Wenn am 25. Mai 2018 die neue Datenschutz-Grundverordnung in Kraft tritt, drohen Unternehmen hohe Strafen. Wie Sie sich jetzt vorbereiten – unsere DSGVO-Checkliste.

Am 25. Mai tritt die neue Datenschutz-Grundverordnung (DSGVO) in Kraft, die Unternehmer zwingen soll, persönliche Daten von Kunden und Mitarbeitern besser zu schützen. Seither hängt dieses Gesetzesungetüm (99 Artikel) wie ein Damoklesschwert über vielen Unternehmen. Denn erstens ist für Nicht-Juristen (und auch für einige Juristen) kaum zu durchschauen, was nun eigentlich zu tun ist. Und zweitens sind die Strafen, die im Raum stehen, gepfeffert (was Unternehmen im schlimmsten Fall droht und wie wahrscheinlich eine Abmahnung ist, lesen Sie in unserem Artikel DSGVO: Das müssen Sie wissen).

Mit der Checkliste, die wir mit Unterstützung des Bundesverbandes Digitale Wirtschaft (BVDW) erstellt haben, sind Sie vorbereitet.

  1. Datenschutzbeauftragten benennen, wenn nötig

Unternehmen müssen unter bestimmten Voraussetzungen einen Datenschutzbeauftragten benennen. Er ist Pflicht, wenn im Unternehmen personenbezogene Daten automatisiert verarbeitet werden, also per EDV. Personenbezogene Daten sind insbesondere Kundendaten und Mitarbeiterdaten. (Was er genau können muss und welche Aufgaben er hat, lesen Sie in unserem Überblicksartikel zum Thema Datenschutzbeauftragter.)

Ausnahme: Für kleine Betriebe macht die Verordnung eine Ausnahme: Sind regelmäßig nur neun oder weniger Mitarbeiter mit der Verarbeitung personenbezogener Daten beschäftigt, braucht ein Unternehmen KEINEN Datenschutzbeauftragten. Dann kann der Geschäftsführer selbst den Datenschutz übernehmen. Achtung: Es sind auch jene Mitarbeiter zu berücksichtigen, die nur ab und an Daten verarbeiten, etwa Zugriff auf die Kundendatenbank haben. Es spielt keine Rolle, ob ein Mitarbeiter Teil- oder Vollzeit arbeitet, freier oder fester Mitarbeiter ist, Praktikant oder Auszubildender. Entscheidend ist die Anzahl der Köpfe.

Wann die Ausnahme nicht gilt: Das Unternehmen verarbeitet Daten, für die eine Datenschutz-Folgenabschätzung nötig ist. Das ist bei allen Daten der Fall, bei denen ein hohes Risiko für die Betroffenen besteht, etwa bei Daten zu ihrer ethnischen Herkunft, sexuellen Orientierung, Gesundheit oder zur politischen Einstellung. Auch eine kleine psychotherapeutische Praxis, die solche Daten in der Patientenakte speichert, braucht also einen Datenschutzbeauftragten.

 Was muss der Datenschutzbeauftrage können?

Die Fachkunde des Datenschutzbeauftragten muss sichergestellt sein, etwa durch Fortbildungen bei der Industrie- und Handelskammer.

  1. „Verzeichnis der Verarbeitungstätigkeiten“ anlegen

Jedes Unternehmen muss ein sogenanntes „Verzeichnis der Verarbeitungstätigkeiten“ anlegen (dies ergibt sich aus Art. 30 der DSGVO). „Das klingt hochtrabend, ist aber nur eine simple Tabelle“, entwarnt Michael Neuber, Justiziar beim Bundesverband Digitale Wirtschaft (BVDW). In der Tabelle listet man auf, welche Daten wann, wie und warum im Unternehmen erhoben werden. Etwa die Daten seiner Kunden: Name, Adresse, Telefonnummer.

Achtung: Hier nicht die internen Daten vergessen, die verarbeitet werden, etwa Personaldaten, Daten aus der Lohnbuchhaltung und so weiter.

