Teamleader Blog Article

DSGVO-Checkliste: 10 notwendige Schritte für Ihr Unternehmen

DSGVO-Checkliste: 10 notwendige Schritte für Ihr Unternehmen

Bis zum Inkrafttreten der neuen EU-DSGVO sind es nur noch wenige Wochen. Was wird sich für Ihr Unternehmen verändern und wie können Sie sicherstellen, dass Sie die neuen Vorschriften wirklich erfüllen?

Diese Checkliste hilft Ihnen weiter.

Haftungsausschluss: Es wird ausdrücklich darauf hingewiesen, dass Teamleader nicht garantieren kann, dass ein Unternehmen, das die hier aufgeführten Maßnahmen ergreift, die Datenschutzvorschriften zu 100 % einhält. Teamleader bietet lediglich Tipps und Hinweise zur DSGVO an. Entsprechend werden diese Informationen ausschließlich zu Informationszwecken angeboten und dienen nicht der Rechtsberatung oder der Beurteilung, wie die DSGVO sich auf Sie und Ihr Unternehmen / Ihre Organisation auswirkt.

Wie sollten sich Mittelständler auf die DSGVO vorbereiten?

1. Machen Sie sich mit Ihren Daten vertrautDSGVO - Machen Sie sich mit Ihren Daten vertraut

Um den Anforderungen der neuen Rechtsvorschriften zu entsprechen, müssen Sie zunächst wissen, über welche Arten von persönlichen (z.B. Namen, Adressen) und sensiblen Daten (z.B. Gesundheitsinformationen) Sie aktuell verfügen.

  • Woher haben Sie diese Informationen?
  • Wie sind Sie an die Informationen gekommen?
  • Wofür wollen Sie diese Daten verwenden?

Führen Sie interne Audits zu Ihrer Datenverarbeitung durch, um in Erfahrung zu bringen, was bereits in Ordnung ist und wo Sie noch Anpassungen an die neuen Vorschriften vornehmen müssen. Auf jeden Fall sollten Sie sämtliche Ihrer Rechtsdokumente juristisch überprüfen lassen und sie entsprechend anpassen.

Wenn Sie fehlerhafte oder veraltete personenbezogene Daten mit einem anderen Unternehmen ausgetauscht haben, müssen Sie das andere Unternehmen über die Unrichtigkeit informieren – damit man auch dort die Unterlagen korrigieren kann. Das ist einer der Hauptgründe dafür, eine Bestandsaufnahme Ihrer Daten zu machen.

Möchten Sie mehr über die DSGVO wissen und wie Ihre Firma sich vorbereiten soll?Laden Sie unser kostenloses E-Book herunter!


2. Bitten Sie um explizite Einwilligung zum Erfassen von Daten

Künftig muss die Einwilligung zur Erfassung von Daten freiwillig, für einen bestimmten Fall, in informierter Weise und unmissverständlich abgegeben werden. Sie kann nicht stillschweigend, durch vorausgewählte Checkboxen oder durch Nichtstun gewährt werden. Das bedeutet auch, dass Sie überprüfen müssen, wie Sie gegenwärtig die Einwilligung zur Datenerhebung einholen. Anders gesagt: Überarbeiten Sie Ihre aktuellen Abläufeum sicherzustellen, dass Sie den neuen DSGVO-Normen entsprechen.

Die DSGVO gibt den Betroffenen das Recht, ihre Einwilligung jederzeit zu widerrufen. Sie müssen die Betroffenen über dieses Recht in Kenntnis setzen und ihnen einfache Möglichkeiten zur Verfügung stellen, ihre Einwilligung jederzeit zu widerrufen.

Auch für das Versenden von E-Mails wird die Einwilligung eine wichtige Rolle spielen. Kommerzielle E-Mails (z.B. Werbeangebote, Preisnachlässe) an Nicht-Kunden müssen die Möglichkeit zum Opt-in enthalten, z.B. durch einen Button, mit dem die Kunden ihre Anmeldung bestätigen können. Ohne explizite Zustimmung werden Sie künftig keine kommerziellen E-Mails mehr versenden dürfen. Nicht-kommerzielle E-Mails (z.B. Urlaubsgrüße) oder E-Mails an Bestandskunden müssen nur eine Opt-out-Möglichkeit enthalten (also die Möglichkeit, sich von den E-Mails wieder abzumelden).

