Auch die hier ansässigen Unternehmen müssen gemäß der Datenschutz-Grundverordnung (DSGVO) handeln. Eine strukturierte Vorgehensweise ist dabei gerade aufgrund der lokalen Herausforderungen essenziell. Orientieren Sie sich an unseren Handlungsempfehlungen und nehmen Sie das Thema Datenschutz selbst in die Hand.

Welche Vorteile bringt die DSGVO?

Die DSGVO soll in erster Linie mehr Transparenz über Datenverarbeitungen seitens der Unternehmen schaffen und zudem die Rechte der Betroffenen stärken. Hierbei handelt es sich zum Beispiel um Aspekte wie die Auskunft über gespeicherte Daten oder auch das Löschen oder Berichtigen von Daten. Unternehmen sind gemäß der DSGVO verpflichtet, aktive Maßnahmen zur Sicherung der Datenverarbeitung sowie zur Einhaltung der entsprechenden Prinzipien im Allgemeinen durchzuführen.

Bei einem Verstoß gegen die DSGVO drohen Geldstrafen

Verstoßen Sie beziehungsweise Ihr Unternehmen gegen die Datenschutzbestimmungen der DSGVO, müssen Sie mit empfindlichen Geldstrafen rechnen. Bei besonders schlimmen Vergehen können dabei bis zu 20 Millionen Euro oder alternativ vier Prozent des letzten Jahresumsatzes fällig werden. Von der DSGVO erfasst werden nicht nur große Unternehmen, sondern auch Kleingewerbetreibende. Letztere haben in der Regel allerdings weniger Pflichten, was speziell für den Landkreis Nordhausen eine besondere Relevanz aufweist.

Datenschutz birgt lokale Herausforderungen für ansässige Unternehmen

Der Landkreis Nordhausen weist eine Wirtschaftsstruktur auf, die vornehmlich von kleinen und mittelständischen Unternehmen geprägt wird. Die Metall-, Elektro- und Kunststoffindustrie bildet dabei den Branchenschwerpunkt. Insgesamt sind mehr als 1000 leistungsfähige Unternehmen im Landkreis Nordhausen ansässig und tätig. Das Spektrum an gewerblichen Firmen reicht von traditionellen Handwerksbetrieben bis hin zu Hightech-Unternehmen mit internationaler Ausrichtung.
Der Landkreis und das Bundesland Thüringen bemühen sich zwar kontinuierlich darum, gute Voraussetzungen für eine nachhaltige dynamische Wirtschaftsentwicklung und einen stabilen Arbeitsmarkt zu schaffen, dennoch bestehen noch besondere lokale Herausforderungen. In erster Linie sind hier fehlende IT-Ressourcen zu nennen, was besonders hemmend auf eine kontinuierliche, schnelle und DSGVO-konforme Datenverarbeitung wirkt.
Zudem fehlen flächendeckende und auf den Datenschutz zugeschnittene Schulungen. Diese sollten aber Priorität besitzen, da sie das Verhalten Ihrer Mitarbeiter bei Datenschutzfragen optimieren können. Das hat gerade in ländlichen Regionen einen besonders hohen Stellenwert, denn Transparenz und DSGVO-Konformität stehen hier für Vertrauen und Nähe zum Kunden. Daher sollten Sie Ihr Unternehmen fit für die entsprechenden Anforderungen machen.

Die wichtigsten Sofortmaßnahmen

Jedes Unternehmen ist verpflichtet, einen Datenschutzbeauftragten zu benennen, wenn mindestens eine der folgenden Voraussetzungen erfüllt ist:

• Die Kerntätigkeit des Unternehmens liegt in der Verarbeitung beziehungsweise Weiterverarbeitung und der systematischen Überwachung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO.
  
• Das auftragsverarbeitende Unternehmen respektive der Verantwortliche beschäftigt mindestens 20 Mitarbeiter, die sich ständig mit der automatisierten Verarbeitung personenbezogener Daten befassen. Darunter fällt bereits die regelmäßige Kommunikation per E-Mail.
  
• Das Unternehmen tätigt Verarbeitungen, die nach Art. 35 DSGVO einer Datenschutz-Folgeabschätzung unterliegen. Das bedeutet konkret: Die unternehmensspezifische Verarbeitung betrifft besonders sensible Daten, wie beispielsweise personenbezogene Informationen über religiöse Überzeugungen, sexuelle Orientierungen, die ethnische Herkunft, politische Meinungen, genetische und biometrische Daten, eine mögliche Gewerkschaftszugehörigkeit oder auch persönliche Gesundheitsdaten. In diesen Fällen muss immer ein Datenschutzbeauftragter benannt werden.

Es gibt jedoch Ausnahmen: Erhebt zum Beispiel ein Versicherungsvermittler Gesundheitsdaten von Kunden, muss das Versicherungsunternehmen dennoch keinen Datenschutzbeauftragten bestellen, da das Erheben dieser Daten nicht zur Kerntätigkeit des Versicherungsvermittlers zählt.

