mehrwert nicht und wissen oft nicht genau was getan werden muss.
Wir bringen Licht ins Dunkel, damit Ihr Betrieb mit Sicherheit gut läuft!
Welche Datenschutzgesetze gelten für KMU?
Seit 2018 denke Sie sicherlich direkt an die DSGVO (Datenschutzgrundverordnung), die inzwischen in Allermunde ist. Es gibt jedoch weitere wichtige und zu berücksichtigende Verordnungen und Gesetze in Deutschland. Für die unterschiedlichen Branchen gibt es dann wiederum weitere speziellere Normen, die berücksichtigt werden müssen (wird hier im Blogbeitrag nicht weitere drauf eingegangen). Zwei der aktuell noch wichtigsten Gesetze sind
- das Bundesdatenschutzgesetz (BDSG) und
- das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG).
Welche Mindestanforderungen gelten für KMU?
- Informationspflichten von Betroffenen
- Verzeichnis von Verarbeitungstätigkeiten (VVT)
- Technisch und organisatorische Maßnahmen (TOM)
- Einwilligungsmanagement
- Auftragsverarbeitungsvereinbarungen (AVV)
- Management Datenschutzverletzungen
- Management Betroffenenanfragen
1. Informationspflichten von Betroffenen
Betroffene Personen haben das Recht über die Verarbeitung ihrer personenbezogenen Daten informiert zu werden. Sie müssen als Unternehmer:in über die Verarbeitung personenbezogenen Daten von Betroffenen aufklären. Auf der Webseite auf der Unterseite „Datenschutz“ (oder „Datenschutzhinweise“ à „Datenschutzerklärung“ empfehlen wir nicht, da eine Erklärung juristisch betrachtet andere Merkmale aufweist und sie als Unternehmen zu weiteren Dingen verpflichtet) sollten also die informationspflichten genannt werden. Allerdings sind auch weitere Kategorien von betroffenen Personen zu beachten und zu informieren (z.B. Kunden, Mieter, Bewerber, Mitarbeiter). Hier sollten Sie geeignete Maßnahmen treffen, um alle Pflicht-Informationen in
- präziser,
- transparenter,
- verständlicher und
- leicht zugänglicher Form
- in einer klaren und einfachen Sprache
anzubieten.
Mindestangaben für eine Information nach Art. 12 ff. DSGVO
- Namen, Kontaktdaten des Unternehmens die Verarbeitungszwecke,
- Rechtsgrundlage
- bei Artikel 6 Absatz 1 Buchstabe f: die berechtigten Interessen, die verfolgt werden,
- die Empfänger / Kategorien von Empfängern
- die Absicht an ein Drittland zu übermitteln
- das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses
- oder einen Verweis auf die geeigneten oder angemessenen Garantien
- die Speicherdauer / die Kriterien für die Festlegung dieser Dauer
- das Bestehen der Rechte, ob die Bereitstellung gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist und welche möglichen Folgen die Nichtbereitstellung hätte
- das Bestehen einer automatisierten Entscheidungsfindung
2. Verzeichnis von Verarbeitungstätigkeiten (VVT)
Das Führen eines Verzeichnisses von Verarbeitungstätigkeiten (VVT) wird nahezu allen Unternehmen durch den Art. 30 DSGVO auferlegt. In besonderen Fällen kann auf das Führen des VVT verzichtet werden. Denn die Pflicht zum Führen eines VVT gilt nicht für Unternehmen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn
- die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen,
- die Verarbeitung erfolgt nicht nur gelegentlich oder
- es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10.
Die Einschränkungen der Ausnahmeregelung führen dann leider im Ergebnis oft dazu, dass nur sehr wenige bis keine Unternehmen dies erfüllen, denn
- ein datenschutzrechtliches Risiko für betroffene Personen ist nicht selten,
- vielen Verarbeitungen finden wiederkehrend statt und
- Verarbeitungen von z.B. Gesundheitsdaten oder Religionsdaten finden i.d.R. häufig statt (z.B. wenn es Mitarbeitende gibt (Personalverwaltung))
Ein VVT muss mindestens folgende Dinge enthalten:
- Namen und Kontaktdaten des Unternehmens,
- Zwecke der Verarbeitung,
- Kategorien betroffener Personen,
- Kategorien personenbezogener Daten,
- Kategorien von Empfängern,
- Empfänger in Drittländern,
- Übermittlungen von personenbezogenen Daten an ein Drittland,
- Angabe des betreffenden Drittlands,
- Dokumentierung der geeigneten Garantien,
- wenn möglich, die vorgesehenen Löschfristen und
- wenn möglich, eine allgemeine Beschreibung der TOMs.
Sollten Sie VVT führen müssen, dann ist es ratsam etwas mehr Aufwand zu investieren und weitere folgende Angaben mit aufzuführen:
- Herkunft der personenbezogenen Daten
- Rechtmäßigkeit/Rechtsgrundlagen
- Risikobewertungen
- Speicherorte
3. Technisch- und organisatorische Maßnahmen
Nach der Art. 32 DSGVO sollten Sie die technisch- und organisatorischen Maßnahmen zur Sicheren Datenverarbeitung dokumentieren und die Risiken an ein angemessenes Schutzniveau gewährleisten. Hierbei sollten Sie abwägen und danach die Maßnahmen einrichten:
- Stand der Technik,
- Implementierungskosten
- Art, Umfang, Umstände, Zwecke der Verarbeitung
- Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen
Zur Beurteilung des Schutzniveaus, sind insbesondere die Risiken zu berücksichtigen, die insbesondere bei (unbeabsichtigt oder unrechtmäßig)
- Vernichtung,
- Verlust,
- Veränderung oder
- unbefugte Offenlegung
- unbefugter Zugang
eintreten.
