| Blog für Unternehmer
logo_Smarter_mittelstand_dunkel
Nutzen Sie das Potenzial der Digitalisierung für Ihr Unternehmen bestmöglich aus, um langfristig wettbewerbsfähig zu bleiben. Wir helfen Ihnen dabei: mit digitalen Trendthemen, praktischen Problemlösungen und innovativen Ansätzen - wöchentlich auf dieser Seite sowie auf unseren diesjährigen Digitalisierungskonferenzen smarter mittelstand.

DSGVO-Checkliste Neue Datenschutzregeln: Was Sie jetzt tun müssen

  • Serie
Die Datenschutz-Grundverordnung ist Ende Mai in Kraft getreten. Unsere DSGVO-Checkliste zeigt Ihnen die Aufgaben.

Die Datenschutz-Grundverordnung ist Ende Mai in Kraft getreten. Unsere DSGVO-Checkliste zeigt Ihnen die Aufgaben.© sör alex / photocase.de

Wenn am 25. Mai 2018 die neue Datenschutz-Grundverordnung in Kraft tritt, drohen Unternehmen hohe Strafen. Wie Sie sich jetzt vorbereiten – unsere DSGVO-Checkliste.

Am 25. Mai ist die neue Datenschutz-Grundverordnung (DSGVO) in Kraft getreten: Sie soll Unternehmer zwingen, persönliche Daten von Kunden und Mitarbeitern besser zu schützen. Dieses Gesetzesungetüm (99 Artikel) hängt immer noch wie ein Damoklesschwert über vielen Unternehmen. Denn erstens ist für Nicht-Juristen (und auch für einige Juristen) kaum zu durchschauen, was sie tun müssen – auch nach dem Stichtag sind deshalb viele Unternehmen noch lange nicht fertig mit den Änderungen. Und zweitens sind die Strafen, die im Raum stehen, gepfeffert.

Mit der Checkliste, die wir mit Unterstützung des Bundesverbandes Digitale Wirtschaft (BVDW) erstellt haben, vermeiden Sie juristischen Ärger. Was Unternehmen im schlimmsten Fall droht und wie wahrscheinlich eine Abmahnung ist, lesen Sie übrigens in unserem Artikel DSGVO: Wie wahrscheinlich sind hohe Strafen wirklich?

Anzeige

1. Datenschutzbeauftragten benennen, wenn nötig

Unternehmen müssen unter bestimmten Voraussetzungen einen Datenschutzbeauftragten benennen. Er ist Pflicht, wenn im Unternehmen personenbezogene Daten automatisiert verarbeitet werden, also per EDV. Personenbezogene Daten sind insbesondere Kundendaten und Mitarbeiterdaten. (Was er genau können muss und welche Aufgaben er hat, lesen Sie in unserem Überblicksartikel zum Thema Datenschutzbeauftragter.)

Ausnahme: Für kleine Betriebe macht die Verordnung eine Ausnahme: Sind regelmäßig nur neun oder weniger Mitarbeiter mit der Verarbeitung personenbezogener Daten beschäftigt, braucht ein Unternehmen KEINEN Datenschutzbeauftragten. Dann kann der Geschäftsführer selbst den Datenschutz übernehmen. Achtung: Es sind auch jene Mitarbeiter zu berücksichtigen, die nur ab und an Daten verarbeiten, etwa Zugriff auf die Kundendatenbank haben. Es spielt keine Rolle, ob ein Mitarbeiter Teil- oder Vollzeit arbeitet, freier oder fester Mitarbeiter ist, Praktikant oder Auszubildender. Entscheidend ist die Anzahl der Köpfe.

Wann die Ausnahme nicht gilt: Das Unternehmen verarbeitet Daten, für die eine Datenschutz-Folgenabschätzung nötig ist. Das ist bei allen Daten der Fall, bei denen ein hohes Risiko für die Betroffenen besteht, etwa bei Daten zu ihrer ethnischen Herkunft, sexuellen Orientierung, Gesundheit oder zur politischen Einstellung. Auch eine kleine psychotherapeutische Praxis, die solche Daten in der Patientenakte speichert, braucht also einen Datenschutzbeauftragten.

