Stichwortsuche

Foto: Fotolia/guukaa
Service

Datenschutzgrundverordnung umsetzen!

Jedes Unternehmen muss seinen Umgang mit personenbezogenen Daten der seit Ende Mai geltenden Datenschutzgrundverordnung anpassen. Um zu wissen, was zu tun ist, hier ein kurzer Überblick über die wichtigsten Änderungen.

Marktortprinzip
Das neue, einheitliche europäische Datenschutzrecht gilt für Betriebe, die ihren Standort innerhalb der EU haben ebenso wie für Unternehmen aus Drittländern, die ihre Waren und Dienstleistungen innerhalb der EU anbieten.

Mehr Transparenz für Verbraucher
Jeder Kunde darf abfragen, welche persönlichen Daten ein Unternehmen über ihn gesammelt hat. Unternehmen müssen transparent darlegen, wann und zu welchem Zweck persönliche Kundendaten wie lange gespeichert wurden. Eine kleine Ausnahme: Die Neufassung des Bundesdatenschutzgesetzes (BDSG), ebenfalls seit dem 25. Mai gültig, schränkt den Informationsanspruch in wenigen Fällen ein. Beispielsweise für Kleinstbetriebe, die Datenerfassung analog betreiben.

Recht auf Vergessenwerden
Fotos, Postings, Blogs oder Kleinanzeigen – Internetnutzer können von den Unternehmen, die die betroffenen Dienste anbieten, verlangen, persönliche Daten entfernen zu lassen.

Datenportabilität
Verbraucher dürfen ihre Daten verlangen, um sie beispielsweise bei einem Vertragswechsel zu einem anderen Unternehmen mitzunehmen.

Anlaufstelle bei Datenschutzfragen
Bürger können sich direkt an die inländische Aufsichtsbehörde wenden, wenn der Verdacht einer nicht konformen Nutzung personenbezogener Daten besteht. Für deutsche Staatsbürger ist die deutsche Aufsichtsbehörde zuständig, auch wenn das Unternehmen, auf das sich der Verbraucher bezieht, woanders sitzt.


Mit Blick auf diese Änderungen und die damit verbundenen Vorschriften zur Sammlung, Verarbeitung und Speicherung personenbezogener Daten sollten Sie systematisch einige Schritte abarbeiten, um Ihr Unternehmen schon bald auf der datensicheren Seite zu haben:

Schritt 1: Bestandsanalyse durchführen
Der erste Schritt ist vermutlich der umfangreichste: Listen Sie auf, wo, warum und auf welcher rechtlichen Grundlage (z. B. Vertrag, Einwilligung) Sie kundenspezifische Daten erfassen und verarbeiten. Fassen Sie diese „Dateninventur“ über alle Bereiche hinweg (Geschäftsführung, IT-Abteilung, Kundenservice...) schriftlich zusammen und halten Sie dabei auch fest, wo und für welche Zwecke Sie die Angaben verwenden, wie lange die Daten gespeichert werden, wer Zugriff darauf hat und an wen die Informationen weitergegeben werden. Zeitintensiv, zugleich aber auch die Chance, einen Überblick zu erhalten, Dopplungen zu eliminieren und Synergien durch Zusammenfassung auf einer einzigen Plattform zu schaffen.

Schritt 2: Verarbeitungsverzeichnis erstellen
Das Verarbeitungsverzeichnis listet auf, warum die Daten erhoben werden, welche Ansprechpartner im Unternehmen zuständig sind oder auch, welche Maßnahmen es zur Datensicherheit gibt. Rechtskonforme Muster dazu lassen sich im Internet finden
(siehe Kasten).

Schritt 3: Notfallplan für Datenschutzverletzungen
Um Verbraucherdaten zu schützen, müssen Unternehmen im Falle von Datenschutzverletzungen (z.B. Hackerangriffe) die zuständige Datenschutzbehörde binnen 72 Stunden informieren. Dies ist über einen entsprechenden Online-Service der Behörde möglich. Legen Sie fest, wer in Ihrem Unternehmen bei Datenschutzverletzungen umgehend zu informieren ist und die zuständige
Datenschutzbehörde in Kenntnis setzt. Im Zuge dessen bietet es sich an, gleich einen kritischen Blick auf die interne Datensicherheit zu werfen: Ist Ihre IT sicher und umfassend geschützt? Wie sieht es aus mit Passwortsicherungen, Backup-Systemen und Zugriffsbeschränkungen?

