DSGVO

In sieben Schritten zum Datenschutz

Datenschutz in sieben Schritten - eine Orientierung

Die Datenschutzgrundverordnung (DSGVO) gilt seit dem 25. Mai 2018. Sie enthält viele Pflichten und führt deshalb zu einer Verunsicherung der Unternehmen. In sieben Schritten geben wir Ihnen Hinweise, wie Sie vorgehen können, um Ihr Unternehmen datenschutzkonform aufzustellen.
Und hier die möglichen Schritte zum Vorgehen. Bitte beachten Sie, dass diese nicht vollständig sind und alle möglichen Pflichten abgeben. Sie sollen Ihnen die Orientierung ermöglichen.

1. Schritt: Klären, welche personenbezogenen Daten im eigenen Unternehmen verarbeitet werden.

In einem ersten Schritt sollten Sie für sich aufzeichnen, an welchen Stellen in Ihrem Unternehmen personenbezogene Daten verarbeitet werden. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (bspw. Vor- und Zuname, Geburtsdatum, E-Mail-Adresse, IP-Adresse etc.).
Notieren Sie sich gleich, zu welchem Zweck die Daten verarbeitet werden, beispielsweise zur Lohnabrechnung, Versand von Werbung oder für eine bestehende Vertragsbeziehung, wer mit den Daten arbeitet oder Zugriff auf diese Daten hat und ob die Daten an Dritte weitergegeben werden. Diese Analyse hilft Ihnen, die einzelnen Pflichten der Datenschutzgrundverordnung schneller umzusetzen.

2. Schritt: Überprüfung der Rechtmäßigkeit der Verarbeitung.

Eine Verarbeitung personenbezogener Daten ist immer dann rechtmäßig, wenn es eine gesetzliche Grundlage gibt oder der Betroffene eingewilligt hat. Wenn Sie also die Übersicht an Verarbeitungen (1. Schritt) erstellt haben, gehen Sie diese durch und schauen, ob es eine gesetzliche Grundlage für die Verarbeitung gibt. Gesetzliche Grundlagen finden sich insbesondere in der Datenschutzgrundverordnung (DSGVO), im neuen Bundesdatenschutzgesetz oder in Spezialgesetzen. Hier finden Sie Art. 6 der DSGVO, der unter anderem gesetzliche Grundlagen für die Verarbeitung aufzählt. Speziell für Mitarbeiterdaten kann § 26 BDSG-neu eine gesetzliche Grundlage darstellen.
Sollten Sie zu dem Ergebnis kommen, dass sich die Verarbeitung weder auf eine gesetzliche Grundlage stützen lässt noch eine Einwilligung vorliegt, müssen Sie an dieser Stelle nachbessern.

3. Schritt: Umsetzung der Informationspflichten.

Die DSGVO sieht vor, dass Sie den Betroffenen bei der Erhebung seiner Daten über bestimmte Aspekte informieren müssen. In welchem Umfang die Information erfolgen muss, können Sie hier nachlesen.
Insbesondere über die Homepage werden regelmäßig personenbezogene Daten erhoben. Entweder, in dem der Nutzer sie selbst macht (Eingabe im Kontaktformular oder Bestellung eines NL), aber auch Funktionen, die auf Ihrer Webseite eingebunden sind und die im Hintergrund laufen, erheben häufig personenbezogene Daten (wie Cookies oder Analysetools). Über all diese Punkte müssen Sie den Nutzer informieren. Da jede Webseite individuell ist, kann es für diese Datenschutzerklärung kein universelles Muster geben. Setzen Sie sich in jedem Fall mit der Person auseinander, die Ihre Seite technisch betreut, um in Erfahrung zu bringen, welche Funktionen auf der Homepage eingebunden sind. Wenn die Funktionen personenbezogene Daten verarbeiten, muss auch diese Verarbeitung rechtmäßig sein (siehe Schritt 2).
Nicht nur über die Webseite erheben Sie Daten, Sie müssen den Betroffenen auch über die anderen Erhebungsschritte informieren. Sie können dazu alle Informationen in der Datenschutzerklärung platzieren und in Ihren E-Mails oder anderen Anschreiben darauf verweisen.

4. Schritt: Weitergabe personenbezogener Daten an Dritte

Wenn Sie personenbezogene Daten an Dritte weitergeben, damit diese Sie in Ihrem Auftrag verarbeiten, liegt eine sog. Auftragsverarbeitung vor. Dann muss zwischen Ihnen und dem Auftragnehmer ein Vertrag geschlossen werden.
Hier finden Sie allgemeine Informationen und Beispiele wann eine Auftragsverarbeitung vorliegt. Bspw. wenn Sie einen Lettershop mit der Adressierung von Briefen beauftragten. Hier finden Sie einen Mustervertrag.

5. Schritt: Dokumentationspflichten einhalten

Kommen Sie den Dokumentationspflichten nach. Zu den Dokumentationspflichten zählt unter anderem die Erstellung von Verarbeitungsverzeichnissen. Diese Verzeichnisse sind für alle Verarbeitungstätigkeiten, die Sie in Schritt 1 eruiert haben, anzulegen.
Hier finden Sie allgemeine Hinweise zum Verzeichnis von Verarbeitungstätigkeiten sowie ein Muster-Verarbeitungsverzeichnis für Verantwortliche gem. Art. 30 Art. 1 DSGVO und eine Muster-Übersicht von Verarbeitungstätigkeiten von Auftragsverarbeitern gem. Art. 30 Abs. 2 DSGVO. Bitte beachten Sie, dass das Muster der Aufsichtsbehörden nur den gesetzlichen Mindestinhalt abdeckt. Drittanbieter stellen ebenfalls Muster zur Verfügung, die darüber hinaus gehen.

6. Schritt: Zuständigkeiten klären

Die Betroffenen haben unterschiedliche Rechte. Darunter das Recht auf Auskunft, Berichtigung und Löschung. Ferner das Recht auf Datenübertragbarkeit. Sie müssen innerhalb Ihres Unternehmens koordinieren, wer für solche Anfragen zuständig ist und wie diese erfüllt werden können.

7. Schritt: Ist ein Datenschutzbeauftragter notwendig?

Muss ein Datenschutzbeauftragter bestellt werden? Unternehmen müssen einen Datenschutzbeauftragten bestellen, wenn mindestens zwanzig Personen ständig mit der automatisierten Datenverarbeitung beschäftigt sind, Zuvor lag die Grenze bei mindestens zehn Personen. Weitere Informationen finden Sie hier.