Die Datenschutzgrundverordnung

DSGVO: Tipps für Unternehmer

Wir stehen im laufenden Dialog mit dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit. Unser Ausschuss für Recht hat einen Fragenkatalog zu mehreren praktischen Aspekten der DSGVO aufgestellt. Die Antwort des HmbBfDI finden Sie hier zusammen mit den weiterführenden Dokumenten, auf die im Antwortschreiben verwiesen (nicht barrierefrei, PDF-Datei · 5182 KB) wird.

Datenschutzhinweise auf der Webseite auf den aktuellen Stand bringen

Websites benötigen eine Datenschutzerklärung. Das war auch vorher so! Sie müssen beispielsweise darüber informieren, welche personenbezogenen Daten von Ihnen erhoben werden, zu welchen Zwecken dies erfolgt und an wen diese unter Umständen übermittelt werden. Diese Unterrichtung hat in einer allgemeinen verständlichen Form zu erfolgen.

Bestandsaufnahme der Datenverarbeitung im Unternehmen

Mit der Bestandsaufnahme beginnen, wo und wie Datenverarbeitung im Unternehmen stattfindet.
Die DSGVO verlangt von Unternehmen ein Verzeichnis aller Datenverarbeitungsaktivitäten. Von der Pflicht zum Führen eines Verzeichnisses der Verarbeitungstätigkeiten ausgenommen sind Unternehmen,
  • die weniger als 250 Mitarbeiter beschäftigten, sofern die von Ihnen vorgenommene Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt,
  • die Verarbeitung nicht nur gelegentlich erfolgt oder
  • nicht die Verarbeitung besonderer Datenkategorien gem. Art. 9 Abs. 1 DSGVO einschließt.
Musterverzeichnisse für Datenverarbeitung

Verträge mit sogenannten "Auftragsverarbeitern" abschließen

Einen Auftragsverarbeitungsvertrag (AV) muss grundsätzlich jedes Unternehmen abschließen, das personenbezogene Daten im Auftrag, also durch einen Dienstleister verarbeiten lässt. Eine Auftragsverarbeitung liegt vor, wenn eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle personenbezogenen Daten im Auftrag eines Verantwortlichen verarbeitet.
Das bedeutet, dass der Verantwortliche gibt personenbezogene Daten an jemanden außerhalb seines Unternehmens (z.B. Mitarbeiterdaten an externe Buchhaltung) herausgibt oder den Einblick auf die eigene Datenhaltung (z.B. Wartung der eigenen IT durch externe Firmen) ermöglicht.
Ein zu schließender AV-Vertrag regelt die Rechte und Pflichten von Auftraggeber und Auftragnehmer. So soll u.a. gewährleistet werden, dass der Auftragnehmer die ihm anvertrauten Daten nur zu den Zwecken verarbeitet, für die der Auftraggeber die Daten erhoben hat. Vor allem aber wird der Dienstleister verpflichtet, die Daten in entsprechendem Maße zu schützen. Daher werden im Vertrag diesbezüglich auch Kontrollrechte eingeräumt.
Die einzelnen Rechte und Pflichten der Parteien bei der Auftragsverarbeitung regelt Art. 28 DSGVO. Die dort aufgeführten Kriterien stellen Mindestanforderungen an den AV-Vertrag dar.
Muster zur Auftragsverarbeitung

Einwilligungen einholen und Widerrufsbelehrung beifügen

Im Datenschutzrecht gilt das sogenannte „Prinzip des Verbots mit Erlaubnisvorbehalt“. Das bedeutet, niemand darf mit personenbezogenen Daten von anderen umgehen, also Daten erheben, speichern oder weitergeben, wenn er nicht über eine ausdrückliche Einwilligung der betroffenen Person verfügt oder zumindest sich auf eine Rechtsgrundlage berufen kann, die ihm erlaubt oder sogar anordnet, diese Daten zu verarbeiten. Sie müssen allerdings sicherstellen, dass die Zweckbindung und die Erforderlichkeit der Daten beachtet wird.
In der Praxis wird die größte Bedeutung jenen Fällen zukommen, in denen die Daten für die Erfüllung eines Vertrags oder aufgrund einer rechtlichen Verpflichtung erforderlich sind oder aber die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und die Interessen der betroffenen Person nicht überwiegen.
Beispielsweise sind personenbezogene Daten dann erforderlich, wenn Sie jemandem etwas verkaufen. Dann darf der Käufer z.B. Namen, Kontaktdaten und Bankverbindungen erhalten. Grundsätzlich gilt also: Kann die Leistung über das Internet ohne diese erhobenen Nutzungsdaten nicht gewährleistet oder nicht abgerechnet werden, ist die Erhebung der Daten ohne Einwilligung erlaubt. Sobald Sie die Daten aber auch anderweitig verwenden, wie zum Beispiel für die Analyse es Kundenverhaltens, die Werbung oder den Newsletter reicht die Datenschutzerklärung nicht aus. Zusätzlich muss dann die Einwilligung des Betroffenen eingeholt werden und der Betroffene muss auch über sein Widerrufsrecht zur Nutzung seiner Daten informiert werden.
Achtung: Sie müssen den Kunden bereits vor Erklärung der Einwilligung auf sein Widerrufsrecht hinweisen. Der Betroffene muss auf sein Widerrufsrecht in einer verständlichen und von anderen Informationen getrennten Form hingewiesen werden.

Bestimmung eines Datenschutzbeauftragten

Unternehmen mit mehr als 20 Mitarbeitern, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, müssen in der Regel einen Datenschutzbeauftragten bestimmen.
Tipp: Die Datenschutzkonferenz (DSK) hat ein Kurzpapier zur Bennenung eines DSB sowie der Verantwortlichen und Aufgaben aufgesetzt. Dies können Sie hier lesen. 
Hinweis: Diese Informationen sollen Ihnen nur erste Hinweise geben und erheben daher keinen Anspruch auf Vollständigkeit. Obwohl sie mit größtmöglicher Sorgfalt erstellt wurden, kann eine Haftung für die inhaltliche Richtigkeit nicht übernommen werden.

Weitere Informationen