Welche Konsequenzen hat die EU-DSGVO beim Outsourcing von Geschäftsanwendungen?
Langsam spricht sich durch die öffentliche Berichterstattung bei KMU herum, dass die EU-DSGVO ab dem 25. Mai 2018 ihre volle Kraft entfaltet. Dann wird das europäische Datenschutzrecht für alle Unternehmen verbindlich. Die DSGVO verändert auch einige Aspekte des Outsourcings. Denn natürlich verarbeiten heute die meisten Unternehmen Daten elektronisch per Computer, viele auch in der Cloud. Und selbstverständlich transferieren viele Finanzabteilungen ihre Daten elektronisch zum Steuerberater. Sorgen über die bisher gewohnte Praxis sind berechtigt, Panik aber völlig fehl am Platz. Was Sie als Geschäftsführer oder Buchhalter eines KMU oder als Betreiber eines Online-Shops jetzt zum Thema DSGVO und Outsourcing veranlassen sollten, haben wir für Sie zusammengefasst.
Analysieren Sie Ihre Prozesse
Outsourcing gehört bei kleinen und mittleren Unternehmen seit langem zum Tagesgeschäft. Je kleiner ein Unternehmen ist, desto kleiner sind die Fachabteilungen; häufig gibt es überhaupt keine Marketing- oder IT-Abteilung. Oft müssen vermutlich Sie als Chef selber Hand anlegen und bedienen sich von Fall zu Fall externer Dienstleister. Buchhaltung und Lohnbuchhaltung gehören bei KMU mit weniger als 20 Mitarbeitern zu den klassischen Aufgaben, die gerne „outgesourced“ werden. Hierbei kommt es nicht drauf an, ob die Daten bei einem Steuerberater verarbeitet werden oder ob Sie eine SaaS-Lösung wie von Sage einsetzen, um zumindest Ihre Vorbuchhaltung darüber abzuwickeln.
e-Book: Die DSGVO kommt!
Was sich ändert und was Unternehmen jetzt beachten müssen, erfahren Sie in unserem e-Book
Betroffen sind dabei immer die personenbezogenen Daten der Mitarbeiter und oftmals auch die Kunden- und Lieferantendaten, wenn diese persönliche Ansprechpartner enthalten. Denn der Schutzzweck der DSGVO sind personenbezogene Daten von allen Menschen und nicht generell alle Daten von Firmen. In einem ersten Schritt sollten Sie daher analysieren, wie Ihr Betrieb diese Datenprozesse bisher gestaltet hat und ob Sie damit die Schutzvorgaben der neuen DSGVO erfüllen. Sie müssen alle technischen, organisatorischen und personellen Vorrichtungen und Regeln überprüfen und sie an den heutigen Stand der Technik anpassen. Sie müssen sicherstellen, dass im Verarbeitungsprozess keine Datenschutzverletzungen in Ihrem Betrieb eintreten können. Das betriff vor allem, wo Ihre Daten liegen, wie sie bei Ihnen verarbeitet werden, wer diese verarbeitet. Wie sind die Daten vor dem Zugriff Unbefugter geschützt? Wie sind sie technisch vor Diebstahl oder Manipulationen gesichert? Wenn Sie also ihre internen Prozesse analysiert und optimiert haben, müssen Sie sich mit Ihren Outsourcing-Partner beschäftigen.
Outsourcing-Partner muss EU-DSGVO konforme Prozesse nachweisen
Egal ob Steuerberater, Online-Shop oder SaaS-Cloud-Anbieter wie Sage: Alle Ihre Auftragsdatenverarbeiter müssen rechtzeitig ab dem 25. Mai 2018 ihre Datenverarbeitungsprozesse EU-DSGVO-konform gestalten und dafür im Zweifel den Kopf hinhalten. Auch ein Cloud-Anbieter kann nämlich künftig für Datenschutzverletzungen haftbar gemacht werden, wenn er Fehler macht. Deswegen sind Ihre guten Dienstleister auf Ihre Fragen bereits eingestellt. Die schlechten Dienstleister erkennen Sie an Ausflüchten und an Behauptungen, es würde schon alles nicht so heiß gegessen, wie es gekocht würde. Denn das wird es! Deshalb werden Sie zumindest von Ihrem Steuerberater und einem Anbieter wie Sage keine Ausflüchte hören. Denn die Experten haben ihre Prozesse bereits DSGVO-konform gestaltet. Die meisten haben sich bereits zertifizieren lassen. Schauen Sie sich daher die Nachweise Ihrer Dienstleister genau an und fragen Sie auch nach.