Was muss der Datenschutzbeauftrage können?

Die Fachkunde des Datenschutzbeauftragten muss sichergestellt sein, etwa durch Fortbildungen bei der Industrie- und Handelskammer.

2. „Verzeichnis der Verarbeitungstätigkeiten“ anlegen

Jedes Unternehmen muss ein sogenanntes „Verzeichnis der Verarbeitungstätigkeiten“ anlegen (dies ergibt sich aus Art. 30 der DSGVO). „Das klingt hochtrabend, ist aber nur eine simple Tabelle“, entwarnt Michael Neuber, Justiziar beim Bundesverband Digitale Wirtschaft (BVDW). In der Tabelle listet man auf, welche Daten wann, wie und warum im Unternehmen erhoben werden. Etwa die Daten seiner Kunden: Name, Adresse, Telefonnummer.

Achtung: Hier nicht die internen Daten vergessen, die verarbeitet werden, etwa Personaldaten, Daten aus der Lohnbuchhaltung und so weiter.

„So eine Tabelle reicht den Datenschutzbehörden meistens schon“, sagt Neuber. „Die haben gar keine Zeit und keine Ressourcen, jeden Handwerksbetrieb zu prüfen. Die haben zehn Leute für 60.000 Unternehmen.“

Bei größeren Unternehmen sollte ein Projektverantwortlicher ernannt werden, der alle Mitarbeiter, die Datenverarbeitung verantworten (und eventuell auch Lieferanten und Partner) befragt.

Abgefragt werden sollte:

  • Welche Informationen erhalten Betroffene (zum Beispiel die Kunden) über die Erhebung und Speicherung personenbezogener Daten?
  • Wie werden diese Informationen erteilt: Stehen Sie zum Beispiel in den AGB, in einem Text neben einer Checkbox auf der Website oder teil man sie mündlich mit? (was Websitebetreiber jetzt ändern müssen, lesen Sie ins unserem Artikel Checkliste Datenschutz-Grundverordnung: Das müssen Websitebetreiber jetzt ändern)
  • Welche Daten werden erhoben, welchem Zweck dient die Datenerhebung, wie werden diese Daten weiterverarbeitet? Daraus leitet sich ab, ob es eine gesetzliche Erlaubnis gibt, die Daten zu verarbeiten – etwa bei einer Vertragsbeziehung – oder ob der Betroffene der Datenverarbeitung erst zustimmen muss.
  • Werden Daten anonymisiert oder pseudonymisiert?
  • Wie lange werden die Daten gespeichert?
  • Werden die Daten weitergegeben? Wenn ja, an wen? Ist dieser ebenfalls für den Datenschutz verantwortlich?
  • Wo werden die Daten gespeichert? Werden sie außerhalb der EU gespeichert? Falls ja: Sind die Voraussetzungen zur Übermittlung in Drittstaaten erfüllt?
  • Werden die Daten ausreichend durch technische und organisatorische Maßnahmen geschützt?

Daraus erstellt man dann ein Verarbeitungsverzeichnis.

Bei einem Frisör könnte das Verarbeitungsverzeichnis zum Beispiel so aussehen:

1. Kundenstammdaten

Verantwortlich Salonleiterin Monika Schwarz, Adresse, Telefonnummer
Zweck Terminabsprache, Erbringung der Frisördienstleitung
Betroffene Kunden des Frisörsalons Haarscharf
Wer kann auf die Daten zugreifen? Alle Mitarbeiter des Frisörsalons Haarscharf
Datenkategorie Kundenstammdaten (Name, Telefonnummer, E-Mail-Adresse)

Frisur (Haarschnitt, Haarfarbe, bevorzugter Frisör)

Übermittlung an Drittstaaten Nein
Löschfrist Bei Widerruf des Betroffenen
Rechtsgrundlage  DSGVO Art. 6, Abs. 1b
Einwilligung des Betroffenen Jeder Kunde wird auf die Erfassung der Daten durch die Mitarbeiter mündlich hingewiesen und darauf aufmerksam gemacht, dass er diese Daten jederzeit einsehen und löschen lassen kann.

