DSGVO Basics für Unternehmen

Auch wenige Wochen nach dem Stichtag ist die Umsetzung der Datenschutzgrundverordnung (DSGVO) weiterhin ein großes Thema für die Praxis. Die Aussicht auf hohe Bußgelder oder Abmahnungen durch Mitbewerber hat viele Unternehmen aufgeschreckt und dazu bewogen, sich erstmals mit dem Thema Datenschutz zu beschäftigen. Gerade kleinere Unternehmen mit wenig Budget scheitern jedoch häufig an der Komplexität der gesetzlichen Anforderungen, was verständlicherweise für Frustration sorgt. Der folgende Beitrag soll Ihnen dabei helfen in das Thema Datenschutz einzusteigen und liefert hierzu, neben den DSGVO Basics auch konkrete Beispiele mit Handlungsempfehlungen und Links zur Umsetzung eines ersten Datenschutz-Managements.

Bevor Sie mit der Umsetzung konkreter Maßnahmen beginnen, muss zunächst der Status Quo ermittelt werden. Hierzu müssen Sie sich zunächst folgende Fragen stellen: Wann und wo verarbeitet mein Unternehmen personenbezogene Daten, wie Namen, E-Mail-Adressen oder Telefonnummern? Zu welchem Zweck erfolgt die Datenverarbeitung und wann werden die Informationen wieder gelöscht? Gibt es andere Unternehmen, ggf. sogar außerhalb Europas, die Zugriff auf meine Daten haben? Dabei sollte Ihnen bewusst sein, dass neben den klassischen Personendaten auch identifizierbare Informationen, wie Kundennummern, Device-IDs oder auch die IP-Adresse zu den geschützten Daten im Sinne der DSGVO zählen. Jegliche Handhabung dieser Informationen ist vom Datenschutzrecht erfasst.

Ihre Ergebnisse müssen Sie anschließend in einer Dokumentation zusammenfassen. Eine solche Übersicht der Datenverarbeitungen ist nämlich nicht nur hilfreich für die spätere Bewertung, sondern auch gesetzlich erforderlich. Das sogenannte Verzeichnis von Verarbeitungstätigkeiten ist in Art. 30 DSGVO konkret geregelt und kann auf Anfrage von der zuständigen Aufsichtsbehörde angefordert werden. Es ist somit ein „notwendiges Übel“, wenn es darum geht, die Einhaltung der Pflichten aus der DSGVO aufzuzeigen.

Welche konkreten Inhalte das Verzeichnis enthalten muss und wie man bei der Erstellung konkret vorgehen sollte, wird Ihnen auf dieser Übersichtsseite [1] im Detail erklärt. Dort finden Sie auch einen Link zu einem kostenlosen Generator, der Ihnen bei der Erstellung des Verzeichnisses hilft.

[1] https://www.datenschutzkanzlei.de/verzeichnis_von_verarbeitungstaetigkeiten/

Nach der Dokumentation kommt die Bewertung. Denn die DSGVO erlaubt die Verarbeitung personenbezogener Daten nur dann, wenn dies gesetzlich erlaubt ist. Im Gegensatz zu der häufig verbreiteten Aussage, können Daten auch ohne Einverständnis der Betroffenen genutzt werden. Denn neben der Einwilligung existieren Rechtsgrundlagen, welche die Verarbeitung zur Vertragsdurchführung oder sogar auf Grundlage einer Interessenabwägung erlauben.

Schauen Sie sich also immer genau an, zu welchem Zweck Sie personenbezogene Daten in Ihrem Unternehmen gespeichert haben. Wenn Sie keine Rechtsgrundlage für die Datenverarbeitung finden können, müssen die Informationen gelöscht werden. So dürfen beispielsweise Bewerberdaten ohne gesonderte Einwilligung nicht länger als sechs Monate gespeichert werden. Auch ehemalige Kundendaten sind zu löschen, wenn das Vertragsverhältnis beendet wurde und keine gesetzlichen Aufbewahrungspflichten bestehen.

Wenn Sie bereits eine Einwilligung (z.B. im E-Mail-Marketing) nachweisen können, ist diese nach der DSGVO weiter gültig. Überlegen Sie sich also genau, ob Sie Ihre Kunden erneut um Einverständnis bitten wollen. Werden die von Ihnen erhobenen Personendaten weiterhin für die Vertragsdurchführung benötigt, ist die Speicherung ohne gesonderte Einwilligung erlaubt. Selbst die werbliche Nutzung ist nicht zwangsläufig von einem Einverständnis der Betroffenen abhängig. So können Sie beispielsweise postalische Werbung weiterhin auf die berechtigten Interessen Ihres Unternehmens stützen, sofern der Empfänger keinen Werbewiderspruch geäußert hat.

Lassen Sie Daten durch Dienstleister verarbeiten? Nutzen Sie Cloud-Dienste zur Datenspeicherung oder für das E-Mail-Marketing? Dann müssen Sie die Anforderungen der Auftragsverarbeitung im Sinne von Art. 28 DSGVO kennen und beachten. Die Nutzung dieser Dienstleister ist nämlich nur dann zulässig, wenn der (mögliche) Zugriff auf Ihre personenbezogenen Daten vertraglich geregelt ist. Auch hier kann das Verzeichnis von Verarbeitungstätigkeiten weiterhelfen. Durch die Angabe, welche Kategorien von Empfängern Zugriff auf Ihre Datenverarbeitungen erhalten, können Sie nämlich identifizieren, ob weitere Unternehmen Zugriff auf Ihre Daten haben. Beispiele für mögliche Datenverarbeitungen im Auftrag sind externe Rechenzentren, Lettershops, IT-Support, Newsletter-Anbieter, sowie nahezu alle Ihnen bekannten Cloud-Anbieter. Hilfreiche Informationen und Vertragsvorlagen zur Auftragsverarbeitungen finden Sie bei der Bitkom[1] oder auch bei der Gesellschaft für Datenschutz- und Datensicherheit GDD[2].

