Privacy Top 20 Ratgeber

DSGVO-Checkliste: Was Sie über die neue Datenschutzgrundverordnung wissen müssen

Sobald Sie folgende Kriterien erfüllen, sind Sie als Unternehmer seit dem 25. Mai 2018 dazu verpflichtet, die neue DSGVO rechtskonform umzusetzen:

  • Sie sind Auftragsverarbeiter und arbeiten mit den gesammelten Informationen Ihres Auftraggebers, der Ihre Dienstleistungen in Anspruch nimmt.
  • Sie bieten Dienstleistungen an oder verkaufen Waren innerhalb der EU.
  • Sie beschäftigen mindestens neun Mitarbeiter, zu deren Aufgaben die Datenverarbeitung gehört.
  • Sie betreiben eine Webseite (oder einen Online-Shop).

Im Rahmen dieser Tätigkeiten verarbeiten Sie personenbezogene Daten. Die Datenschutz-Grundverordnung ist daher notwendig, um die Informationen über Ihre Kunden, Mitarbeiter und Geschäftspartner optimal zu schützen. Doch die Flut an Vorschriften, Regeln und Paragraphen kann zunächst sehr unübersichtlich und unverständlich sein. In unserer DSGVO-Checkliste beantworten wir die häufigsten Fragen zu diesem Thema. Verschaffen Sie sich einen Überblick darüber, was Sie wissen müssen, um die neuen Datenschutzstandards einzuhalten.

Was sind überhaupt personenbezogene Daten?

Wenn wir von der Datenschutzgrundverordnung sprechen, dann geht es immer um den Schutz personenbezogener Daten. Zu diesem sind mittlerweile alle Unternehmen verpflichtet, die in der EU ansässig sind oder ihre Produkte bzw. Dienstleistungen innerhalb Europas anbieten. Dennoch stellen sich betroffene Firmen am Anfang oft die Frage, um welche Informationen es sich genau handelt:

  • Name
  • Alter
  • Kennnummern
  • Bankdaten
  • Standortdaten
  • IP-Adressen
  • Religion
  • Sexualität
  • Politische Ausrichtung
  • Online-Kennung
  • Cookies
  • Kfz-Kennzeichen
  • etc.

Sobald es Ihnen oder Dritten theoretisch möglich wäre, anhand der gesammelten Informationen Rückschlüsse auf eine Person ziehen zu können, treten die verschärften Richtlinien in Kraft. Aus diesem Grund ist es wichtig, dass Sie die einzelnen Punkte dieser DSGVO-Checkliste genau einhalten. Achtung: Denken Sie daran, dass die Thematik gerade im Gesundheitswesen einen noch höheren Stellenwert einnimmt, da in diesem Bereich hochsensible Daten verarbeitet werden. Sind Sie Arzt? Dann empfehlen wir Ihnen unseren Ratgeber „Datenschutz in Ihrer Arztpraxis“.

Was ändert sich für Sie?

Im internationalen Vergleich schnitt Deutschland schon vor Einführung der aktuellen EU-DSGVO in Sachen Datenschutz sehr gut ab. Wenn Sie unsere DSGVO-Checkliste nutzen, werden Sie feststellen, dass Sie in einigen Bereichen bereits sehr gute Vorarbeit geleistet haben. Die Regelungen in der Bundesrepublik sind seit vielen Jahren sehr streng, werden nun aber dennoch deutlich verschärft:

  • Drittländer stehen ebenfalls in der Verantwortung:
  • Bisher war es so, dass Unternehmen außerhalb der EU nicht von den hiesigen Vorschriften betroffen waren. Dies ändert sich nun. Firmen, die keinen Sitz in der Eurozone haben, müssen einen EU-Vertreter bestimmen. Dieser fungiert als Ansprechpartner in allen Belangen, die den Datenschutz betreffen. Wir empfehlen bei Bedarf einen Artikel 27-Vertreter-Vergleich auf unserer Plattform.
  • Höhere Anforderungen an Datensysteme:Sie sind dazu verpflichtet, alle notwendigen technischen sowie organisatorischen Maßnahmen zu treffen, um personenbezogene Daten vor dem Zugriff Unbefugter zu schützen. Mehr dazu erfahren Sie in dieser DSGVO-Checkliste unter „IT-Sicherheit“.
  • Verbraucherschutz durch Einwilligung:Diese war zwar bisher bereits notwendig, sie erhält nun jedoch einen deutlich höheren Stellenwert. Es empfiehlt sich daher, Ihre Kunden erneut darauf hinzuweisen und sich deren Einwilligung zur Verarbeitung ihrer Daten zu holen. Gleichzeitig ist es nötig, dass Sie die Betroffenen darüber in Kenntnis setzen, in welchem Rahmen Sie ihre Informationen verarbeiten.
  • Recht auf Vergessenwerden:Sofern Sie keine Aufbewahrungsfristen verletzen, sind Sie dazu verpflichtet, auf Wunsch alle personenbezogenen Daten unwiderruflich zu löschen.

