Hallo,

grundsätzlich ist es bezogen auf die DSGVO verpflichtend folgende Dinge zu realisieren:

• Ein Verfahrensverzeichnis (wenn man mit perzonenbezogenen Daten arbeitet)
• Auftragsverarbeitungsverträge (wenn man perzonenbezogene Daten an Drittanbieter übergibt)
• Datenpannenpläne (wenn perzonenbezogene Daten durch einen Fehler in falsche Hände geraten)

Gefühlt wurden bei 90% der KMUs solche Dokumente niemals realisiert bzw. sind auch nicht in Planung.

In der Theorie sind diese Dokumente natürlich verpflichtend, in der Praxis meines Erachtens allerdings nicht notwendig, einfach deshalb, weil von einem außen stehenden nicht festgestellt werden kann ob diese Dokumente vorliegen oder nicht. Wenn ein Außenstehender das nicht nachprüfen kann hat er auch nichts in der Hand um eine Abmahnung in Auftrag zu geben.

Fazit:

Das „nicht umsetzten“ dieser Dokumente birgt nur ein geringes Abmahnrisiko, deshalb können KMUs mit relativ ruhigem Gewissen auf die Umsetzung dieser Dokumente verzichten. Große Unternehmen hingegen sollten diese Dokumente unbedingt umsetzen lassen, weil hier die Wahrscheinlichkeit einer Prüfung vor Ort wesentlich höher ist.

Mal am Rande: Liegen bei selfhtml solche Dokumente vor? Wenn das nicht der Fall ist werdet Ihr mir das sicherlich nicht verraten, sonst würden Ihr ja nach außen kundtun das Ihr gegen geltendes Recht verstoßt ;-), wie wohl fast jedes KMU.

Viele Grüße