Seit dem 25. Mai 2018 ist jedes Unternehmen dazu verpflichtet, die EU-Datenschutz-Grundverordnung (EU-DSGVO) umgesetzt zu haben.
Höchste Zeit also, so schnell wie möglich alle Erfordernisse für einen gesetzeskonformen Datenschutz umzusetzen. Ansonsten drohen Abmahnungen und im schlimmsten Fall drastische Bußgelder.
Die neue Datenschutz-Grundverordnung betrifft alle, die personenbezogene Daten verarbeiten. Und somit alle GaLaBau-Betriebe. Denn sie beschäftigen Mitarbeiter, speichern Kundeninformationen in einer Datenbank, stellen Bilder von Baustellen und Projekten auf ihre Webseite oder auf Facebook und erlauben ihren Mitarbeitern die private Nutzung von Firmenhandys.
So können Sie einige wichtige Punkte anpacken:
Sie müssen einen Datenschutzbeauftragten benennen, wenn in Ihrem Unternehmen mindestens 20 Personen ständig mit personenbezogenen Daten arbeiten, z.B. in digitalen Kundendateien. Auch Personen, die an mobilen Arbeitsplätzen oder mit Smartphones arbeiten, müssen berücksichtigt werden.
Sie können selbst entscheiden, ob Sie einen externen Datenschutzbeauftragten benennen oder einen internen Mitarbeiter.
Sie sind dafür verantwortlich, dass die personenbezogenen Daten gegen unbefugten Zugriff und Verlust geschützt sind. Überprüfen Sie, ob Ihre Büroräume hinreichend gegen Einbruch geschützt sind und ob alle Schränke, in denen Personal- und Kundenakten aufbewahrt werden, abschließbar und nur für autorisierte Personen zugänglich sind.
Überprüfen Sie mit Unterstützung Ihres Hardwarebetreuers, ob Ihr IT-System hinreichend gegen unbefugten Zugriff und Datenverlust geschützt ist. Zum Beispiel benötigen Sie eine Firewall, aktuelle Virenscanner, eine regelmäßige Datensicherung und eine Absicherung gegen Stromausfall.
Sorgen Sie dafür, dass beim Starten der Rechner für Windows persönliche Nutzerkonten eingerichtet und mit persönlichen Passwörtern geschützt sind. Bildschirm und Tastatur sollten nach einer gewissen Wartezeit automatisch gesperrt und erst nach erneuter Passworteingabe wieder freigegeben werden.
Sind im Dateisystem (z.B. Windows-Explorer) die Ordner mit personenbezogenen Kunden- oder Mitarbeiterdaten nur für die zuständigen Mitarbeiter zugänglich? Sperren Sie diese Verzeichnisse für alle anderen Mitarbeiter.
Sind genutzte Softwarelösungen bzw. deren Programmbereiche mit personenbezogenen Daten nur für zuständige Mitarbeiter zugänglich? Überprüfen Sie die persönlichen Nutzerkonten, Benutzerrechte und den Passwortschutz.
Häufig werden persönliche Passwörter jahrelang nicht geändert, sind anderen Mitarbeitern bekannt oder werden auf Notizzetteln direkt am Arbeitsplatz hinterlegt. Legen Sie schriftlich fest, in welchen Abständen die Passwörter geändert werden müssen und welche Regeln dafür gelten.
Hier finden Sie Tipps für sichere Passwörter.
Das ist zwar keine verbindliche Vorschrift der EU-DSGVO, aber Sie können damit nachweisen, dass Sie Ihre Mitarbeiter informiert und angewiesen haben.
Hier erhalten Sie weitere Informationen und eine aktuelle Vorlage.
Dazu sind Sie verpflichtet, weil diese beim Online-Support oder Vor-Ort-Service Zugang zu Ihren personenbezogenen Daten, z.B. von Kunden oder Mitarbeitern erhalten könnten. Ein AV-Vertrag (Vereinbarung zur Verarbeitung von Daten im Auftrag) verpflichtet die Firmen, die in Ihrem Auftrag Ihre Daten verarbeiten, zur Einhaltung der EU-DSGVO. Prüfen Sie, ob Sie mit weiteren Dienstleistern zusammenarbeiten, die unter diese Regelung fallen (z.B. in den Bereichen Lohn- und Finanzbuchhaltung, Cloud-Dienste, Versand von Werbebriefen, Datenträgerentsorgung).
Hier geben wir Ihnen weitere Informationen rund um den AV-Vertrag.
Laut EU-DSGVO müssen Sie eine Liste mit allen Tätigkeiten, bei denen personenbezogene Daten verarbeitet werden, erstellen und auf Anfrage der Aufsichtsbehörde vorlegen. Gut, wenn Sie darauf vorbereitet sind. Typische Tätigkeiten sind die Führung der Personalakten, Lohnabrechnung, Finanzbuchhaltung, Arbeitszeiterfassung, Urlaubsdatei, Bewerbungsverfahren und die Kunden- bzw. Lieferantendatei.
Hier finden Sie Hinweise und eine Musterliste. Das Bayerische Landesamt für Datenschutzaufsicht stellt auf seiner Website ein Beispiel für das Verarbeitungsverzeichnis eines Handwerksbetriebes zur Verfügung.
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) stellt einen kostenlosen Online-Test zur Verfügung „Weg zur DSGVO – Selbsteinschätzung“. Nach der Beantwortung von 28 Fragen rund um den Datenschutz erhalten Sie eine detaillierte Auswertung Ihrer Antworten und können festlegen, wo im Betrieb noch Anpassungsbedarf besteht.
Hier kommen Sie zum Online-Test.
Wichtiger Hinweis: Diese Tipps decken nur Teile der EU-DSGVO ab und ersetzen keine Rechtsberatung.
Unsere 7 Sofortmaßnahmen helfen Ihnen dabei!