DSGVO-Checkliste: Schritt für Schritt zu mehr Sicherheit

Obwohl die neue Datenschutzgrundverordnung bereits im Mai vergangenen Jahres in Kraft trat, gibt es noch viele Firmen, die nicht ausreichend gerüstet sind. Doch die Bundesregierung greift bei diesem Thema hart durch. Die Aufsichtsbehörden beginnen bereits, immer mehr Betriebe zu prüfen. Wenn Sie sich nicht sicher sind, ob Sie wirklich alle Vorschriften beachtet haben, wird Ihnen diese Checkliste für Unternehmen dabei helfen, die DSGVO konform umzusetzen:

Datenschutzbeauftragter

In unserer DSGVO-Checkliste nimmt dieser Bereich einen hohen Stellenwert ein. Denn bei einem Datenschutzbeauftragten handelt es sich um einen Experten, der sich intensiv mit der Materie beschäftigt hat und weiß, auf welche Vorgaben Sie besonders achte müssen.

Ihnen stehen zwei Möglichkeiten zur Verfügung: Entweder Sie bilden eine Person aus Ihrer Firma zu einem internen Datenschutzexperten aus oder Sie bestellen einen externen Fachmann. Beide Varianten haben ihre Vor- und Nachteile. Diese haben wir bereits auf unserer Plattform in der Kategorie „externer Datenschutzbeauftragter im Vergleich“ für Sie aufgelistet.

Ein Beauftragter ist erforderlich, wenn folgende Kriterien auf Sie zutreffen:

  • Mehr als neun Personen in Ihrem Unternehmen verarbeiten permanent personenbezogene Daten.
  • Die Verarbeitung gehört zu Ihren Kerntätigkeiten.
  • Die Verarbeitung fördert ein erhöhtes Sicherheitsrisiko für die Betroffenen.
  • Es handelt sich um hochsensible oder um besondere Kategorien personenbezogener Daten (z. B. im Gesundheitswesen).

Generell empfehlen wir auch kleineren Betrieben einen Datenschutzbeauftragten. Die Thematik DSGVO ist – besonders für Laien – äußerst umfangreich. Ein fachkundiger Experte kann Ihre Bedenken aus dem Weg räumen und erfolgreich die notwendigen Maßnahmen für Sie treffen.

Auftragsverarbeitungsvertrag

Dieser ist zwingend notwendig, sobald Sie Dritte mit der Verarbeitung personenbezogener Daten beauftragen. Dies ist zum Beispiel sehr häufig der Fall, wenn Unternehmen bestimmte Bereiche outsourcen – wie die Buchhaltung. Im digitalen Zeitalter trifft dies ebenfalls auf Cloud-Dienste zu. Wenn Sie ebenfalls Strukturen oder Prozesse Ihres Unternehmens auslagern, sollten Sie diesen Punkt der DSGVO-Checkliste schnellstmöglich prüfen.

Der Inhalt des Auftragsverarbeitungsvertrags ist in Art. 28 DSGVO geregelt. Er umfasst unter anderem:

  • Dauer und Zweck der Verarbeitung
  • Auflistung aller relevanten personenbezogenen Daten
  • Weisungsbefugnisse
  • Rechte und Pflichten sowohl des Auftragsverarbeiters als auch des Verantwortlichen

Ein besonderes Augenmerk sollte die Rechenschaftspflicht einnehmen. Legen Sie detailliert fest, in welchem Rahmen personenbezogene Daten verarbeitet werden dürfen. Nur so gewährleisten Sie einen ausreichenden Schutz sowohl für die Betroffenen als auch für Ihr eigenes Unternehmen.

Verzeichnis der Verarbeitungstätigkeiten

Sie sind dazu verpflichtet, alle Verarbeitungstätigkeiten ausführlich zu dokumentieren. Das bedeutet, dass Sie laut Art. 30 DSGVO auflisten müssen, warum Sie personenbezogene Daten verarbeiten, in welchem Rahmen dies geschieht und wie sie es tun. Besprechen Sie diesen Punkt auf Ihrer DSGVO-Checkliste unbedingt mit Ihrem Datenschutzbeauftragten (sofern vorhanden) oder ziehen Sie einen Experten hinzu.

