Der (virtuelle) Schreibtisch ist mehr als voll mit Arbeit. Das liegt unter anderem daran, dass die Datenschutzgrundverordnung (DSGVO) vor der Tür steht. In knapp sechs Monaten, genau genommen am 25. Mai 2018, ist es soweit. Dies ist den treuen Lesern dieses Blogs ebenso bekannt, wie die Tatsache, dass auf Unternehmen erhebliche Arbeit zukommt, um die eigenen Geschäftsprozesse den Anforderungen der DSGVO anzupassen.
Nun verhält es sich aber auch so, dass viele Unternehmen – wenn überhaupt – gerade erst anfangen, sich näher mit dem Thema DSGVO und deren Umsetzung zu beschäftigen. Sollten Sie an dieser Stelle stehen, dann können Sie natürlich sehr gerne einen Blick in unsere Beitragsreihe „Die EU-Datenschutzgrundverordnung ist da! – Worauf müssen sich Unternehmen einstellen?„. Allerdings sind wir hier, einschließlich dieses Beitrags, bei inzwischen 10 Artikeln und das ist dann doch eine ganze Menge Stoff auf einmal und Sie fühlen sich vielleicht als würden Sie den Wald vor lauter Bäumen gar nicht mehr sehen können…
Das kann ich verstehen und so möchte ich in diesem Zusammenhang – trotz aller Arbeit – schnell einmal auf ein Papier der Landesdatenschutzbehörde Niedersachsen hinweisen:
Die Landesbeauftragte für den Datenschutz Niedersachsen hat am 06.11.2017 speziell für kleine und mittelständische Unternehmen einen Fragenkatalog herausgebracht, der den KMU die Vorbereitung zur Umsetzung der DSGVO erleichtern soll. Das Papier ist gerade einmal vier Seiten lang und listet dabei all die Fragen – unterteilt in 10 Themenschwerpunkten – auf, die sich Verantwortliche im Zusammenhang mit der Umsetzung der DSGVO unbedingt stellen sollten. Der Fragenkatalog findet sich entweder hier:
LfDI Niedersachsen Fragenkatalog – DSGVO 06112017
Oder wer lieber einmal direkt bei der Datenschutzbehörde Niedersachsen vorbeisehen will, der sollte hier klicken.
Ich halte den Fragenkatalog für einen guten ersten Leitfaden zur Orientierung. Allerdings… ist nicht zu verhehlen, dass es eben ein kurzer knapper Leitfaden ist, der davon ausgeht, dass Sie als Leser wissen, was etwa technisch und organisatorische Sicherheit der Datenverarbeitung im Sinne von Art. 32 DSGVO, eine Datenschutzfolgeabschätzung gemäß Art. 35 DSGVO oder aber ein Prozess von Meldepflichten nach Art. 33 DSGVO meint.
Dennoch, es bleibt dabei: Als Geschäftsführer und Verantwortlicher erhalten Sie einen guten ersten Überblick hinsichtlich der Fragen, die Sie sich im Unternehmen zu stellen haben. Weitere Informationen erhalten Sie unter anderem hier im Blog unter den vorstehenden Links.
(Und ja, natürlich stehen wir mit der Kanzlei auch bei Bedarf gerne Ihnen und Ihrem Unternehmen unterstützend bei der Umsetzung der DSGVO zur Seite.)
Ist das auch relevant, wenn mein Unternehmen nicht in Niedersachsen sitzt?
Selbstverständlich! Die DSGVO entfaltet ab dem 25. Mai 2018 EU-weit Geltung – also auch in ihrem Bundesland. Es war hier nur die LfDI Niedersachsen, die diesen Katalog herausgegeben hat. Einen ähnlichen Katalog stellt auch das Bayrische Landesamt für Datenschutzaufsicht bereit. Diesen finde ich für KMU nicht ganz so schön strukturiert, aber das ist vielleicht einfach Geschmackssache.
LDI NRW betont Mitteilungspflicht hinsichtlich Datenschutzbeauftragten
Zu guter Letzt möchte ich noch darauf hinweisen, dass die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW just noch einmal die ab Mai 2018 bestehende Meldepflicht bezüglich der Kontaktdaten des Datenschutzbeauftragten betont hat. Das LDI erklärt, dass die Möglichkeit einer Online-Meldung geplant ist.
Meine Mandanten wie die geneigte Leserschaft wissen, dass ich nun nicht so recht zur Schwarzmalerei neige. Aber mein erster Gedanke bei der Betonung der Meldepflicht sechs Monate vor der Geltung der DSGVO war: Ach, ja. Es ist dann für die Behörde auch recht einfach im Juni die Stichproben genau bei den Unternehmen anzusetzen, die „noch nicht mal“ die Daten des Datenschutzbeauftragen gemeldet haben.
Dieser, mein Gedankengang, muss nicht stimmen. Aber natürlich ist es wahrscheinlich, dass ein Unternehmen, das noch nicht mal der Meldepflicht (die natürlich der DSGVO, Art. 37 Abs. 7, entspringt und damit nicht nur für Unternehmen in NRW gilt!) nachkommt, es mit einem Verzeichnis der Verarbeitungstätigkeiten und allen übrigen Pflichten auch nicht so genau nimmt…
Wie dem auch sei, ich kann Ihnen, auch wenn ich Ihnen schon auf den Keks gehen sollte, nur das Folgende raten:
Nehmen Sie die DSGVO und deren Auswirkungen auf das Unternehmen ernst. Auch wenn Ihnen Datenschutz kein Spaß bringt und/oder Sie den Datenschutz für übertrieben oder für eine Innovationsbremse halten, es nützt nichts, die DSGVO kommt am 25. Mai 2018 – und Sie gilt auch für Ihr Unternehmen.
In diesem Sinne,
fangen Sie an. Vielleicht mit dem Fragenkatalog des LfDI Niedersachsen.