8 Punkte, 8 Schritte, eine auf 2 Händen zusammenzählbare Anzahl von Maßnahmen, die für eine rechtmäßige Umsetzung der DSGVO erforderlich sind. Allesamt Tipps aus erster Hand einer renommierten Anwältin aus Hamburg, RAin Nina Diercks, die wenn man ein paar Punkte beachtet, gar nicht mehr so kompliziert klingen.

Einfach, juristischer Leitfaden und DSGVO sind grundsätzlich Begrifflichkeiten, die vor ein paar Monaten vermutlich nirgendwo gemeinsam genannt wären. Es zeigt jedoch: Datenschutz ist kein Hexenwerk, es ist kein Grund zur Sorge und insbesondere kein Grund für Verzweiflung. Viel wichtiger wäre es, dass man damit aufhört, die juristischen Probleme dahinter als Laie zu diskutieren, diese Aufgabe den Fachmännern und -frauen überlässt und sich viel mehr auf die praktische Umsetzung konzentriert. Hierfür haben wir eine tolle Anleitung gefunden, raten jedoch dazu, im Folgenden zwei Hintergrundaspekte zu beachten: Vernunft und Pragmatismus.

Die Pflicht

Ob das Verzeichnis der Verarbeitungstätigkeiten, welches grundsätzlich jedes Unternehmen (Achtung Ausnahmen!) mit einem bestimmten Inhalt erstellen muss, die Datenschutzerklärung, für deren Erstellung die Pflicht in den meisten Ländern bisher schon bestand (DSG 2018, TKG 2003) oder die Vertraulichkeitsverpflichtung; bei den ersten Punkten des Leitfadens wird klar: wer bisher schon pflichtbewusst und sorgsam mit den Daten ihrer Kunden umging, dürfte keine großen Baustellen haben und von nun an doppelt oder dreifach profitieren können. Denn die Datenschutzerklärung greift bereits die Inhalte des Verzeichnisses auf, während die Vertraulichkeitsverpflichtung nicht ausschließlich bürokratische Hürden aufstellt. Diese dienen gleichzeitig zur Aufklärung der MitarbeiterInnen, zu mehr Sorgfalt nicht nur in beruflichen Angelegenheiten, sondern auch im privaten Umfeld. Aus Datenkompetenz folgt so auch Digitalkompetenz, so dass man mit Hilfe der lästigen „unternehmerischen Pflichtübung“ die so erworbenen Kenntnisse auch für die vorgeschriebenen organisatorischen Maßnahmen (Art. 32 DSGVO) verwenden kann. Schließlich nützt das beste Sicherheitssystem nichts, wenn die Passwörter nicht entsprechend vergeben, in Schubladen gelagert oder unsorgfältig behandelt werden. Diese unter das Mousepad zu schreiben, oder den Laptop entsperrt im Zug stehen zu lassen, bedeutet nun mal eben keinen Datenschutz, weder für das Unternehmen, noch für die Kunden.

 

Die Kur

Die DSGVO setzt daneben weitere administrativen Hürden auf, so das Erfordernis nach den sog. Auftragsverarbeitungsverträgen, sowie die übrigen technischen Maßnahmen nach Art. 32 DSGVO. Diese sorgen für Datensicherheit, Verschlüsselung sowie Bewertung und Evaluierung. Maßnahmen, die nicht nur die Daten der Kunden, sondern auch die Geschäftsgeheimnisse schützen und somit im Interesse aller Parteien vorhanden sein sollten.

Ebenso auch Art. 25 DSGVO, sog. Privacy by Design & by Default, also die Pflicht zur Einhaltung der Grundsätze des Schutzes personenbezogener Daten. Ein klassischer juristischer Begriff, der mit den folgenden 2 Fragen zur  Datenminimierung und Datenschonung nach RAin Diercks beantwortet werden kann:

„Benötige ich diese Daten wirklich?“ und „Gibt es eine datenschutzschonendere Alternative?“

Am Ende fehlt noch die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO, hierfür sind jedoch bereits „Positiv-Listen“ der Aufsichtsbehörden vorhanden (eine Übersicht der Listen aller Datenschutzbehörden der Länder findet sich hier), sowie die Melde- und Benachrichtigungspflichten von Data Breaches innerhalb 72 Stunden nach Kenntnis eines möglichen Vorfalls nach Art. 33, 34 DSGVO.

Der Schluss

Klingt einfach? Ist es auch. Wir haben die Erfahrung gemacht, dass die eigene Zielsetzung der Einhaltung der Verordnung und ein vernünftiger Umgang mit den Daten der Kunden bereits die Ansprüche der Behörden erfüllt. Schließlich soll Datenschutz nicht das Leben aller unnötig erschweren, sondern dem Schutze aller Tätigkeiten im digitalen Raum dienen. Dass dabei Protokollpflichten und bürokratische Aufgaben übernommen werden, ist eine Folge des europäischen Standortes, ein Aspekt, der auf dem internationalen Markt Vertrauen schafft. Außerdem, wie oben dargestellt, können die Ergebnisse dieser in mehrfacher Hinsicht verwertet werden. Es bedarf nur ein wenig Kreativität, ein wenig Recherche und das eigens gesetzte Ziel: der Schutz der persönlichen Daten.

Der Leitfaden ist unter dem Folgenden URL abrufbar. https://upload-magazin.de/blog/29620-dsgvo-praxisleitfaden-kmu/

Autorin:
Daniella Domokos