Am 25. Mai ist die neue Datenschutz-Grundverordnung (DSGVO) in Kraft getreten: Sie soll Unternehmer zwingen, persönliche Daten von Kunden und Mitarbeitern besser zu schützen. Dieses Gesetzesungetüm (99 Artikel) hängt immer noch wie ein Damoklesschwert über vielen Unternehmen. Denn erstens ist für Nicht-Juristen (und auch für einige Juristen) kaum zu durchschauen, was sie tun müssen – auch nach dem Stichtag sind deshalb viele Unternehmen noch lange nicht fertig mit den Änderungen. Und zweitens sind die Strafen, die im Raum stehen, gepfeffert.
Mit der Checkliste, die wir mit Unterstützung des Bundesverbandes Digitale Wirtschaft (BVDW) erstellt haben, vermeiden Sie juristischen Ärger. Was Unternehmen im schlimmsten Fall droht und wie wahrscheinlich eine Abmahnung ist, lesen Sie übrigens in unserem Artikel DSGVO: Wie wahrscheinlich sind hohe Strafen wirklich?
1. Datenschutzbeauftragten benennen, wenn nötig
Unternehmen müssen unter bestimmten Voraussetzungen einen Datenschutzbeauftragten benennen. Er ist Pflicht, wenn im Unternehmen personenbezogene Daten automatisiert verarbeitet werden, also per EDV. Personenbezogene Daten sind insbesondere Kundendaten und Mitarbeiterdaten. (Was er genau können muss und welche Aufgaben er hat, lesen Sie in unserem Überblicksartikel zum Thema Datenschutzbeauftragter.)
Ausnahme: Für kleine Betriebe macht die Verordnung eine Ausnahme: Sind regelmäßig nur neun oder weniger Mitarbeiter mit der Verarbeitung personenbezogener Daten beschäftigt, braucht ein Unternehmen KEINEN Datenschutzbeauftragten. Dann kann der Geschäftsführer selbst den Datenschutz übernehmen. Achtung: Es sind auch jene Mitarbeiter zu berücksichtigen, die nur ab und an Daten verarbeiten, etwa Zugriff auf die Kundendatenbank haben. Es spielt keine Rolle, ob ein Mitarbeiter Teil- oder Vollzeit arbeitet, freier oder fester Mitarbeiter ist, Praktikant oder Auszubildender. Entscheidend ist die Anzahl der Köpfe.
Wann die Ausnahme nicht gilt: Das Unternehmen verarbeitet Daten, für die eine Datenschutz-Folgenabschätzung nötig ist. Das ist bei allen Daten der Fall, bei denen ein hohes Risiko für die Betroffenen besteht, etwa bei Daten zu ihrer ethnischen Herkunft, sexuellen Orientierung, Gesundheit oder zur politischen Einstellung. Auch eine kleine psychotherapeutische Praxis, die solche Daten in der Patientenakte speichert, braucht also einen Datenschutzbeauftragten.
Was muss der Datenschutzbeauftrage können?
Die Fachkunde des Datenschutzbeauftragten muss sichergestellt sein, etwa durch Fortbildungen bei der Industrie- und Handelskammer.
2. „Verzeichnis der Verarbeitungstätigkeiten“ anlegen
Jedes Unternehmen muss ein sogenanntes „Verzeichnis der Verarbeitungstätigkeiten“ anlegen (dies ergibt sich aus Art. 30 der DSGVO). „Das klingt hochtrabend, ist aber nur eine simple Tabelle“, entwarnt Michael Neuber, Justiziar beim Bundesverband Digitale Wirtschaft (BVDW). In der Tabelle listet man auf, welche Daten wann, wie und warum im Unternehmen erhoben werden. Etwa die Daten seiner Kunden: Name, Adresse, Telefonnummer.
Zur Person

Michael Neuber ist Rechtsanwalt und Justiziar des Bundesverbandes Digitale Wirtschaft (BVDW) e.V.. Er berät die BVDW-Mitglieder in Rechtsfragen vor allem in den Bereichen IT-, Datenschutz-, Urheber- und Medienrecht. Neubar ist auch Autor des BVDW-Praxisleitfadens zum Thema Datenschutz mit Mustertexten und Webinaren, abrufbar unter www.bvdw-datenschutz.de.
Achtung: Hier nicht die internen Daten vergessen, die verarbeitet werden, etwa Personaldaten, Daten aus der Lohnbuchhaltung und so weiter.
