| Blog für Unternehmer
logo_Smarter_mittelstand_dunkel
Nutzen Sie das Potenzial der Digitalisierung für Ihr Unternehmen bestmöglich aus, um langfristig wettbewerbsfähig zu bleiben. Wir helfen Ihnen dabei: mit digitalen Trendthemen, praktischen Problemlösungen und innovativen Ansätzen - wöchentlich auf dieser Seite sowie auf unseren diesjährigen Digitalisierungskonferenzen smarter mittelstand.

Vorlagen und Muster Die DSGVO umsetzen – diese Vorlagen machen es leichter

  • Serie
Im Internet gibt es viele Vorlagen und Muster zur Datenschutz-Grundverordnung. Aber welche davon sind seriös?

Im Internet gibt es viele Vorlagen und Muster zur Datenschutz-Grundverordnung. Aber welche davon sind seriös?© iStock / Getty Images Plus

Die Datenschutz-Grundverordnung stellt viele Unternehmen vor große Herausforderungen. Im Netz gibt es aber zahlreiche Muster und Vorlagen, die Ihnen bei der Umsetzung der DSGVO helfen. Eine Übersicht. 

Wie weit haben Sie die Datenschutz-Grundverordnung (DSGVO) in Ihrem Unternehmen schon umgesetzt? Beim Beantworten dieser Frage hilft ein Online-Test zur DSGVO, den das Bayerische Landesamt für Datenschutz auf seiner Website veröffentlicht hat. Wenn Sie die 28 Fragen beantworten, bekommen Sie eine Bewertung der einzelnen Fragen angezeigt und können sich eine zusammenfassende „Urkunde“ zu den Punkten erstellen lassen, die Sie in den einzelnen Bereichen erreicht haben.

Wenn Sie sich erstmal darüber informieren möchten, was Sie alles machen müssen, um die DSGVO umzusetzen, lesen Sie unsere Checkliste zur DSGVO.

Anzeige

Verzeichnis der Verarbeitungstätigkeiten

Jeder, der personenbezogene Daten verarbeitet, muss ein Verfahrensverzeichnis führen. Auf der Seite des Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen finden Sie ein Muster für Verantwortliche für die Datenverarbeitung sowie ein Muster für Auftragsverarbeiter. Diese Muster haben die unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) abgestimmt und veröffentlicht, so dass Sie sie deutschlandweit verwenden können. Es gibt auch Hinweise, die beim Ausfüllen helfen.

Die Gesellschaft für Datenschutz und Datensicherheit bietet ebenfalls ein Muster-Verzeichnis für Verarbeitungstätigkeiten an.

Muster-Datenschutzerklärung für Ihre Website

Auf den Seiten der Universität Münster finden Sie eine seriöse Musterdatenschutzerklärung, die Sie nach Ihren Bedürfnissen anpassen können und müssen.

Der Anwalt Thomas Schwenke bietet online einen Datenschutz-Generator an, der für Privatpersonen und Kleinunternehmer kostenlos ist. Andere Unternehmen können eine kostenpflichtige Lizenz erwerben.

Alles, was Sie zur DSGVO-konformen Datenschutzerklärung wissen müssen, lesen Sie in unserem Artikel „So wird Ihre Datenschutzerklärung DSGVO-konform„.

Vertrag zur Auftragsverarbeitung

Mit bestimmten Anbietern, die für Sie personenbezogene Daten verarbeiten, müssen Sie Auftragsverarbeitungs-Verträge abschließen (Näheres lesen Sie in unserem Artikel: Was jetzt für Verträge zur Auftragsdatenverarbeitung gilt) Das Bayerische Landesamt für Datenschutzaufsicht hat einen Mustervertrag bzw. Formulierungshilfe zur Auftragsverarbeitung entworfen. Dieser ist besonders geeignet, wenn es um klassische IT-Dienstleistungen wie zum Beispiel die Lohnabrechnung oder die Finanzbuchhaltung geht.

Auch bei der Gesellschaft für Datenschutz und Datensicherheit gibt es einen Mustervertrag zur Auftragsverarbeitung – auch in englischer Sprache.

Datenschutz-Folgenabschätzung

Wer besonders sensible persönliche Daten verarbeitet, der muss eine Datenschutz-Folgenabschätzung (DSFA) machen. Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein hat in Zusammenarbeit mit weiteren Partnern im Rahmen des Projekts „Forum Privatheit“ ein allgemeingültiges Modell zur vollständigen Durchführung einer DSFA erarbeitet, an dem sich Unternehmen orientieren können.

Musterschreiben zur Auskunftserteilung

Die DSGVO stärkt die Betroffenenrechte – dazu gehört auch das Recht auf Auskunft über die personenbezogenen Daten, die Unternehmen gespeichert haben. Unternehmen sind verpflichtet, auf Auskunftsanfragen zu reagieren.

Die Wirtschaftskammer Österreich hat hierfür ein Musterschreiben veröffentlicht, das man sich im Word- oder PDF-Format herunterladen kann.

Datenpanne melden

Mit der DSGVO wurden die Vorgaben für die Meldepflicht bei Datenschutz-Verletzungen verschärft. Datenpannen müssen künftig innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden. Hier finden Sie eine Liste der deutschen Aufsichtsbehörden. Teilweise bieten diese auf ihren Websites die Möglichkeit, Datenpannen online zu melden. Und auf der Seite des Bayerisches Landesamt für Datenschutzaufsicht können Sie sich anschauen, welche Angaben eine solche Meldung enthalten muss.