3. Machen Sie deutlich, wie und wofür Sie Daten erheben

Ihren Kunden müssen Sie erklären:

  • wie Sie Daten erheben; 
  • warum Sie ihre Daten verarbeiten;
  • wie lange Sie diese Daten speichern werden (Sie dürfen die Daten nicht länger als unbedingt erforderlich aufbewahren).

Diese Informationen sollten Sie in Ihrer Datenschutzerklärung dokumentieren. Diese Datenschutzerklärung muss sich mindestens auf die DSGVO berufen und Informationen zu folgenden Punkten beinhalten:

  • welche personenbezogenen Daten erhoben werden;
  • wie diese erhoben werden;
  • dem Verarbeitungszweck;
  • der Datenspeicherfrist;
  • den Rechten der betroffenen Personen;
  • Ihrem Beschwerdeverfahren;
  • wie Sie die Datenübertragung an Dritte handhaben.

4. Schulen Sie Ihre Mitarbeiter

DSGVO - Schulen Sie Ihre Mitarbeiter

Organisieren Sie interne Informationsveranstaltungen, damit Ihre Mitarbeiter die Auswirkungen der DSGVO auf Ihr Unternehmen verstehen. Ihr Sensibilisierungsprogramm sollte ein fortlaufender Prozess sein, der im Laufe des Jahres regelmäßig verfestigt wird und auch für neue Mitarbeiter dokumentiert wird, die nachträglich dazustoßen.

Vergessen Sie nicht, die für den internen Gebrauch bestimmten Dokumente und Abläufe anzupassen, wie z.B.:

  • Richtlinien für den Laptop-, Social-Media- und Internet-Gebrauch
  • Arbeitsverträge
  • Dienstvorschriften

5. Weisen Sie die Einhaltung der Vorschriften nach

Die DSGVO verlangt, dass Sie die Einhaltung der Vorschriften nachweisen können:

  • Identifizieren Sie die Rechtsgrundlage für Ihre Datenverarbeitung;
  • Dokumentieren Sie Ihre Abläufe und Prozesse;
  • Passen Sie Ihre Datenschutzerklärung an.

Auch Ihre Allgemeinen Geschäftsbedingungen und/oder die Vereinbarung, die Sie mit Ihren Kunden getroffen haben, sollten Sie aktualisieren. Treffen Sie auch mit Ihren Dienstleistern bzw. Auftragsverarbeitern und, wenn notwendig, auch mit Ihren Unterauftragsverarbeitern eine aktualisierte Vereinbarung zur Auftragsdatenverarbeitung (ADV).

Hinweis: Ein Datenverarbeiter ist jeder (mit Ausnahme von Angestellten des Datenverantwortlichen), der Daten im Auftrag des Datenverantwortlichen verarbeitet. Beispiele hierfür sind Lohnbüros, Buchhalter und Marktforschungsunternehmen. Auch Anbieter von Cloud-Diensten sind für gewöhnlich Datenverarbeiter.

6. Erstellen Sie ein System zum Löschen personenbezogener Daten

Ab Mai sollten Sie über ein System verfügen, das die personenbezogenen Daten löscht, sobald die gesetzliche Aufbewahrungsfrist verstrichen ist oder die betroffenen Personen Sie dazu auffordern. Betroffene haben das Recht, Ihre Einwilligung jederzeit zurückzuziehen: Das Recht auf Löschung (oder das ‚Recht auf Vergessenwerden‘) ist ein Kerngrundsatz der DSGVO.

