Are you DSGVO ready? Der neue Datenschutz und was Sie jetzt beachten müssen.

4 months ago
Startup DSGVO

Die neue EU-Datenschutzgrundverordnung (DSGVO) gilt seit dem 25. Mai 2018 verbindlich für alle Unternehmen. Viele Betriebe sind unsicher, ob sie eine rechtlich konforme Umsetzung gewährleisten können, insbesondere Kleinunternehmen und Startups. Denn es drohen scharfe Sanktionen von bis zu vier Prozent des Jahresumsatzes oder 20 Millionen Euro pro Datenschutzverletzung. Vor allem Buchhaltung und Finanzen haben ein großes Interesse, die neue Norm rechtsicher umzusetzen. Denn es geht um sensible personenbezogenen Daten. Dazu zählen der Umgang mit Kundenstammdaten, Rechnungsadressen oder Kontoverbindungen. Als  Inhaber Ihres Unternehmens müssen Sie jetzt alle Prozesse EU-DSGVO-konform neu organisieren. In unserem Leitfaden finden Sie wichtige Informationen, was Sie jetzt in Buchhaltung und Finanzwesen beachten müssen.

Zugangs- und Zugriffskontrollen

Um den Schutz von sensiblen Kunden- und Lieferantendaten zu 100 Prozent zu garantieren, gehören bauliche Maßnahmen zur Zugangskontrolle schon länger als Selbstverständlichkeiten. Auch die Zugriffskontrollen mit Rollen und Rechten gehört längst zum Standard. Nehmen Sie die EU-DSGVO dennoch zum Anlass und überprüfen Sie alle organisatorischen und technischen Maßnahmen für den Datenschutz in Ihrem unternehmen. Überprüfen Sie alle Systeme, ob sie auf dem neuesten Stand sind.

 Herausforderung Stammdatenpflege und Rechtsschutz betroffener Personen

Die EU-DSGVO stärkt vor allem das Recht der Dateninhaber. Diese müssen nicht nur in jeden einzelnen Zweck der Datenverarbeitung aktiv einwilligen, sondern können auch verlangen, dass ihre Daten gelöscht werden. Vom Auskunftsrecht bis zum „Recht auf Vergessen“ müssen Sie daher für die Stammdatenpflege Prozesse definieren, wie Sie diese im Interesse der Betroffenen umsetzen. In diesen Prozessen müssen Sie regeln, wie Sie das Recht auf Berichtigung, Löschung, Vergessen werden, Einschränkung der Verarbeitung, Datenübertragbarkeit (Portabilität), Widerspruch sowie Widerruf zum Profiling von Daten umsetzen werden. Neben den technischen Prozessen müssen Sie die Kommunikationswege für den Dateninhaber definieren, wie er seine Rechte wahrnehmen und anmelden kann.

 Was Sie im Rahmen der DSGVO bei Ihrem Cloud-Provider beachten sollten

Gerade junge oder auch junggebliebene Unternehmer sind sehr Computer-affin und haben bereits Anwendungen in die Cloud verlagert. Oder sie übertrugen Teile der Buchhaltung an eine externe Steuerkanzlei. Beide gelten als Auftragsdatenverarbeiter und müssen die EU-DSGVO ebenfalls anwenden und die konforme Umsetzung garantieren. Grundsätzlich gilt für die Auftragsdatenverarbeitung in der Cloud oder bei Externen, dass sie innerhalb der EU und damit in der örtlichen Zuständigkeit der EU-DSGVO zulässig ist. Das gilt auch für Steuer- und Buchhaltungsdaten. Der Cloud-Nutzer als verantwortliche Stelle und der Cloud-Provider müssen aber geeignete Maßnahmen zum EU-DSGVO-konformen Datenschutz nachweisen. Neu ist zudem in der EU-DSGVO, dass auch der Cloud-Anbieter als Auftrags-Datenverarbeiter für Datenschutzverletzungen haftbar gemacht werden kann, wenn er sich Fehler zurechnen lassen muss. Überprüfen Sie also, ob Ihr Cloud-Provider Ihnen diese Garantien auch vertraglich zusagt. Wenn er dies bisher nicht gemacht hat, fordern Sie diese Garantien schriftlich ein.

Fazit

Die EU-DSGVO hat weitreichende Auswirkungen auf alle Unternehmen. Sie sollten deshalb – wenn nicht schon geschehen – in Ihrem Unternehmen alle Datenverarbeitungsprozesse überprüfen und anpassen. Denn vermutlich sind Sie bei einigen Prozessen auch darauf angewiesen, dass die IT mitspielt und eventuell auch Finanzmittel bereitgestellt werden müssen, um technische und organisatorische Maßnahmen zu finanzieren. Ein umfangreiches Glossar zu den DSGVO-Anforderungen finden Sie auch auf unserem Sage-Blog