DSGVO: Do-It-Yourself-Datenschutztool für Vermittler

Rechtsanwalt Norman Wirth, TÜV-zertifizierter Datenschutzbeauftragter, schätzt ein:

Norman Wirth, Rechtsanwalt bei Wirth Rechtsanwälte

„Viele Unternehmen haben bisher versäumt, die geforderten Änderungen in ihren Abläufen vorzunehmen und die notwendigen Dokumentationen zu erstellen. Aber nichts tun ist keine Option, schon wegen der drohenden Abmahngefahren und behördlichen Sanktionen. Eine sachgerechte und kurzfristig umsetzbare Lösung ist mit überschaubarem administrativem und zeitlichem Aufwand möglich, um sich DSGVO-konform aufzustellen.“

Lösung basiert auf drei Stufen

1. Stufe – Checkliste mit Erläuterungen

Diese Stufe bietet Unternehmen, die bereits einen hohen Datenschutz-Standard haben, eine Checkliste, aus der sich der Anpassungsbedarf dem Grunde nach ergibt. Diese Checkliste nebst individuellen Umsetzungserläuterungen wird kostenfrei zur Verfügung gestellt.

2. Stufe – Fragenkatalog inklusive anschließendem Maßnahmenplan

Dies ist die effiziente und preiswerte Do-It-Yourself-Variante für Einzelkämpfer und kleinere Unternehmen, aber auch als perfektes Tool für den eventuell notwendigen Datenschutzbeauftragten geeignet. Auf dieser Stufe wird den Unternehmen die Möglichkeit gegeben, sich DSGVO-konform aufzustellen, unabhängig vom Ist-Zustand. Das Ergebnis ist eine Vielzahl von individuellen Unterlagen und Hinweisen, die die Anwender DSGVO-ready machen.

Auf Grundlage einer vorgeschalteten Abfrage erhält man ein personalisiertes Datenschutzkonzept mit dem Verzeichnis der Verarbeitungstätigkeiten des Unternehmens, sowie einen personalisierten Maßnahmenplan mit allen noch wichtigen To-dos, sowie eine Beschreibung der TOMs ( technisch-organisatorischen Maßnahmen). Des Weiteren enthalten sind diverse praxisrelevante Muster und Beispiele.

Ziel dieser Stufe ist es, dass die Unternehmen ohne weitere externe Hilfe die erforderlichen administrativen Tätigkeiten selbst erledigen können und anhand der ausgewiesenen Hinweise auch die sonstige praktische Umsetzung in ihrem Unternehmen selbst erledigen.

3. Stufe – externer Datenschutzbeauftragter

Ergibt sich für das betreffende Unternehmen die Pflicht, einen Datenschutzbeauftragten zu bestellen, kann eine solche Stelle entweder intern besetzt (es sei denn, es handelt sich um einen Einzelunternehmer ohne weitere Mitarbeiter), oder ein externer Datenschutzbeauftragter bestellt werden. Dieser erfüllt dann die gesetzlich vorgegebenen Prüf- und Kontrollpflichten und steht beratend zur Seite.

Norman Wirth dazu:

„Entstanden ist die Idee zu diesem Tool auf Grund der unglaublich vielen Fragen aus der Vermittlerschaft in den letzten Monaten zum Thema Datenschutz. Hier war ein dringender Bedarf erkennbar, eine einfache, preiswerte und schnelle Lösung zu bieten, wie wir sie nun mit dem Tool geschaffen haben.“

Zum Tool für Vermittler

Minimalanforderungen an jedes Unternehmen

Als Minimalanforderungen zum Nachweis der Einhaltung der DSGVO werden auch folgende Dokumente benötigt:

1. Datenschutzinformation: Damit werden Informationspflichten gegenüber der Öffentlichkeit und den Kunden erfüllt. Auf einer vorhandenen Website wird in einer klar verständlichen Sprache erläutert, wie datenschutzkonform mit allen personenbezogenen Daten umgegangen wird.
2. Datenschutzrechtliche Einwilligungserklärung: Für bestimmte Verarbeitungsvorgänge bzw. bestimmter besondere Kategorien von Daten, wie Gesundheitsdaten, wird eine solche ausdrückliche Einwilligung des Kunden zur Verarbeitung der Daten benötigt.
3. Datenschutzkonzept: Mit einem solchen dokumentierten Konzept kommt man der Auskunfts- und Rechenschaftspflicht gegenüber Behörden oder Betroffenen nach und zeigt auf, wie das eigene Unternehmen die geltenden Datenschutzbestimmungen umsetzen.
4. Verzeichnis der Verarbeitungstätigkeiten, inkl. Auftragsverarbeitungsverzeichnis und Risikobewertung: Das ist letztlich ein Bestandteil des Datenschutzkonzeptes, in denen jeder datenschutzrelevanter Geschäftsprozess auf Konformität mit den DSGVO-Vorgaben geprüft wird.
5. Übersicht über die technischen und organisatorischen Maßnahmen, die sogenannten TOMs: Diese Übersicht beschreibt die tatsächliche Umsetzung des Datenschutzes in ihrem Unternehmen.
6. Datensicherheitskonzept: Das Datensicherheitskonzept bezieht sich auf die technische und organisatorische Sicherheit der personenbezogenen Daten und beinhaltet die IT-Richtlinie und diverse Handlungsanweisungen für die Mitarbeiter.
7. Verpflichtungserklärung zur Vertraulichkeit: Alle Unternehmen müssen ihre Mitarbeiter zur Vertraulichkeit in Sinne der DSGVO verpflichten.

Zudem müssen Unternehmen die Mitarbeiter auf das Datengeheimnis verpflichten und zum Datenschutz schulen.

Nicht zuletzt muss natürlich nicht nur auf dem Papier alles stimmen, sondern es müssen die erforderlichen technisch–organisatorischen Maßnahmen umgesetzt werden. Welche das sind, ist individuell zu klären. Das beginnt bei sicheren Passwörtern auf allen Computern und Diensthandys und geht eventuell bis hin zum Wechsel des Cloud-Anbieters.

Bilder: (1) © Flamingo Images / fotolia.com (2) © Wirth – Rechtsanwälte Rechtsanwälte in Partnerschaft mbB