Erstellen Sie ein Verzeichnis der Verarbeitungstätigkeiten

Verarbeitet Ihr Unternehmen personenbezogene Daten in elektronischer (automatisierter) Form, müssen Sie eine Zusammenstellung der einzelnen Verarbeitungsvorgänge in Form eines Verzeichnisses erstellen. Dies gilt auch für Daten, die Sie zwar zunächst analog erfassen und verarbeiten, später aber in ein Dateisystem einpflegen. Der Inhalt des Verzeichnisses der Verarbeitungstätigkeiten ist gesetzlich geregelt. So müssen sowohl alle wesentlichen Angaben zur Verarbeitung als auch die betroffenen Datenkategorien und Personen sowie die Zwecke der Verarbeitung aufgelistet werden. In welcher Form ein solches Verzeichnis vorliegen muss, ist allerdings nicht fest geregelt. Verschiedene Muster für das Verzeichnis der Verarbeitungstätigkeiten werden auf der Seite des BfDI angeboten.

Organisieren Sie regelmäßige Schulungen für Mitarbeiter

Art. 5 Abs. 2 DSGVO sieht eine Rechenschaftspflicht des Arbeitgebers vor, ein datenschutzkonformes Verhalten der eigenen Mitarbeiter sicherzustellen. Regelmäßige Schulungen zur DSGVO sind daher zwingend erforderlich. Explizite Schulungen bringen Ihrem Unternehmen aber auch tatsächlich einen realen Mehrwert, denn dadurch lassen sich menschliche Fehler im Hinblick auf die DSGVO-Konformität vermeiden beziehungsweise minimieren. Wichtig: Veranlassen Sie keine regelmäßigen Schulungen zur DSGVO, droht Ihnen ein Bußgeld.

Datenschutzerklärungen auf der Webseite müssen angepasst werden

Geschäftliche Webseiten von Unternehmen müssen grundsätzlich DSGVO-konform angepasst werden. Zu diesen Anpassungen zählen vor allem Hinweise zum Zweck der Datenverarbeitung, zur Rechtsgrundlage und zur Dauer der Speicherung, zu den Rechten der Betroffenen sowie zur Übermittlung von personenbezogenen Daten an andere Stellen. Die entsprechenden Anpassungen sind zu allen auf der Website stattfindenden Datenverarbeitungen vorzunehmen. Dies gilt daher auch für Cookies, Logfiles, Google Analytics oder ähnliche Tracking- und Analysedienste sowie für die Nutzung externer Zahlungsdienstleister und das Einbinden sozialer Netzwerke.

Einwilligungserklärungen der Kunden einholen

Für jede Verarbeitung von Daten benötigen Sie eine datenschutzrechtliche Grundlage. Diese Rechtsgrundlage kann beispielsweise auf einem Vertrag, einer Vertragsanbahnung, einer Interessenabwägung oder einem berechtigten Interesse basieren. Ist die Datenverarbeitung nicht durch eine vertragliche Basis legitimiert, benötigen Sie immer eine spezifische Einwilligungserklärung Ihrer Kunden. Dies ist auch dann notwendig, wenn die Verarbeitung der Daten zusätzlich für nicht vertraglich vereinbarte Zwecke genutzt wird. Damit eine entsprechende Einwilligung wirksam wird, muss sie freiwillig erteilt werden, über den Zweck der Verarbeitung informieren und darf nicht an Bedingungen geknüpft sein. Außerdem ist stets darauf hinzuweisen, dass die Einwilligung jederzeit widerrufen werden kann.

Auch technische Maßnahmen sind relevant

Ob Verschlüsselung, sichere Passwörter oder Zugriffskontrollen - Ihr Unternehmen ist laut DSGVO verpflichtet, auch technische Maßnahmen zum Schutz der Daten umzusetzen. Holen Sie sich hierzu Rat von IT-Experten, die Ihnen beispielsweise Verschlüsselungstechnologien oder andere Sicherheitsmaßnahmen empfehlen können.

Externe Unterstützung und Beratungsmöglichkeiten

Bei Fragen oder Problemen bei der Umsetzung der Datenschutz-Grundverordnung können Sie sich an lokale Anlaufstellen in der Nähe wenden. Kompetente Hilfestellung bieten zum Beispiel die Industrie- und Handelskammer (IHK) Erfurt und die Handwerkskammer im Landkreis Nordhausen. Außerdem sollten Sie externe Datenschutzbeauftragte oder Beratungsfirmen wie datenschutzexperte.de in die Umsetzungsabwicklung einbinden. Der Blick von außen auf die DSGVO-Konformität Ihres Unternehmens ist sehr hilfreich, um interne Fehlerquellen zu eliminieren und den Datenschutz entsprechend zu optimieren.