Compliance und Datenschutz: Ein „MUSS“ auch für kleinere Unternehmen

Compliance und Datenschutz: Ein „MUSS“ auch für kleinere Unternehmen

Februar 15, 2018 12:03 PM

Während unserer täglichen Arbeit im Bereich Compliance und Datenschutz für kleine und mittelständische Unternehmen begegnet uns häufig die Auffassung, dass diese Bereiche nur große Aktiengesellschaften und gar ausschließlich DAX-Unternehmen betreffen. Diese Annahme ist jedoch falsch! Es gibt keine Untergrenze für Datenschutzbestimmungen, Haftungsvorschriften im Bereich des Gesellschaftsrechts oder gar strafrechtliche Sanktionen. So gilt die Datenschutzgrundverordnung (DSGVO), die ab dem 25. Mai 2018 anzuwenden ist, für alle, die personenbezogene Daten automatisiert verarbeiten. Dabei kommt es nicht auf die Größe des Unternehmens, den Umsatz oder die Anzahl der Mitarbeiter an. Der Verantwortliche im Sinne der DSGVO kann auch ein gemeinnütziger Verein, eine Stiftung oder ein Ein-Mann-Betrieb sein.

Um zu verdeutlichen, weshalb sich jeder mit den Thema Compliance und Datenschutz beschäftigen sollte, schildern wir Ihnen ein Beispiel aus unserer Beratungspraxis.

 Neulich in der Compliance-Erstberatung: Ein junger dynamischer Unternehmer führt inzwischen das von seinen Eltern übernommene lokale Ladengeschäft. Da er mit der Zeit geht, hat er inzwischen einen florierenden Onlineshop aufgebaut. Das Unternehmen hat 20 Angestellte.

Der gut informierte Mandant erzählte uns, dass er inzwischen immer Einwilligungen zur Verarbeitung der angegebenen personenbezogenen Daten einhole, dies früher aber nicht dokumentiert wurde. Ihm war also bewusst, das ihn ab dem 25. Mai 2018 ein erhöhtes Haftungsrisiko treffen kann und er wollte vorsorgen. Wir rieten ihm also sich bezüglich der nicht dokumentierten Einwilligungen von den betroffenen Personen bestätigen zu lassen, dass er die personenbezogenen Daten in gewisser Weise verarbeiten darf und beispielsweise seinem Auftragsdatenverarbeiter weitergeben darf. Sein Auftragsdatenverarbeiter war ein Service, der Kundendaten in einem externen Server speichert und ihm über diverse Programme Zugriff gewährt. Wir erklärten ihm, dass dies grundsätzlich eine Weitergabe der personenbezogenen Daten sei und er sich dafür die Einwilligung geben lassen müssen. Sein bisheriger Entwurf zur Einwilligung wurde überarbeitet. Und da die DSGVO erhöhte Anforderungen an die Überprüfung der Auftragsdatenverarbeiter an die Verantwortlichen stellt, haben wir auch an dieser Stelle einige Prüfungen im Anschluss an das Gespräch vorgenommen.

Als wir dann darauf zu sprechen kamen, wie er die Mitarbeiterdaten verwaltet, zeigte sich ein großes Problem auf, dies macht er nämlich auch über einen Online-Service. Eine Einwilligung von seinen Mitarbeitern hat er sich jedoch nicht eingeholt. Ab dem 25. Mai 2018 kann dies jedoch ein sehr hohes Haftungsrisiko bedeuten. Es gilt also zu handeln.

Da der Mandant auch laut den neuen Datenschutzbestimmungen besonders sensible Daten abfragte und speicherte, benötigt er auch noch einen Datenschutzbeauftragten (solche besonders sensiblen personenbezogenen Daten sind unter anderem Gesundheitsdaten, Daten zur Herkunft und Religion etc.). Ein Datenschutzbeauftragter kann ein interner Mitarbeiter oder ein externer Dienstleister sein. Doch was ist besser? Für beides gibt es Vor- und Nachteile. Jedoch gilt bezüglich des internen Datenschutzbeauftragten zu beachten, dass dieser Sonderkündigungsschutz genießt.

Auch die Datenschutzerklärung auf der Homepage hatte einige kritische Punkte, aber sie war jedenfalls vorhanden. In vielen anderen Beratungen müssen wir erst darauf aufmerksam machen, dass eine solche neben dem Impressum benötigt wird.

 

Und haben Sie sich wiedererkannt? Wie im oben aufgeführten Beispiel decken wir auch gemeinsam mit Ihnen Ihre Risiken im Bereich Datenschutz auf und zeigen Ihnen Lösungen, wie Sie das Risiko minimieren.

 

Rufen Sie uns an:  06974743800

 

 

 

Nehmen Sie einfach Kontakt mit uns auf oder hinterlassen Sie hier Ihre Nummer, wir rufen Sie gerne zurück.

Kategorisiert in: Strafrecht, Compliance

Blog-Abo