2. Bewerberdaten

Verantwortlich Geschäftsführerin Brigitte Weiß, Adresse, Telefonnummer
Zweck Bewerbermanagement
Betroffene Bewerber
Wer kann auf die Daten zugreifen? Geschäftsführerin Brigitte Weiß, Ausbildungsleiterin Gerda Rot
Datenkategorie Bewerbungsmappen, Lebensläufe, Adressdaten (Name, Adresse, Telefonnummer, E-Mail-Adresse)
Übermittlung an Drittstaaten Nein
Löschfrist Sechs Monate nach Beendigung des Bewerbungsverfahrens
Rechtsgrundlage Art. 13 Abs. 1 und Abs. 2 DSGVO
Einwilligung des Betroffenen Bewerber werden mit einer automatischen E-Mail über den Zweck der Datenerhebung und die Dauer der Datenaufbewahrung informiert.

Die Unternehmen müssen darüber hinaus den Weg der Daten nachzeichnen, von der Erhebung (etwa bei einer Online-Terminvergabe beim Frisör) über die Speicherung (etwa bei einem externen Anbieter für Terminmanagement) bis hin zur Nutzung (zum Beispiel durch die Mitarbeiter).

Ein solches Verzeichnis ist übrigens schon nach dem alten Bundesdatenschutzgesetz verpflichtend, die wenigsten haben es aber bis jetzt geführt.

3. Prozesse festlegen und Prozesshandbuch schreiben

Unternehmer sollten jetzt alle mit Datenverarbeitung verbundenen Prozesse dokumentieren und – wenn nötig – optimieren. Zum Beispiel:

  • Wie werden Kunden über die Verarbeitung ihrer Daten informiert?
  • Wie reagieren Mitarbeiter, wenn Kunden fragen, welche Daten von ihnen gespeichert wurden?
  • Was ist der Prozess, wenn ein Kunde darauf besteht, dass seine Daten gelöscht werden? Wer ist dafür verantwortlich?
  • Was ist der Prozess, falls es zu einem Datenleck kommt und personenbezogene Daten in falsche Hände geraten? Denn Achtung: Kommen die Daten abhanden, zum Beispiel durch einen Hackerangriff, müssen Unternehmen binnen 72 Stunden die zuständige Landesdatenschutzbehörde informieren.
  • Ist das Ziel, warum Daten gespeichert wurden, erreicht, müssen die Daten gelöscht werden (Bei einem Gewinnspiel etwa nach der Ermittlung der Gewinner). Wie ist der Löschprozess organisiert?
  • Wie werden Mitarbeiter geschult, damit sie diese Prozesse kennen und ausführen können?

4. Datenschutz-Folgenabschätzung durchführen, wenn nötig

Wer mit besonders sensiblen Daten arbeitet – etwa Arztpraxen oder Versicherungsmakler – muss damit besonders umsichtig umgehen und unter Umständen eine so genannte Datenschutz-Folgenabschätzung durchführen. Das gilt für alle Unternehmen, die eine Identifizierung und Kategorisierung der Person ermöglichen nach Themen wie zum Beispiel  Sexualität, Krankheiten, Finanzen, rassische oder ethnische Herkunft oder politischen Ansichten – denn hier besteht ein besonders hohes Risiko für die Betroffenen, wenn diese Daten missbraucht werden. Eigentlich sollen die Datenschutzbehörden eine Liste herausgeben, die besagt, welche Datenverarbeitungsvorgänge eine Datenschutz-Folgeabschätzung voraussetzen. Diese Liste gibt es aber bisher nicht, sodass im Einzelfall entschieden werden muss. Ein hohes Risiko kann sich aus der Art der Daten, ihrem Umfang oder dem Zweck der Datenverarbeitung ergeben.