Folgende technische Maßnahmen sind hier eingeschlossen:
- Zutrittskontrolle (Kein unbefugter Zutritt zu Datenverarbeitungsanlagen)
- Zugangskontrolle (Keine unbefugte Systembenutzung)
- Zugriffskontrolle (Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems)
- Trennungskontrolle / Verwendungszweckkontrolle (Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden)
- Pseudonymisierung und Verschlüsselung
- Weitergabekontrolle (Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport)
- Eingabekontrolle (Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind)
- Verfügbarkeitskontrolle (Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust)
- Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS-GVO – die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen)
- Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung
- Auftragskontrolle (Outsourcing an Dritte)
Es sollten mindestens ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen eingeführt sein:
- B. IT/Datenschutz-Richtlinie, Arbeitsanweisungen, Arbeitsordnungen
- B. Erstsensibilisierung und Schulungen
- B. Verschwiegenheitsverpflichtungen
4. Einwilligungsmanagement
In bestimmten Fällen kann das Einholen einer Einwilligung zur Datenverarbeitung erforderlich sein. Hier müssen Sie als verantwortliche Stelle
- Die Besonderheiten für Einwilligungen in bestimmten Bereichen kennen und anwenden (z.B. Double-Opt-In-Einwilligungen bei Newslettern)
- Einen Prozess für Einwilligungen und Widerrufe implementieren, dies umfasst i.d.R.
- Die Einholung von Einwilligungen
- Die Dokumentation von Einwilligungen
- Den Widerruf von Einwilligungen
Fotos von Mitarbeitenden dürfen in der Regel nicht ohne Einwilligung der betroffenen Mitarbeiterin veröffentlicht werden. Wenn Sie also Team Fotos auf Ihrer Webseite veröffentlichen wollen, brauchen Sie eine Einwilligung des betroffenen Mitarbeiters. Diese sollte folgende Kriterien erfüllen:
- transparent
- explizit
- einfach
- freiwillig
- Widerruf
5. Auftragsverarbeitungen, Übermittlungen
Erfolgt eine Verarbeitung von personenbezogenen Daten im Auftrag eines Verantwortlichen oder werden im Namen der verantwortliche Stelle Verarbeitungen von personenbezogenen Daten durch andere Unternehmen vorgenommen, so handelt es sich unter Umständen um eine Auftragsverarbeitung. Es reicht z.B. der Vertragsgegenstand des IT-Supports (Fehleranalysen, Support-Arbeiten in Systemen des Auftraggebers) sowie die Notwendigkeit oder Möglichkeit des Zugriffs auf personenbezogene Daten, damit es sich um eine Auftragsverarbeitung handelt. Hier sind dann gemäß Art. 28 Abs. 3 DSGVO Verträge über die Auftragsverarbeitungsvereinbarung (AVV) abzuschließen.
Die notwendigen Schritte für die Auftragsverarbeitungen in einem KMU sind, dass Auftragsverarbeitungen bekannt sind, bewertet wurden, dokumentiert wurden und darüber Verträge abgeschlossen sind.
6. Management Datenschutzverletzungen
Wenn Sie beispielsweise ein dienstliches Mobiltelefon verloren haben oder eine Ihrer Mitarbeitenden den Laptop beim Einkaufen im Laden vergessen hat, kann es sich um eine Datenschutzverletzung oder auch Datenpanne handeln. Es könnte sein, dass hunderte Kontaktdaten von Kunden darauf enthalten sind. Für solche Fälle sollten Sie Regeln in Ihrem Unternehmen treffen (z.B. Richtlinie Umgang mit Datenschutzverletzungen) und diese Fälle dann auch korrekt dokumentieren und unter Umständen sowohl die Aufsichtsbehörde als auch betroffene Personen informieren. All das muss sensibel behandelt werden und bedarf einer fachlich korrekten Einschätzung. Legen Sie sich dafür zumindest einen Maßnahmenplan an und dokumentieren Sie diese Vorfälle.
Das Landesamt für Datenschutz Sachsen-Anhalt hat dazu eine schöne Checkliste veröffentlicht.
7. Management Betroffenenanfragen
Täglich arbeiten wir mit personenbezogenen Daten unserer Kunden. Da es das Recht auf Auskunft von betroffenen Personen gibt, sollten Sie auch hier eine Vorgehensweise vorhalten, damit Sie auch schnell handeln können. Ggf. bitten die Person um Auskunft oder Löschung der Daten. Dafür sollten Sie sich vorformulierte Textbausteine anlegen, auf die Sie im Falle zurückgreifen können. Wenn Sie nicht korrekt antworten, kann diese Person eine Beschwerde bei der Aufsichtsbehörde einreichen oder sich auch bei einem Verbraucherschutzbund melden.
PS: Das Landesamt für Datenschutz Sachsen-Anhalt hat ebenfalls eine Checkliste für KMU veröffentlicht.