DSGVO und keine Angst

Obwohl seit April 2016 in Kraft, versetzt die „Ernstwerdung“ der europäischen Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 derzeit große und kleine Unternehmen bis hin zu Selbstständigen, Freiberuflern und Vereinen in helle Aufregung. „Was tun, und wie?“, fragen sich alle und einer den anderen.

Zumeist heillos überfordert von komplexen Gesetzestexten und allzu detaillierten Anweisungen, sehnt man sich nach Erklärung und Orientierung, die wir zu unserer großen Freude am Montag von der höchst kompetenten und gleichzeitig des klaren Wortes fähigen Datenschutzexpertin und Rechtsanwältin Katrin Kirchert (https://legal-counsel.berlin/) bekamen.
In 10 übersichtlichen Punkten zusammengefasst, erscheint die Verordnung nur noch halb so schlimm und mit etwas Mühe und gesundem Menschenverstand durchaus zu bewältigen:

1. Sensibilisierung
Sich vom Umfang und der Wichtigkeit des Projektes (DSGVO-Compliance) überzeugen und sich mit den neuen Regeln vertraut machen:
https://www.lda.bayern.de/de/kleine-unternehmen.html
Auf dieser Seite findet man schon viele wichtige Hinweise, die es zu beachten gilt, mit detaillierten Handlungsanweisungen.

2. Identifikation der personenbezogenen Daten
Identifizieren, ob personenbezogene Daten erhoben, gespeichert und verarbeitet werden. Achtung, auch im B2B-Kontext gibt es personenbezogene Daten, z. B. namentliche Mailadressen, IP-Adressen etc.

3. Dokumentation der personenbezogenen Daten
Dokumentieren, welche personenbezogenen Daten von welchen Betroffenen vorliegen, von wem die Daten stammen und an wen die Daten weitergegeben werden (Verarbeitungsverzeichnis). Vorlagen für Verarbeitungsverzeichnisse sind auch auf der o.g. Seite des Bayerischen Landesamtes zu finden.

4. Rechtsgrundlagen
Rechtliche Erlaubnisnormen identifizieren und im Verzeichnis der Verarbeitungstätigkeiten dokumentieren (Vertrag, Interessen, Einwilligung etc.).

5. Einwilligungen
Identifizieren, in welchen Fällen von den Betroffenen Einwilligungen eingeholt werden müssen (z. B. Verarbeitung in USA). Anschließend datenschutzkonforme Einwilligungen einholen und archivieren. Um die Eignung von US-amerikanischen Unternehmen zu prüfen, kann die Privacy Shield List zu Hilfe genommen werden. Es handelt sich dabei um eine Vereinbarung zwischen dem US- Handelsministerium, der EU-Kommission und den Schweizer Behörden über die Umsetzung DSGVO-konformer Datenschutznormen. Die in der Liste aufgeführten Unternehmen können somit als DSGVO-konform gelten.

6. Informationssicherheit bei der Verarbeitung der Daten
Informationssicherheitsmaßnahmen an den Risiken für die Freiheiten und Rechte der Betroffenen ausrichten (Festplattenverschlüsselung, regelmäßige Sicherungskopien etc.).

7. Datenpannen
Verluste personenbezogener Daten müssen innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden. (Bei Daten, die ein hohes Risiko für die Betroffenen darstellen, sind auch diese zu informieren.)

8. Betroffenenrechte
Verfahren zur Sicherstellung der Betroffenenrechte auf Auskunft, Berichtigung, Einschränkung der Verarbeitung, Löschung und Datenportabilität erarbeiten und umsetzen.

9. Datenschutzerklärungen
Auf Webseiten seit Anfang 2016 Pflicht, zum 25. Mai anzupassen. Es müssen nun alle Aspekte des Datenverkehrs auf der Website in der Datenschutzerklärung explizit genannt werden. Geeignet sind Datenschutzgeneratoren wie z. B.https://www.e-recht24.de/muster-datenschutzerklaerung.html, https://datenschutz-generator.de oder https://www.activemind.de/datenschutz/datenschutzhinweis-generator/. Hinweis, bei einigen Anbietern sind nicht alle Aspekte in der kostenlosen Version enthalten, es empfiehlt sich in dem Fall eine Premium-Mitgliedschaft.

10. Sonstiges auf der Webseite
Sich über die Verwendung von Cookies und Plugins in der Datenschutzerklärung informieren und den Zweck der Datenerhebung nennen. Double-Opt-In für Newsletter einrichten.
Deutlich komplizierter wird es für Fotografen, die teilweise schon mit dem Gedanken spielten, die Kamera an den Nagel zu hängen. Vielleicht erbarmt sich aber Katrin und bietet noch einen extra Workshop für Fotograf*innen an. Wir halten euch auf dem Laufenden.

Bei unserem nächsten Meetup am 03.05. am Potsdamer Platz geht es dann mal wieder um ein „weiches“ Thema, nämlich die Frage, wie wir als Unternehmer am besten in die Medien kommen. PR-Profi Sibylle Sterzer hilft uns da auf die Sprünge.
Foto © http://www.sputnikeinsfotografie.de