„So eine Tabelle reicht den Datenschutzbehörden meistens schon“, sagt Neuber. „Die haben gar keine Zeit und keine Ressourcen, jeden Handwerksbetrieb zu prüfen. Die haben zehn Leute für 60.000 Unternehmen.“
Bei größeren Unternehmen sollte ein Projektverantwortlicher ernannt werden, der alle Mitarbeiter, die Datenverarbeitung verantworten (und eventuell auch Lieferanten und Partner) befragt.
Abgefragt werden sollte:
- Welche Informationen erhalten Betroffene (zum Beispiel die Kunden) über die Erhebung und Speicherung personenbezogener Daten?
- Wie werden diese Informationen erteilt: Stehen Sie zum Beispiel in den AGB, in einem Text neben einer Checkbox auf der Website oder teil man sie mündlich mit? (was Websitebetreiber jetzt ändern müssen, lesen Sie ins unserem Artikel Checkliste Datenschutz-Grundverordnung: Das müssen Websitebetreiber jetzt ändern)
- Welche Daten werden erhoben, welchem Zweck dient die Datenerhebung, wie werden diese Daten weiterverarbeitet? Daraus leitet sich ab, ob es eine gesetzliche Erlaubnis gibt, die Daten zu verarbeiten – etwa bei einer Vertragsbeziehung – oder ob der Betroffene der Datenverarbeitung erst zustimmen muss.
- Werden Daten anonymisiert oder pseudonymisiert?
- Wie lange werden die Daten gespeichert?
- Werden die Daten weitergegeben? Wenn ja, an wen? Ist dieser ebenfalls für den Datenschutz verantwortlich?
- Wo werden die Daten gespeichert? Werden sie außerhalb der EU gespeichert? Falls ja: Sind die Voraussetzungen zur Übermittlung in Drittstaaten erfüllt?
- Werden die Daten ausreichend durch technische und organisatorische Maßnahmen geschützt?
Daraus erstellt man dann ein Verarbeitungsverzeichnis.
Bei einem Frisör könnte das Verarbeitungsverzeichnis zum Beispiel so aussehen:
1. Kundenstammdaten
Verantwortlich | Salonleiterin Monika Schwarz, Adresse, Telefonnummer |
Zweck | Terminabsprache, Erbringung der Frisördienstleitung |
Betroffene | Kunden des Frisörsalons Haarscharf |
Wer kann auf die Daten zugreifen? | Alle Mitarbeiter des Frisörsalons Haarscharf |
Datenkategorie | Kundenstammdaten (Name, Telefonnummer, E-Mail-Adresse)
Frisur (Haarschnitt, Haarfarbe, bevorzugter Frisör) |
Übermittlung an Drittstaaten | Nein |
Löschfrist | Bei Widerruf des Betroffenen |
Rechtsgrundlage | DSGVO Art. 6, Abs. 1b |
Einwilligung des Betroffenen | Jeder Kunde wird auf die Erfassung der Daten durch die Mitarbeiter mündlich hingewiesen und darauf aufmerksam gemacht, dass er diese Daten jederzeit einsehen und löschen lassen kann. |
2. Bewerberdaten
Verantwortlich | Geschäftsführerin Brigitte Weiß, Adresse, Telefonnummer |
Zweck | Bewerbermanagement |
Betroffene | Bewerber |
Wer kann auf die Daten zugreifen? | Geschäftsführerin Brigitte Weiß, Ausbildungsleiterin Gerda Rot |
Datenkategorie | Bewerbungsmappen, Lebensläufe, Adressdaten (Name, Adresse, Telefonnummer, E-Mail-Adresse) |
Übermittlung an Drittstaaten | Nein |
Löschfrist | Sechs Monate nach Beendigung des Bewerbungsverfahrens |
Rechtsgrundlage | Art. 13 Abs. 1 und Abs. 2 DSGVO |
Einwilligung des Betroffenen | Bewerber werden mit einer automatischen E-Mail über den Zweck der Datenerhebung und die Dauer der Datenaufbewahrung informiert. |
Die Unternehmen müssen darüber hinaus den Weg der Daten nachzeichnen, von der Erhebung (etwa bei einer Online-Terminvergabe beim Frisör) über die Speicherung (etwa bei einem externen Anbieter für Terminmanagement) bis hin zur Nutzung (zum Beispiel durch die Mitarbeiter).