Ziel der Datenschutz-Folgeabschätzung ist, die Risiken für die Persönlichkeitsrechte der betroffenen Personen zu kennen, um so geeignete Schutzmaßnahmen treffen zu können.

Worin besteht eine Datenschutz-Folgenabschätzung?

  • Beschreibung der Datenverarbeitungsvorgänge.
  • Beschreibung des Zwecks der Datenverarbeitung und Begründung, warum das Unternehmen ein berechtigtes Interesse daran hat. Die Datenverarbeitung muss im Hinblick auf den Zweck verhältnismäßig sein.
  • Beschreibung der Risiken, die für betroffene Personen bestehen.
  • Dokumentation: Was wird technisch und organisatorisch getan, um diese Daten gegen unberechtigten Zugriff oder Weitergabe zu sichern?
  • Dokumentation: Wie wird im Falle eines Leaks verfahren?
  • Dokumentation: Welche Kontrollmechanismen greifen, damit die Daten geschützt bleiben?

Wichtig: Die Landesdatenschutzbehörden haben hier übrigens eine beratende Funktion.

5. Alle Anstrengungen dokumentieren

Unternehmer sollten alle ihre Anstrengungen dokumentieren: Zu welchem Seminar ist der Datenschutzbeauftragte gegangen? Welche Firewall wurde wann installiert? Welche Verträge wurden mit Dienstleistern geschlossen? (Was jetzt für Verträge zur Auftragsdatenverarbeitung gilt) Denn selbst bei Datenlecks oder Verstößen wie Fehlern in der Datenschutzerklärung besteht bei guter Dokumentation die Chance, ohne Bußgeld davonzukommen (wie Sie Ihre Datenschutzerklärung jetzt ändern müssen, lesen Sie in unserem Artikel: So wird Ihre Datenschutzerklärung DSGVO-konform). Dafür muss man aber die Unterlagen auf Anfrage umgehend vorlegen können.

Der Newsletter für Unternehmer

Sie wollen mit Ihrem Business durchstarten? Dann abonnieren Sie unseren Newsletter mit genialen Tipps, Denkanstößen und erprobten Strategien, die Unternehmer und Selbstständige nach vorn bringen.

Unsere Themen:
Mitarbeiterführung ✩ Produktivität ✩ Recht + Steuern
Kundengewinnung ✩ Selbstmanagement ✩ Motivation

Jeden Morgen in Ihrem Postfach – jetzt kostenlos anmelden! Unternehmer-Newsletter
10 Kommentare
  • Alexander Schuster 12. Juli 2018 16:49

    Sind auch mobile Kommunikationen von der DSGVO betroffen? Hier steht ich müsste das nachweisen können. (virtual-solution.com/dsgvo/) aber woher soll ich wissen wie beispielsweise mein Mail Provider verschlüsselt?!

  • Petra Schmidt 28. Mai 2018 09:47

    Es ist doch alles Irrsinn … Beispiel Frisör.
    Wo mehr personenbezogene Daten abgefragt werden, kann ich Datenschutz usw. ja verstehen, aber von mir aus kann jeder wissen, dass ich zum Frisör gehe (hinterher sieht man es ja sowieso)…..
    Oder Nagelstudio… oder Fußpflege… oder..

  • Harald 16. Mai 2018 15:59

    Mir macht Sorge, dass hier alle brav versuchen die neuen Gesetze einzuhalten. Liebe Mitbürger warum lassen wir uns das gefallen. Am Beispiel des Frisörsalons wird doch mehr als deutlich wie irre unsere Gesellschaft geworden ist. Wer soll diesen Aufwand betreiben und bezahlen. Mir fehlen die Worte.