Der Newsletter für Unternehmer

Sie wollen mit Ihrem Business durchstarten? Dann abonnieren Sie unseren Newsletter mit genialen Tipps, Denkanstößen und erprobten Strategien, die Unternehmer und Selbstständige nach vorn bringen.

Unsere Themen:
Mitarbeiterführung ✩ Produktivität ✩ Recht + Steuern
Kundengewinnung ✩ Selbstmanagement ✩ Motivation

Jeden Morgen in Ihrem Postfach – jetzt kostenlos anmelden! Unternehmer-Newsletter
2 Kommentare
  • Martin Aschoff 17. Juli 2018 13:41

    Ein wirklich toller und sehr hilfreiche Artikel. Vielen Dank dafür! Im Tagesgeschäft mag die DSGVO höchst bürokratisch sein, aber sie ist ein notwendiger Schritt in Richtung informationeller Selbstbestimmung. Dank Neuregelungen wie den Einwilligungsanforderungen, dem Auskunftsrecht oder dem sogenannten „Recht auf Vergessenwerden“ wurden unsere Rechte als Betroffene erheblich gestärkt. Leider geht in der Diskussion um die DSGVO der CLOUD Act völlig unter.

    Das US-Gesetz CLOUD Act – kurz für „Clarifying Lawful Overseas Use of Data Act“ – und erlassen am 23. März 2018, erlaubt es US-Behörden, auf personenbezogene Daten im Ausland zuzugreifen. Damit setzt der CLOUD Act die Errungenschaften der DSVGO völlig außer Kraft.

    Der Provider – laut US-Gesetz jede Institution, die Daten sammelt oder bereitstellt – darf ab dem Zeitpunkt der Anfrage keine Daten mehr löschen (auch nicht außerhalb der USA) und ist auch nicht verpflichtet, die betroffene Person beziehungsweise das Unternehmen über den Zugriff zu informieren. Handelt es sich um eine Person, die kein US-Bürger oder -Bewohner ist, oder um ein außerhalb der USA registriertes Unternehmen, kann der Provider Widerspruch gegen den Datenzugriff einlegen. Theoretisch – denn die US-Behörden können vor Gericht gegen den Widerspruch klagen. Ist der Datenzugriff „im Interesse der USA“, wird zugunsten der US-Behörden entschieden und die Daten müssen unmittelbar übergeben werden. Der Provider wird sich also tunlichst überlegen, ob er sich tatsächlich mit den US-Behörden anlegt, denn die Rolle des Gewinners scheint von Anfang an festzustehen…

    Doch es wird noch abstruser: Verabschiedet wurde der CLOUD Act als Anhängsel des 2.232-seitigen US-Haushaltsplans. Dieser führt eigentlich die veranschlagten Einnahmen und Ausgaben des Haushaltsjahres auf. Man könnte fast meinen, das Gesetz sollte unentdeckt durchgewunken werden. Wie es der Zufall will, setzt der CLOUD Act auch einem seit Jahren andauernden Streit zwischen Microsoft und den US-Behörden ein Ende. Microsoft weigerte sich, E-Mail-Daten herauszugeben, die sich auf Servern in Irland befanden. Dank des CLOUD Acts ist der Datenzugriff für die USA nun gesichert.

    Fragen Sie sich jetzt auch, wie sich der CLOUD Act mit unserer DSVGO vereinbaren lässt? Die Antwort: Überhaupt nicht. Es ist vielmehr so, dass der CLOUD Act die Errungenschaften der DSVGO völlig außer Kraft setzt. Unterhalten europäische Provider Niederlassungen in den USA, unterliegen sie automatisch dem CLOUD Act. Mit der Folge, dass US-Behörden Zugriff auf die europäischen Server fordern können. Die betroffenen Personen werden höchstwahrscheinlich niemals davon erfahren. Datenschutz sieht definitiv anders aus. Als Folge dessen hat der Innenausschuss des EU-Parlaments die EU-Kommission ultimativ aufgefordert, das Datenschutz-Abkommen „EU-US Privacy Shield“ als Folge des CLOUD Act zum 1. September zu kippen, wenn sich die US-Seite nicht an die Vereinbarungen von 2016 hält.

    Selbstverständlich ist die Weitergabe personenbezogener Daten von EU-Bürgern an US-Behörden ohne Zustimmung eines EU-Gerichts ein Verstoß gegen die DSVGO. Und die betroffenen Personen haben auch das Recht, gegen die Verantwortlichen vorzugehen und Schadensersatz zu fordern, selbst für immaterielle Schäden. Doch wie sollen sie dieses Recht in Anspruch nehmen können, wenn die Provider laut CLOUD Act nicht über einen Zugriff informieren müssen?

    Es ist daher zwingend notwendig, dass die Kollision von CLOUD Act und DSVGO nicht länger totgeschwiegen wird und sich die Aufmerksamkeit von Politik und Medien auf dieses brisante Thema richtet. Solange die Rechtslage so unsicher ist, lässt sich das Problem nur lösen, indem Privatpersonen und Unternehmen keine Provider mit US-Niederlassung wählen oder diese verpflichten, sie zumindest über Anfragen im Rahmen des CLOUD Act zu informieren.

  • Tilo 5. Juli 2018 09:07

    Klasse Artikel. Habe mir einen Favoriten Ordner mit den genannten Mustervorlagen angelegt. Danke.

Hinterlassen Sie einen Kommentar

(Die Redaktion schaltet Kommentare montags bis freitags von 10 bis 18 Uhr frei. Die Angabe von Name und E-Mail-Adresse ist freiwillig. IP-Adressen werden nicht gespeichert. Mit der Abgabe eines Kommentars stimmen Sie unseren Datenschutzbestimmungen zu.)