HOME

Änderung zum 25. Mai: Datenschutz-Grundverordnung: Das müssen kleine Unternehmen und Vereine beachten

Mit der DSGVO reicht es bald nicht mehr, die Datenschutz-Vorgaben nur zu befolgen. Unternehmen und Vereine müssen dies auch nachweisen können. Welche Anforderungen ab Ende Mai erfüllt werden müssen, hat stern für Sie zusammengefasst.

Datenschutz DSGVO

Dokumentations- und Rechenschaftspflichten verschärfen sich mit der Datenschutz-Grundverordnung auch für kleine Unternehmen und Vereine (Symbolbild)

DPA

Mit der Datenschutz-Grundverordnung (DSGVO) will die EU personenbezogene Daten ab dem 25. Mai besser schützen. Für Firmen, Behörden und Vereine bedeutet das vor allem eins: viel Arbeit. Denn sie müssen europaweite Vorgaben für die Speicherung und den Schutz von Daten erfüllen. Bei Verstößen gegen das Gesetz drohen hohe Strafen. Welche Änderungen für Ihr Unternehmen oder Ihren Verein wichtig sind, um nicht in die Bußgeld-Falle zu tappen, können Sie hier nachlesen. 

Das ändert sich mit der Datenschutz-Grundverordnung 

"Die Umsetzung der DSGVO birgt insbesondere für kleine Firmen und Vereine, die bislang oftmals gar keinen formalen Datenschutz betrieben haben, gewaltige Herausforderungen", sagte Axel Keller, Anwalt und Datenschutzexperte von der Beratungsgesellschaft Ecovis, gegenüber der "Welt".

Hilfestellungen finden die Betroffenen etwa beim Bayerischen Landesamt für Datenschutzaufsicht. Die regulären Anforderungen, die Sportverein, Kfz-Werkstätten und Co. erfüllen müssen, können hier anhand einer Checkliste überprüft werden. 

Zentraler Bestandteil des neuen Gesetzes sind die verschärften Dokumentations- und Rechenschaftspflichten.

  • Alle Beschäftigten, die mit personenbezogenen Daten zu tun haben, sollten mit der DSGVO vertraut sein. Sie sind verpflichtet, entsprechend der neuen Grundsätze zu arbeiten. Das bedeutet beispielsweise, dass Kunden oder Mitglieder schon bei der Datenerhebung darüber informiert werden müssen, wie diese verarbeitet werden. Die Daten müssen gelöscht werden, wenn etwa ein Mitglied aus dem Verein austritt oder ein Kunde über mehrere Jahre hinweg keinen neuen Auftrag erteilt. 
  • Der genaue Umgang mit Kunden- oder Mitgliederdaten muss außerdem in einem Verzeichnis der Verarbeitungstätigkeiten aufgeführt werden. 
  • Vereine oder Unternehmen müssen einen Datenschutzbeauftragten stellen und melden, wenn zehn oder mehr Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, also zum Beispiel Mitglieder- oder Lieferantendaten verwalten. Die Rolle des Datenschutzbeauftragen darf dabei nicht vom Vorstand übernommen werden. 
  • Werden personenbezogene Daten gestohlen oder Geräte mit unverschlüsselten Daten gehackt oder gehen verloren, muss der Verein oder die Firma das melden. Neben den Aufsichtsbehörden wird in akuten Fällen empfohlen, auch die Betroffenen zu informieren.
  • Wenn etwa bei der Buchhaltung oder IT-Wartung personenbezogene Daten von externen Unternehmen verarbeitet werden, muss der Auftrag in einem schriftlichen Vertrag festgehalten werden.
  • Auf technischer Ebene sollte auf aktuelle Software und Virenschutz geachtet werden. Wird das Vereinsgelände oder Firmengebäude videoüberwacht, muss ein Hinweisschild darüber informieren.


Ähnliche Auflagen gelten auch für Arztpraxen, Wohnungsverwaltungen, Genossenschaftsbanken oder Herbergen und Hotels. Das Bayerische Landesamt für Datenschutzaufsicht weist jedoch auch darauf hin, dass sich die Anforderung von Unternehmen zu Unternehmen unterscheiden können. Es ist daher zu empfehlen, sich zusätzlich professionell beraten zu lassen.

Beratung und Aufklärung statt Sanktionen

Nach Einschätzung der EU-Kommission drohen die empfindlichen Geldstrafen von 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes jedoch nicht sofort. "Meine Botschaft an die Unternehmen lautet: Verfallen Sie nicht in Panik", sagte EU-Justizkommissarin Vera Jourova der Nachrichtenagentur AFP. "Die Firma, der es nicht von Tag eins an gelingt, alle Vorkehrungen zu treffen, die aber in gutem Glauben handelt", werde nicht gleich Ziel von Sanktionen werden. In vielen anderen Fällen erwarte sie, dass die nationalen Datenschutzbehörden anfangs auf Beratung und Aufklärung setzen.

fri mit AFP
Themen in diesem Artikel