Ein solches Verzeichnis ist übrigens schon nach dem alten Bundesdatenschutzgesetz verpflichtend, die wenigsten haben es aber bis jetzt geführt.
3. Prozesse festlegen und Prozesshandbuch schreiben
Unternehmer sollten jetzt alle mit Datenverarbeitung verbundenen Prozesse dokumentieren und – wenn nötig – optimieren. Zum Beispiel:
- Wie werden Kunden über die Verarbeitung ihrer Daten informiert?
- Wie reagieren Mitarbeiter, wenn Kunden fragen, welche Daten von ihnen gespeichert wurden?
- Was ist der Prozess, wenn ein Kunde darauf besteht, dass seine Daten gelöscht werden? Wer ist dafür verantwortlich?
- Was ist der Prozess, falls es zu einem Datenleck kommt und personenbezogene Daten in falsche Hände geraten? Denn Achtung: Kommen die Daten abhanden, zum Beispiel durch einen Hackerangriff, müssen Unternehmen binnen 72 Stunden die zuständige Landesdatenschutzbehörde informieren.
- Ist das Ziel, warum Daten gespeichert wurden, erreicht, müssen die Daten gelöscht werden (Bei einem Gewinnspiel etwa nach der Ermittlung der Gewinner). Wie ist der Löschprozess organisiert?
- Wie werden Mitarbeiter geschult, damit sie diese Prozesse kennen und ausführen können?
4. Datenschutz-Folgenabschätzung durchführen, wenn nötig
Wer mit besonders sensiblen Daten arbeitet – etwa Arztpraxen oder Versicherungsmakler – muss damit besonders umsichtig umgehen und unter Umständen eine so genannte Datenschutz-Folgenabschätzung durchführen. Das gilt für alle Unternehmen, die eine Identifizierung und Kategorisierung der Person ermöglichen nach Themen wie zum Beispiel Sexualität, Krankheiten, Finanzen, rassische oder ethnische Herkunft oder politischen Ansichten – denn hier besteht ein besonders hohes Risiko für die Betroffenen, wenn diese Daten missbraucht werden. Eigentlich sollen die Datenschutzbehörden eine Liste herausgeben, die besagt, welche Datenverarbeitungsvorgänge eine Datenschutz-Folgeabschätzung voraussetzen. Diese Liste gibt es aber bisher nicht, sodass im Einzelfall entschieden werden muss. Ein hohes Risiko kann sich aus der Art der Daten, ihrem Umfang oder dem Zweck der Datenverarbeitung ergeben.
Ziel der Datenschutz-Folgeabschätzung ist, die Risiken für die Persönlichkeitsrechte der betroffenen Personen zu kennen, um so geeignete Schutzmaßnahmen treffen zu können.
Worin besteht eine Datenschutz-Folgenabschätzung?
- Beschreibung der Datenverarbeitungsvorgänge.
- Beschreibung des Zwecks der Datenverarbeitung und Begründung, warum das Unternehmen ein berechtigtes Interesse daran hat. Die Datenverarbeitung muss im Hinblick auf den Zweck verhältnismäßig sein.
- Beschreibung der Risiken, die für betroffene Personen bestehen.
- Dokumentation: Was wird technisch und organisatorisch getan, um diese Daten gegen unberechtigten Zugriff oder Weitergabe zu sichern?
- Dokumentation: Wie wird im Falle eines Leaks verfahren?
- Dokumentation: Welche Kontrollmechanismen greifen, damit die Daten geschützt bleiben?
Wichtig: Die Landesdatenschutzbehörden haben hier übrigens eine beratende Funktion.
5. Alle Anstrengungen dokumentieren
Unternehmer sollten alle ihre Anstrengungen dokumentieren: Zu welchem Seminar ist der Datenschutzbeauftragte gegangen? Welche Firewall wurde wann installiert? Welche Verträge wurden mit Dienstleistern geschlossen? (Was jetzt für Verträge zur Auftragsdatenverarbeitung gilt) Denn selbst bei Datenlecks oder Verstößen wie Fehlern in der Datenschutzerklärung besteht bei guter Dokumentation die Chance, ohne Bußgeld davonzukommen (wie Sie Ihre Datenschutzerklärung jetzt ändern müssen, lesen Sie in unserem Artikel: So wird Ihre Datenschutzerklärung DSGVO-konform). Dafür muss man aber die Unterlagen auf Anfrage umgehend vorlegen können.