Achtung: Es handelt sich hierbei nicht um eine einmalige Aufgabe. Das Verzeichnis müssen Sie fortlaufend auf dem aktuellen Stand halten. Die relevantesten Punkte sind:

  • Name und Kontaktdaten des Verantwortlichen
  • Art der Daten
  • Zweck der Verarbeitung
  • Betroffene
  • Einschätzung des Risikos
  • Rechtsgrundlage
  • Zugriffsberechtigte Personen
  • Gegebenenfalls Auftragsverarbeiter
  • Dauer der Verarbeitung
  • Datenschutz-Maßnahmen

Sie sehen, diese Aufgabe nimmt viel Zeit in Anspruch. Dennoch bleibt kein Raum für Fehler. Denn Datenschutzbeauftragte haben jederzeit das Recht, Ihre Aufzeichnungen einzusehen.

Datenschutzerklärung

Sofern Sie eine eigene Website oder einen Online-Shop betreiben, sollten Sie sich diesen Punkt unserer DSGVO-Checkliste genau durchlesen. Denn im Internet darf eine Datenschutzerklärung nicht fehlen. Diese ist notwendig, um Ihre Nutzer darüber zu informieren, dass Sie personenbezogene Daten verarbeiten. Achten Sie zwingend darauf, dass die Datenschutzerklärung vollständig ist. Im schlimmsten Fall erhalten Sie sonst eine DSGVO-Abmahnung.

Achtung: Formulieren Sie die Erklärung verständlich. Ansonsten wäre es möglich, dass man Ihnen einen Wettbewerbsvorteil durch unklare Ausdrücke vorwirft.

Folgende Punkte sind Bestandteil der Datenschutzerklärung:

  • Kontaktdaten des Webseiten-Betreibers
  • Kontaktdaten des Datenschutzbeauftragten
  • Zweck der Verarbeitung
  • Rechtsgrundlage
  • Speicherdauer
  • Auskunftsrecht
  • Betroffenenrechte

Sofern Sie durch verschiedene Tools oder Plug-Ins Profiling betreiben, müssen Sie dies ebenfalls kenntlich machen.

Datenschutzfolgenabschätzung

Diese ist zwingend erforderlich, wenn Sie sensible Informationen verarbeiten die ein erhöhtes Risiko für die Betroffenen beinhalten. Sofern Sie eine Datenschutzfolgenabschätzung erstellen, sind Sie dazu verpflichtet, einen Datenschutzbeauftragten hinzuzuziehen. Dieser prüft zunächst, ob eine Verarbeitung möglich ist.

Auch für diesen Punkt gibt die DSGVO klare Richtlinien vor, welche wir Ihnen in unserer Checkliste „Datenschutz im Unternehmen“ natürlich nicht vorenthalten wollen:

  • Beschreibung der Vorgänge sowie deren Zweck
  • Bewertung der bestehenden Notwendigkeit
  • Bewertung der Verhältnismäßigkeit
  • Bewertung der Risiken
  • Entsprechende Abhilfemaßnahmen

Genaue Vorgaben bezüglich des Umfangs gibt es nicht. Wir empfehlen Ihnen aber, größte Sorgfalt walten zu lassen.

IT-Sicherheit

Laut Art. 32 DSGVO werden adäquate Maßnahmen vorgeschrieben, mit denen Sie das Risiko für Betroffene minimieren. Diese Datenschutz-Checkliste gibt Ihnen einen ersten Überblick:

  • Verschlüsselungstechnologien: Dazu zählen unter anderem SSL für Ihre Website, S/MIME bei Ihren E-Mails oder Passwörter zum Öffnen einer Datei.
  • Zugangsschutz: Achten Sie darauf, dass nur berechtigte Mitarbeiter Zugriff auf personenbezogene Daten haben. Sichern Sie zudem Ihre Serverräume vor Unbefugten.
  • Mitarbeiterschulungen: Sensibilisieren Sie Ihre Angestellten für das Thema Datenschutz. Oft liegt das höchste Risiko bei humanen Ressourcen.
  • Zertifizierung:Aktuell gibt es noch keine expliziten Richtlinien, wie dieses Datenschutz-Zertifikat aussehen soll.

Achtung: Sofern es bei Ihnen zu einer Datenpanne (Date Breach Notification) kommen sollte, sind Sie laut Art. 33 DSGVO dazu verpflichtet, diese innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde mitzuteilen!

Vorsicht ist besser als Nachsicht

Die Datenschutz-Grundverordnung stellt hohe Ansprüche an europäische Unternehmen. Unserer DSGVO-Checkliste können Sie entnehmen, wie umfangreich es ist, alle Vorgaben rechtskonform umzusetzen. Sie sollten sich daher unbedingt die Zeit nehmen, im Vorfeld bereits alle Punkte aufzuschlüsseln, bei denen Handlungsbedarf besteht. Nehmen Sie sich die Zeit, alle Richtlinien zu prüfen. Denn im schlimmsten Fall drohen Ihnen sonst horrende Bußgelder.