„So eine Tabelle reicht den Datenschutzbehörden meistens schon“, sagt Neuber. „Die haben gar keine Zeit und keine Ressourcen, jeden Handwerksbetrieb zu prüfen. Die haben zehn Leute für 60.000 Unternehmen.“

Bei größeren Unternehmen sollte ein Projektverantwortlicher ernannt werden, der alle Mitarbeiter, die Datenverarbeitung verantworten (und eventuell auch Lieferanten und Partner) befragt.

Abgefragt werden sollte:

  • Welche Informationen erhalten Betroffene (zum Beispiel die Kunden) über die Erhebung und Speicherung personenbezogener Daten?
  • Wie werden diese Informationen erteilt: Stehen Sie zum Beispiel in den AGB, in einem Text neben einer Checkbox auf der Website oder teil man sie mündlich mit?
  • Welche Daten werden erhoben, welchem Zweck dient die Datenerhebung, wie werden diese Daten weiterverarbeitet? Daraus leitet sich ab, ob es eine gesetzliche Erlaubnis gibt, die Daten zu verarbeiten – etwa bei einer Vertragsbeziehung – oder ob der Betroffene der Datenverarbeitung erst zustimmen muss.
  • Werden Daten anonymisiert oder pseudonymisiert?
  • Wie lange werden die Daten gespeichert?
  • Werden die Daten weitergegeben? Wenn ja, an wen? Ist dieser ebenfalls für den Datenschutz verantwortlich?
  • Wo werden die Daten gespeichert? Werden sie außerhalb der EU gespeichert? Falls ja: Sind die Voraussetzungen zur Übermittlung in Drittstaaten erfüllt?
  • Werden die Daten ausreichend durch technische und organisatorische Maßnahmen geschützt?

Daraus erstellt man dann ein Verarbeitungsverzeichnis.

Bei einem Frisör könnte das Verarbeitungsverzeichnis zum Beispiel so aussehen:

 

  1. Kundenstammdaten
Verantwortlich Salonleiterin Monika Schwarz, Adresse, Telefonnummer
Zweck Terminabsprache, Erbringung der Frisördienstleitung
Betroffene Kunden des Frisörsalons Haarscharf
Wer kann auf die Daten zugreifen? Alle Mitarbeiter des Frisörsalons Haarscharf
Datenkategorie Kundenstammdaten (Name, Telefonnummer, E-Mail-Adresse)

Frisur (Haarschnitt, Haarfarbe, bevorzugter Frisör)

Übermittlung an Drittstaaten Nein
Löschfrist Bei Widerruf des Betroffenen
Rechtsgrundlage  DSGVO Art. 6, Abs. 1b
Einwilligung des Betroffenen Jeder Kunde wird auf die Erfassung der Daten durch die Mitarbeiter mündlich hingewiesen und darauf aufmerksam gemacht, dass er diese Daten jederzeit einsehen und löschen lassen kann.
  1. Bewerberdaten
Verantwortlich Geschäftsführerin Brigitte Weiß, Adresse, Telefonnummer
Zweck Bewerbermanagement
Betroffene Bewerber
Wer kann auf die Daten zugreifen? Geschäftsführerin Brigitte Weiß, Ausbildungsleiterin Gerda Rot
Datenkategorie Bewerbungsmappen, Lebensläufe, Adressdaten (Name, Adresse, Telefonnummer, E-Mail-Adresse)
Übermittlung an Drittstaaten Nein
Löschfrist Sechs Monate nach Beendigung des Bewerbungsverfahrens
Rechtsgrundlage Art. 13 Abs. 1 und Abs. 2 DSGVO
Einwilligung des Betroffenen Bewerber werden mit einer automatischen E-Mail über den Zweck der Datenerhebung und die Dauer der Datenaufbewahrung informiert.

 

Die Unternehmen müssen darüber hinaus den Weg der Daten nachzeichnen, von der Erhebung (etwa bei einer Online-Terminvergabe beim Frisör) über die Speicherung (etwa bei einem externen Anbieter für Terminmanagement) bis hin zur Nutzung (zum Beispiel durch die Mitarbeiter).

Ein solches Verzeichnis ist übrigens schon nach dem alten Bundesdatenschutzgesetz verpflichtend, die wenigsten haben es aber bis jetzt geführt.