100 Ideen, die Ihr Unternehmen voranbringen
Sie wünschen sich motivierte Mitarbeiter, mehr Produktivität oder zufriedene Kunden? Unsere 100 Ideen bringen Sie und Ihr Unternehmen diesem Ziel näher. Jetzt kostenlos herunterladen!
Sind auch mobile Kommunikationen von der DSGVO betroffen? Hier steht ich müsste das nachweisen können. (virtual-solution.com/dsgvo/) aber woher soll ich wissen wie beispielsweise mein Mail Provider verschlüsselt?!
Es ist doch alles Irrsinn … Beispiel Frisör.
Wo mehr personenbezogene Daten abgefragt werden, kann ich Datenschutz usw. ja verstehen, aber von mir aus kann jeder wissen, dass ich zum Frisör gehe (hinterher sieht man es ja sowieso)…..
Oder Nagelstudio… oder Fußpflege… oder..
Mir macht Sorge, dass hier alle brav versuchen die neuen Gesetze einzuhalten. Liebe Mitbürger warum lassen wir uns das gefallen. Am Beispiel des Frisörsalons wird doch mehr als deutlich wie irre unsere Gesellschaft geworden ist. Wer soll diesen Aufwand betreiben und bezahlen. Mir fehlen die Worte.
Ich wüsste auch gern, was die neue Vorschrift für Betreiber privater Foren oder FB-Seiten bedeutet. Wo kann ich die Informationen in verständlicher Form finden, was man tun muss, um weiterhin konform zu sein.
Freue mich daher über auch für Laien verständliche Informationen oder gar eine to-do-List.
vielen lieben Dank
J. Schmitz
Antworten
Irgendwie kann ich nicht begreifen was ich jetzt tun muss. Ich bin als Immobilien- und Versicherungsmakler alleine tätig. Die Kunden wollen z.B. ein Auto versichern oder eine Wohnung anmieten oder kaufen.
Was soll ich da für ein „Verarbeitungsverzeichnis“ führen?
Immobilien:
Die Anfragen mit den personenbezogenen Daten, die mir die Kunden telefonisch mitteilen, schreib‘ ich mir auf einen für das jeweilige Objekt erstellten Zettel/Blatt auf. Nach der Vermietung und Abschluss des Miet- oder Kaufvertrages werden alle Aufzeichnungen vernichtet, keine Daten weiter aufbewahrt, da der Vorgang abgeschlossen ist.
Versicherungen:
Bei vermittelten Versicherungen hefte ich die aufgenommenen Anträge in einem Hängeregister ab, die Anträge werden an die jeweilige Versicherung über das von der Versicherung zur Verfügung gestellten und mit einem über einen PCM-Stick geschützten PC@Programm online versandt. Endet der Vertrag wird die Akte geschrädert. Was soll ich da für ein Verarbeitungsverzeichnis führen bzw. wie soll das aussehen? Ich weiß nicht was ich machen soll. Was soll ich im Rahmen des DSGVO verändern?
Hallo!
Vielen Dank für den klasse Beitrag!
Eine Frage:
Sie schreiben: […Ist das Ziel, warum Daten gespeichert wurden, erreicht, müssen die Daten gelöscht werden….] .
Muss ich dann als Fotograf nach Bearbeitung der Fotos für den Kunden und einen evtl. Druck die Bilder löschen? Ich dachte immer, dass ich sie min. 3 Jahre aufbewahren muss…. Das steht doch mal wieder im Gegensatz zur eigentlichen Intention, mit der es zu diesem Gesetzesmonster kam… :(
Das ist doch Blödsinn….ich kann die Daten gar nicht alle löschen. Zumindest aus Finanzamt-Sicht muss ich die Rechnung, auf der ich auch Namen und Anschrift erfassen muss, 10 Jahre lang aufbewahren…..
Wenn es gesetzliche Vorschriften gibt, dass man die Daten aufbewahren muss, dann gelten die trotz DSGVO weiter und natürlich muss man die Daten dann so lange aufbewahren wie gesetzlich vorgeschrieben.
Herzliche Grüße aus dem impulse-Team
Dorothée Schmid
Wie seiht es mit privaten Blogs und Seiten aus, muss ich da auch reagieren ?
Was mich beunruhigt: Ich hab‘ gelesen, dass manche Anbieter jetzt auch ihre Verträge zur Auftragsdatenverarbeitung überarbeiten. Muss ich die jetzt alle neu unterschreiben?