Schritt 4: Auftragsverarbeitungsvertrag formulieren
Sobald ein Unternehmen einen externen Dienstleister mit der Verarbeitung personenbezogener Daten beauftragt (z.B. externe Buchhalter, Hoster oder IT-Unternehmen), muss nach DSGVO vorab ein Auftragsverarbeitungsvertrag geschlossen werden. Als Grundlage kann ein entsprechender Mustervertrag genommen werden (siehe Kasten).

Sind diese Schritte abgearbeitet, so sind Sie bereits einen großen Abschnitt des DSGVO-Weges gegangen. Wichtig: Dokumentieren Sie alle Schritte sorgfältig und genau. Denn wenn es zu einer Überprüfung kommt, sollten Sie nachweisen können, dass Sie sich mit der Erfüllung der Datenschutzgrundverordnung auseinandergesetzt haben.

Passen Sie im Folgenden Ihre Allgemeinen Geschäftsbedingungen der DSVGO an, prüfen Sie Disclaimer auf der Firmenwebsite ebenso wie – falls vorhanden – Newsletterbuchungen (Stichwort: Double-Opt-in).

Behalten Sie künftig stets im Auge, dass Sie nach der DSGVO Daten über natürliche Personen nur erheben, speichern und verarbeiten dürfen, wenn dafür ein „gesetzlicher Erlaubnistatbestand“ vorliegt. Artikel 6 der DSGVO beschreibt entsprechende Fälle:

  • die betroffene Person hat der Datenerhebung freiwillig und eindeutig zugestimmt,
  • die Datenverarbeitung ist für die Erfüllung des Vertrags mit dem jeweiligen Kunden erforderlich,
  • gesetzliche Pflichten machen die Datenverarbeitung notwendig,
  • Schutz von Leib und Leben machen die Datenverarbeitung notwendig (z.B. in einem Krankenhaus oder auf einer Gesundheitskarte),
  • die Datenverarbeitung ist notwendig, damit eine Person eine bestimmte Aufgabe im öffentlichen Interesse erledigen kann.

Richten Sie Ihren Blick unternehmensintern auch nach innen

Die Daten von Arbeitnehmern unterliegen ebenfalls den erhöhten Anforderungen der DSGVO. So müssen Arbeitnehmer der Verarbeitung ihrer persönlichen Daten zustimmen, sofern die Datenverarbeitung nicht vom Arbeitsvertrag gedeckt ist (z.B. Fotos eines Mitarbeiters auf der Unternehmenswebsite).

Datenschutzbeauftragter nötig?

Ein Datenschutzbeauftragter muss bestellt werden, wenn

  • mindestens 10 Personen ständig mit der automatisierten personenbezogenen Datenverarbeitung beschäftigt sind und/oder
  • die Kerntätigkeit des Unternehmens die umfangreiche und systematische Überwachung von Betroffenen oder die Verarbeitung sensibler Daten i.S.d. Art. 9 oder 10 DSGVO ist und/oder
  • das Unternehmen Datenverarbeitungen vornimmt, die einer Datenschutz-Folgenabschätzung unterliegen.

Unternehmen können wählen, ob sie einen Mitarbeiter oder einen externen Datenschutzbeauftragten benennen.

Nutzen Sie Checklisten und Mustervorlagen

Kammern, Verbände und Institutionen helfen mit Checklisten, Mustervorlagen und nützlichen Tipps weiter:

Ob der Deutsche Industrie- und Handelskammertag, der Landesbeauftragte für Datenschutz- und Informationsfreiheit Baden-Württemberg, der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V., Bitkom e.V. oder die Gesellschaft für Datenschutz und Datensicherheit e.V.: Auf den jeweiligen Webseiten finden Sie Informationen, Musterdokumente und -verträge, um sich die für Ihre Branche
und Unternehmensgröße passenden Dokumente zusammenzustellen.

WEITERE THEMEN