  • J. Schmitz 15. Mai 2018 17:23

    Ich wüsste auch gern, was die neue Vorschrift für Betreiber privater Foren oder FB-Seiten bedeutet. Wo kann ich die Informationen in verständlicher Form finden, was man tun muss, um weiterhin konform zu sein.

    Freue mich daher über auch für Laien verständliche Informationen oder gar eine to-do-List.

    vielen lieben Dank

    J. Schmitz

  • Christian Offergeld 2. Mai 2018 21:52

    Antworten

    Irgendwie kann ich nicht begreifen was ich jetzt tun muss. Ich bin als Immobilien- und Versicherungsmakler alleine tätig. Die Kunden wollen z.B. ein Auto versichern oder eine Wohnung anmieten oder kaufen.
    Was soll ich da für ein „Verarbeitungsverzeichnis“ führen?
    Immobilien:
    Die Anfragen mit den personenbezogenen Daten, die mir die Kunden telefonisch mitteilen, schreib‘ ich mir auf einen für das jeweilige Objekt erstellten Zettel/Blatt auf. Nach der Vermietung und Abschluss des Miet- oder Kaufvertrages werden alle Aufzeichnungen vernichtet, keine Daten weiter aufbewahrt, da der Vorgang abgeschlossen ist.
    Versicherungen:
    Bei vermittelten Versicherungen hefte ich die aufgenommenen Anträge in einem Hängeregister ab, die Anträge werden an die jeweilige Versicherung über das von der Versicherung zur Verfügung gestellten und mit einem über einen PCM-Stick geschützten PC@Programm online versandt. Endet der Vertrag wird die Akte geschrädert. Was soll ich da für ein Verarbeitungsverzeichnis führen bzw. wie soll das aussehen? Ich weiß nicht was ich machen soll. Was soll ich im Rahmen des DSGVO verändern?

  • H. Winkelmann 25. April 2018 15:38

    Hallo!
    Vielen Dank für den klasse Beitrag!

    Eine Frage:
    Sie schreiben: […Ist das Ziel, warum Daten gespeichert wurden, erreicht, müssen die Daten gelöscht werden….] .

    Muss ich dann als Fotograf nach Bearbeitung der Fotos für den Kunden und einen evtl. Druck die Bilder löschen? Ich dachte immer, dass ich sie min. 3 Jahre aufbewahren muss…. Das steht doch mal wieder im Gegensatz zur eigentlichen Intention, mit der es zu diesem Gesetzesmonster kam… 🙁

    • Norman 26. Mai 2018 00:37

      Das ist doch Blödsinn….ich kann die Daten gar nicht alle löschen. Zumindest aus Finanzamt-Sicht muss ich die Rechnung, auf der ich auch Namen und Anschrift erfassen muss, 10 Jahre lang aufbewahren…..

      • Dorothée Schmid
        Dorothée Schmid 28. Mai 2018 08:56

        Wenn es gesetzliche Vorschriften gibt, dass man die Daten aufbewahren muss, dann gelten die trotz DSGVO weiter und natürlich muss man die Daten dann so lange aufbewahren wie gesetzlich vorgeschrieben.

        Herzliche Grüße aus dem impulse-Team
        Dorothée Schmid

  • Daniel 19. April 2018 10:07

    Wie seiht es mit privaten Blogs und Seiten aus, muss ich da auch reagieren ?

  • Hanni 28. März 2018 13:55

    Was mich beunruhigt: Ich hab‘ gelesen, dass manche Anbieter jetzt auch ihre Verträge zur Auftragsdatenverarbeitung überarbeiten. Muss ich die jetzt alle neu unterschreiben?

Hinterlassen Sie einen Kommentar

(Die Redaktion schaltet Kommentare montags bis freitags von 10 bis 18 Uhr frei. Die Angabe von Name und E-Mail-Adresse ist freiwillig. IP-Adressen werden nicht gespeichert. Mit der Abgabe eines Kommentars stimmen Sie unseren Datenschutzbestimmungen zu.)