Dienstleister ohne DSGVO-Zertifikat sofort auslisten
Besondere Vorsicht sollten Sie walten lassen, wenn Sie Teile Ihres Marketings bisher outgesourced hatten. Denn Telefon-, Direkt- und Online-Marketing sind von der DSGVO besonders betroffen. Im Zweifel müssen Sie als Daten erhebendes Unternehmen nachweisen können, dass die Adressaten wirksam in Ihre Marketing-Maßnahmen eingewilligt haben. Diesen Nachweis können Sie mit älteren Einwilligungserklärungen der Empfänger Ihrer Marketingaktionen voraussichtlich nicht führen. Denn die Einwilligung dazu erfolgte aufgrund früherer Datenschutzbestimmungen und Datenschutzerklärungen Ihres Unternehmens.
Betroffen sind beispielsweise Online-Shop-Betreiber; vor allem solche, die bisher eine Drittanbieter-Lösung nutzten. Sie sollten jetzt überprüfen, ob Ihr Shop-Anbieter in Sachen EU-DSGVO richtig aufgestellt ist. Sie müssen mindestens bei der Einwilligung Ihrer Kunden in die Verarbeitung ihrer personenbezogenen Daten und dem Widerruf derselben die Checkboxen und Ihre Datenschutzerklärung anpassen. Darüber hinaus sollten Sie alle Prozesse rund um die Datenverarbeitung überprüfen und anpassen sowie eine erneute Risikoabschätzung vornehmen. Neu ist, dass Sie alle Maßnahmen zum Datenschutz dokumentieren und auf Verlangen der zuständigen Behörden vorlegen müssen. Wenn Sie als Handelsunternehmen ergänzend zu ihrem Ladengeschäft eine Online-Shop-Lösung von einem externen Dienstleister betreiben, sollten Sie ebenfalls überprüfen, ob dieser die EU-DSGVO rechtzeitig umsetzen kann. Wenn nicht, wäre dies ein guter Grund, zum Shop-System von Sage zu wechseln. Denn dies arbeitet ab dem Stichtag garantiert EU-DSGVO-konform.
Fazit: Überprüfen Sie Ihre Outsourcing-Partner
Über lassen Sie es nicht dem Zufall oder den Beschwichtigungen Ihrer bisherigen Partner. Denn eines ist sicher: Ab dem 25. Mai kennen die zuständigen Aufsichtsbehörden keine Gnade mehr. Die Landes- und Bundesdatenschutzbeauftragten werden jeden Fall genau prüfen und dann auch die drakonischen Strafen verhängen, wenn es zu Datenschutzverletzungen in Ihrem Unternehmen kommen sollte. Vor allem sollten Sie alle auf Ihrer Webseite einsehbaren Dokumente wie die Datenschutzerklärung und die Einwilligung der Nutzer in Ihre Datenverarbeitung DSGVO-konform formulieren und organisieren. Denn: Auch wenn es noch keine Anzeichen dafür gibt, dass eine Abmahnungswelle droht: Die Abmahnvereine und Abmahnanwälte bereiten sich garantiert schon darauf vor, fehlerhafte Datenschutzerklärungen abzumahnen.
Wenn Sie es genauer wissen wollen, lesen Sie in unserem E-Book und Checklisten, wie Sie Ihr Unternehmen rechtzeitig zum 25. Mai 2018 DSGV-konform aufstellen können.