Damit werden Richtlinien zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht. Das soll den Schutz personenbezogener Daten verbessern, einen freien Datenverkehr innerhalb der EU sicherstellen sowie den Datenschutz an die Herausforderungen durch Cloud Computing, Big Data, Soziale Medien oder Suchmaschinen anpassen.
Die DSGVO rückt allerdings nicht nur fragwürdige Datenpraktiken großer Internetkonzerne in den Fokus behördlicher Kontrolle, sondern auch alle Personendaten-relevanten Geschäftsprozesse kleiner und mittlerer Unternehmen. Das hat zahlreiche Konsequenzen und bürdet Energieberatern, Planungsbüros ebenso wie Handwerksunternehmen viele Pflichten und zusätzliche Arbeit auf.
Auch sie unterliegen ab dem 25. Mai 2018 den strengeren Datenschutzregeln, denn auch sie erheben, speichern, verwalten, verarbeiten oder übermitteln personenbezogene Daten von Bauherren, Hauseigentümern, Projektpartnern, Handwerkern, Subunternehmern, Lieferanten, Dienstleistern oder Mitarbeitern. Deshalb müssen sich alle Inhaber planender oder ausführender Unternehmen mit datenschutzrechtlichen Fragen auseinandersetzen und den Personendatenschutz rechtskonform umsetzen. Im Fokus der DGSVO steht der Schutz personenbezogener Daten.
Laut einer Umfrage des Digitalverbands Bitkom wird nur rund ein Viertel der Unternehmen in Deutschland nach eigener Einschätzung die DSGVO-Pflichten bis zum Stichtag 25. Mai umgesetzt haben. Doch die „gute Gesellschaft“ schützt nicht. Folgende Tipps können bei der Umsetzung helfen:
- Ruhe bewahren! Alle DSGVO-Vorgaben lassen sich ohnehin nicht von heute auf morgen, sondern nur in einem kontinuierlichen Prozess umsetzen.
- Zunächst sollte ein Zeitplan ausgearbeitet werden, der die schrittweise Umsetzung der Datenschutzvorgaben zum Ziel hat.
- Zu den ersten Maßnahmen sollte eine Bestandsaufnahme und Dokumentation der internen Datenverarbeitungsprozesse gehören, die sämtliche personenrelevanten Unternehmensabläufe erfasst.
- In einem sogenannten Verarbeitungsverzeichnis sollte anschließend dokumentiert werden, welche personenbezogenen Daten wie und wofür verarbeitet werden.
- Um möglichen Abmahnungen vorzubeugen, sollte man die Unternehmens-Webseiten auf DSGVO-Konformität prüfen und Problembereiche anpassen. Außerdem sollten Sie keine Newsletter an Adressen versenden, für die Sie keine ausdrückliche Einwilligung der Nutzung der personenbezogenen Daten nachweisen können (das galt allerdings auch schon bisher).
Einen ausführlicheren Artikel zur DSGVO-Umsetzung veröffentlichen wir in TGA 06 am 08. Juni 2018. Er beantwortet u.a.: Was sind Personendaten und wo fallen sie an? Wann ist eine Einwilligung Betroffener erforderlich? Verarbeitungsverzeichnis: Was wird wie wofür verarbeitet? Welche sonstigen Pflichten, wie Auftragsverarbeitungsverträge, technische und organisatorische Maßnahmen, Informationspflichten und die Bestellung eines Datenschutzbeauftragten, sind zu beachten? Den Artikel können Sie bereits hier als PDF abrufen. ■