DSGVO 4. Teil: Datenschutz ist nur etwas für große Unternehmen? Was sind eigentlich die Grundregeln?
30.11.2018Wir sind eine kleines Unternehmen und haben deshalb nichts mit DSGVO am Hut! Richtig?
5) Nur große Firmen müssen sich mit dem Datenschutz auseinandersetzen
Definitiv falsch: sobald jemand regelmäßig personenbezogene Daten verarbeitet, fällt er unter die Anwendung der DSGVO.
Es stimmt, dass große Firmen oft andere Maßnahmen ergreifen müssen, um den Datenschutz umzusetzen, aber das heißt auf keinen Fall, dass ein kleines Unternehmen nichts machen muss und sorglos mit personenbezogenen Daten umgehen darf.
Zwar sprechen wir hier im Text nur von Firmen oder Unternehmen, aber auch Vereinigungen und andere Organisationen, die kein wirtschaftliches Unternehmen darstellen, müssen den Datenschutz beachten.
6) Was sind denn die Grundregeln, die ich als Verantwortlicher beachten muss?
- Treu und Glauben: die Verarbeitung muss nach bestem Wissen und Gewissen erfolgen. Das Unternehmen muss nachvollziehbar den Datenschutz beachten und dies auch beweisen können.
- Zweck: die Daten, die verarbeitet werden, dürfen dies nur zu bestimmten Zwecken, die vorab auch definiert sind.
- Daten klein halten: das Unternehmen muss die Daten so viel wie möglich minimieren. D.h., dass nicht einfach beliebige Daten erfragt und gesammelt werden dürfen, um diese auszuwerten oder für späteren Gebrauch zu speichern.
- Die Daten müssen richtig sind. Sobald sich Daten ändern, muss dies in die Datenbank eingetragen werden. Dafür muss das Unternehmen aber nicht andauernd die Kunden befragen, ob die Daten noch aktuell sind. Alles muss in einem vertretbaren Verhältnis stehen.
- Die Informationen dürfen nur für eine begrenzte Dauer beibehalten werden. Jedes Unternehmen muss festlegen, wie lange es die Daten beibehält. In diese Überlegung müssen sowohl gesetzliche Fristen (bzgl. Garantie, Steuer und Sozialgesetzgebung, …) als auch Vertragsverpflichtungen, eigenes Interesse, etc. einfließen.
- Die Sicherheit der Daten muss gewährleistet werden. Hierunter fällt vor allen Dingen, dass das Unternehmen die Daten vor äußeren Angriffen (z.B. Computerviren, Hacker- und Trojanerangriffe) und internen Datenlecks schützen muss. Auch regelmäßige (tägliche!) Sicherheitskopien und die Zugangskontrolle zu den Gebäuden und den IT-Netzwerken und Programmen gehört zu den unerlässlichen Aufgaben der Organisation.
- Die Beachtung aller dieser Regeln muss nachgewiesen werden können. Es muss also auch eine Dokumentation angelegt werden, die beweist, dass z.B. die zuständigen Mitarbeiter geschult wurden, das Computernetzwert sicher ist, etc.