[1] https://www.bitkom.org/Bitkom/Publikationen/Mustervertragsanlage.html
[2] https://www.gdd.de/

Das Thema Informationspflichten hat sich mit der DSGVO geändert und für viel Verunsicherung gesorgt. Auch Sie haben sicherlich von dem einen oder anderen Anbieter eine E-Mail zu dessen neuen Datenschutzbedingungen erhalten. Es lässt sich durchaus darüber streiten, ob diese aktiven Informationspflichten bei bestehenden Kundenbeziehungen überhaupt erforderlich sind. Aus meiner Sicht besteht hier keine aktive Pflicht, da zum Zeitpunkt der Erhebung die Regelungen der DSGVO noch gar nicht galten. Dennoch müssen Sie zumindest für alle Neukunden und Besucher auf die Vorgaben der DSGVO hinweisen. Dies hat in erster Linie Auswirkung auf die Datenschutzerklärung Ihrer Website, gilt aber auch für die Datenverarbeitung in Arbeitsverhältnissen, bei welcher ja ebenfalls personenbezogenen Daten Ihrer Beschäftigten verarbeitet werden. Sofern noch keine neuen Hinweise zum Datenschutz erstellt haben, sollten Sie dies also umgehend angehen. Eine vollständige Datenschutzerklärung ist die erste Visitenkarte für die Einhaltung des Datenschutzrechts. Im Internet finden sich hierzu eine Reihe von Generatoren, die Ihnen weiterhelfen können. Einen kostenpflichtigen Generator gibt es beispielsweise bei der Firma Avalex[1].

[1] https://avalex.de/

Neben rechtlichen Aspekten müssen Sie im Unternehmen auch die technische Datensicherheit beachten. Hierzu zählt zunächst eine Dokumentation der sogenannten technisch organisatorischen Maßnahmen (TOM). Entsprechende Vorlagen und „Inspirationen“ finden Sie in den Anhängen zu den Beispielverträgen zur Auftragsverarbeitung.

Notwendige Umsetzungen der Datensicherheit sind unter anderem die Festlegung von Zugangs- und Zutrittsberechtigungen zu datenverarbeitenden Systemen (Stichwort: Berechtigungskonzept), die Verschlüsselung Ihrer Website und die Möglichkeit sensible Informationen gesichert – also außerhalb regulärer E-Mail-Kommunikation – zu versenden. Die Verschlüsselung der Website ist durch Let´s Encrypt[1] mittlerweile kostenlos möglich. Über Anbieter wie WeTransfer[2] oder Teambeam[3] können einfach größere Daten gesichert übertragen.

[1] https://letsencrypt.org/
[2] https://wetransfer.com/
[3] https://www.teambeam.de/de/

Datenschutz muss natürlich dort ankommen, wo die Datenverarbeitung regelmäßig stattfindet, bei Ihren Mitarbeitern. Hier sind Sie gefordert, Ihre Beschäftigten entsprechend zu sensibilisieren und Vorgaben für den Umgang mit personenbezogenen zu schaffen. Das beginnt zunächst bei der Schulung, die sie zum Beispiel beim Anbieter Iversity[1] online durchführen können. Darüber hinaus müssen Sie festlegen, wer im Fall einer Auskunfts- oder Löschanfrage intern verantwortlich ist. Auch die Frage, was im Fall einer Datenpanne zu tun ist, sollte von Ihnen intern geklärt und schriftlich festgelegt werden. Hier helfen die einschlägigen Websites der Aufsichtsbehörden, die bereits recht brauchbare Vorlagen liefern. Zum Beispiel das Bayerische Landesamt für Datenschutzaufsicht[2] oder die Aufsichtsbehörde Baden-Württemberg[3].

Wenn Ihr Unternehmen mehr als 10 Mitarbeiter beschäftigt, sind Sie auch weiterhin zur Bestellung eines Datenschutzbeauftragten verpflichtet. Dessen Kontaktdaten müssen – und das ist neu – sowohl in Ihren Datenschutzinformationen als auch gegenüber der für Sie zuständigen Aufsichtsbehörde veröffentlicht werden. Die Funktion des Datenschutzbeauftragten kann sowohl durch einen internen Mitarbeiter (Vorsicht: Mitglieder der Geschäftsführung und Leitungsebene dürfen nicht benannt werden) oder durch externe Dienstleister übernommen werden.

[1] https://iversity.org/de
[2] https://www.lda.bayern.de/de/index.html#
[3] https://www.baden-wuerttemberg.datenschutz.de/

Das Thema Datenschutz ist mit der DSGVO nicht einfacher geworden. Durch die enorm gestiegenen Haftungsrisiken dürfen Sie das Thema aber nicht vernachlässigen. Wenn Sie oben aufgezählten Basics zum Datenschutz umgesetzt haben, haben Sie die wesentlichen Anforderungen der DSGVO bereits erfüllt und können sich anschließend wieder auf Ihr Geschäft konzentrieren.