Unternehmen

Das neue europäische Datenschutzrecht gilt unmittelbar für alle Unternehmen, die in der Europäischen Union Daten verarbeiten oder von einer Datenverarbeitung hier profitieren (z.B. AMAZON). Der Anwendungsbereich gilt zudem unabhängig von der Größe des Unternehmens. Ausgenommen ist allein die Verarbeitung für persönliche oder familiäre Tätigkeiten.

Sind auch kleine Unternehmen betroffen?

Das Gesetz erhebt den Schutz natürlicher Personen bei der Verarbeitung ihrer Daten zum Grundrecht und stellt konkrete Rechte in Bezug auf das verarbeitende Unternehmen zur Verfügung, mit denen Betroffene ihr Grundrecht ausüben können. Bei diesem Ansatz verbietet es sich von selber, bestimmte kleine Unternehmen auszunehmen, da in diesem Fall ein Schutz der betroffenen Personen bei der Verarbeitung ihrer Daten entfallen würde.

Gibt es Erleichterungen für kleine Unternehmen?

Erleichterungen gibt es für kleine Unternehmen mit weniger als zehn Bildschirmarbeitsplätzen, die keinen Datenschutzbeauftragten bestellen müssen. Diese Regelung sollte aber nicht darüber hinwegtäuschen, dass auch in einem kleinen Unternehmen eine rechtmäßige Verarbeitung sichergestellt und insofern eine Kompetenz für das Datenverarbeitungsthema vorhanden sein muss. Wenn dies der Geschäftsführer der kleinen GmbH nicht leisten kann und kein weiterer Mitarbeiter zur Verfügung steht, ist die Funktion - auch ohne förmliche Bestellung - auszulagern.

Unternehmen mit weniger als 250 Mitarbeitern können von der Erstellung des meist aufwändigen Verarbeitungsverzeichnisses befreit sein. Da aber auch diese Unternehmen zumeist regelmäßig personenbezogene Daten verarbeiten - und wenn es nur die der Mitarbeiter sind - greift diese Ausnahme meist nicht, so dass auf ein Verarbeitungsverzeichnis nur selten verzichtet werden kann.

Welches sind die konkreten Schritte, die ich auf dem Weg zur DSGVO ergreifen muss?

  • Benennung der Funktionsträger
  • Aufnahme status quo der Verarbeitungsvorgänge/Verarbeitungsverzeichnis
  • Aufnahme status quo der Auftragsdatenverarbeitungsvorgänge
  • Aufnahme status quo der gegenwärtigen Schutzmaßnahmen (TOM´S)
  • Abstimmung und Festlegung erforderlicher Anpassungen
  • Implementierung der Maßnahmen
  • Maßnahmentest
  • Auslagerung der Funktion des Datenschutzbeauftragten

Wie kann ich sicherstellen, dass alle erforderlichen Maßnahmen ergriffen werden?

Wir empfehlen die Erstellung eines Projektplanes mit dem Zieldatum 26.5.2018, dessen Einhaltung wir sicherstellen.