  1. Prozesse festlegen und Prozesshandbuch schreiben

Unternehmer sollten jetzt alle mit Datenverarbeitung verbundenen Prozesse dokumentieren und – wenn nötig – optimieren. Zum Beispiel:

  • Wie werden Kunden über die Verarbeitung ihrer Daten informiert?
  • Wie reagieren Mitarbeiter, wenn Kunden fragen, welche Daten von ihnen gespeichert wurden?
  • Was ist der Prozess, wenn ein Kunde darauf besteht, dass seine Daten gelöscht werden? Wer ist dafür verantwortlich?
  • Was ist der Prozess, falls es zu einem Datenleck kommt und personenbezogene Daten in falsche Hände geraten? Denn Achtung: Kommen die Daten abhanden, zum Beispiel durch einen Hackerangriff, müssen Unternehmen binnen 72 Stunden die zuständige Landesdatenschutzbehörde informieren.
  • Ist das Ziel, warum Daten gespeichert wurden, erreicht, müssen die Daten gelöscht werden (Bei einem Gewinnspiel etwa nach der Ermittlung der Gewinner). Wie ist der Löschprozess organisiert?
  • Wie werden Mitarbeiter geschult, damit sie diese Prozesse kennen und ausführen können?
  1. Datenschutz-Folgeabschätzung durchführen, wenn nötig

Wer mit besonders sensiblen Daten arbeitet – etwa Arztpraxen oder Versicherungsmakler – muss damit besonders umsichtig umgehen und unter Umständen eine so genannte Datenschutz-Folgeabschätzung durchführen. Das gilt für alle Unternehmen, die eine Identifizierung und Kategorisierung der Person ermöglichen nach Themen wie zum Beispiel  Sexualität, Krankheiten, Finanzen, rassische oder ethnische Herkunft oder politischen Ansichten – denn hier besteht ein besonders hohes Risiko für die Betroffenen, wenn diese Daten missbraucht werden. Eigentlich sollen die Datenschutzbehörden eine Liste herausgeben, die besagt, welche Datenverarbeitungsvorgänge eine Datenschutz-Folgeabschätzung voraussetzen. Diese Liste gibt es aber bisher nicht, sodass im Einzelfall entschieden werden muss. Ein hohes Risiko kann sich aus der Art der Daten, ihrem Umfang oder dem Zweck der Datenverarbeitung ergeben.

Ziel der Datenschutz-Folgeabschätzung ist, die Risiken für die Persönlichkeitsrechte der betroffenen Personen zu kennen, um so geeignete Schutzmaßnahmen treffen zu können.

Worin besteht eine Datenschutz-Folgeabschätzung?

  • Beschreibung der Datenverarbeitungsvorgänge.
  • Beschreibung des Zwecks der Datenverarbeitung und Begründung, warum das Unternehmen ein berechtigtes Interesse daran hat. Die Datenverarbeitung muss im Hinblick auf den Zweck verhältnismäßig sein.
  • Beschreibung der Risiken, die für betroffene Personen bestehen.
  • Dokumentation: Was wird technisch und organisatorisch getan, um diese Daten gegen unberechtigten Zugriff oder Weitergabe zu sichern?
  • Dokumentation: Wie wird im Falle eines Leaks verfahren?
  • Dokumentation: Welche Kontrollmechanismen greifen, damit die Daten geschützt bleiben?

Wichtig: Die Landesdatenschutzbehörden haben hier übrigens eine beratende Funktion.

  1. Alle Anstrengungen dokumentieren

Unternehmer sollten alle ihre Anstrengungen dokumentieren: Zu welchem Seminar ist der Datenschutzbeauftragte gegangen? Welche Firewall wurde wann installiert? Welche Verträge wurden mit Dienstleistern geschlossen? Denn selbst bei Datenlecks oder Verstößen wie Fehlern in der Datenschutz-Erklärung besteht bei guter Dokumentation die Chance, ohne Bußgeld davonzukommen. Dafür muss man aber die Unterlagen auf Anfrage umgehend vorlegen können.

Artikel verfasst von Nicole Basel, Digitalchefin