Insbesondere werden Sie Daten löschen müssen, wenn:

  • Die personenbezogenen Daten in Bezug auf den ursprünglichen Verarbeitungszweck nicht mehr notwendig sind
  • Die betroffene Person ihre Einwilligung zur Datenverarbeitung zurückzieht (und kein Rechtfertigungsgrund für oder berechtigtes Interesse an einer Fortführung der Verarbeitung vorliegt)
  • Personenbezogene Daten unrechtmäßig verarbeitet wurden

7. Planen Sie Ihr Krisenmanagemen

Jedes Unternehmen benötigt einen Reaktionsplan für Datenschutzverletzungen. Sobald es zu einer Datenschutzverletzung kommt, haben Sie 72 Stunden Zeit, um diese der zuständigen Datenschutzbehörde Ihres Landes, in einigen Fällen auch den betroffenen Personen zu melden. In manchen Ländern kann die Frist hierfür auch strenger sein. Das bedeutet, dass Ihnen im tatsächlichen Falle einer Datenschutzverletzung nicht die Zeit bleibt, über die notwendigen Schritte nachzudenken – wenn Sie Geldbußen vermeiden wollen, ist eine gute Vorausplanung also sehr wichtig.

Sehen Sie bei der Ausarbeitung dieses Plans Abläufe vor, um solche Vorfälle zu erkennen, zu melden und zu untersuchen. Stellen Sie sicher, dass alle, die mit Ihnen zusammenarbeiten, wissen, was Datenschutzverletzungen sind, und sehen Sie Abläufe vor, durch die sich schon die entsprechenden Warnsignale feststellen lassen.

8. Regeln Sie Zugriffsabläufe

DSGVO - Regeln Sie Zugriffsabläufe

Zu Ihren Servern und den bei Ihnen verarbeiteten personenbezogenen Daten sollten nur Personen Zugang haben, die über die entsprechende Zugriffsberechtigung verfügen. Auch werden die betroffenen Personen das Recht haben, auf sämtliche ihrer personenbezogenen Daten zuzugreifen, unrichtige Angaben zu korrigieren, der Verarbeitung ihrer Daten unter bestimmten Umständen zu widersprechen oder ihre Daten zu löschen – alles innerhalb einer Frist von 30 statt bisher 45 Tagen.

Wenn Sie mit einer großen Zahl von Zugriffsanfragen umgehen müssen, sollten Sie über Möglichkeiten nachdenken, wie Sie solche Anfragen schneller bearbeiten können und wie sich das auf Ihre Arbeitslast auswirkt. Zum Beispiel könnten Sie überprüfen lassen, ob es machbar ist, die betroffenen Personen online auf Ihre Daten zugreifen zu lassen. Diese Vorgehensweise wird auch von offiziellen Datenschutzbehörden der meisten Länder empfohlen.

9. Datenschutz für Minderjährige

Am 25. Mai 2018 wird auch ein besonderer Schutz für die personenbezogenen Daten von Kindern eingeführt. Die DSGVO sieht vor, dass Kinder vor Vollendung des 16. Lebensjahres keine rechtmäßige Einwilligung erteilen können, da sie „sich der betreffenden Risiken, Folgen und Garantien“ bei der Herausgabe ihrer Daten möglicherweise weniger bewusst sind. Wenn Ihr Unternehmen Online-Dienste für Kinder anbietet und Sie deren Einwilligung zur Verarbeitung ihrer Daten brauchen, werden Sie für die rechtmäßige Verarbeitung ihrer personenbezogenen Daten künftig die Einwilligung eines Elternteils oder Erziehungsberechtigten benötigen.

Hinweis: EU-Länder dürfen diese Altersgrenze auf bis zu 13 Jahre absenken. So werden Belgien und Frankreich sie beispielsweise auf 13 absenken, Österreich auf 14. In Deutschland wird diese Grenze bei einem Alter von 16 Jahren bleiben.

10. Brauchen Sie einen Datenschutzbeauftragten (DSB)?

Möglicherweise müssen Sie einen internen Datenschutzbeauftragten bestellen, der Ihre Abläufe und die Einhaltung der Datenschutzvorschriften beaufsichtigt. Obwohl dies für die Mehrheit der kleinen und mittleren Unternehmen nicht verpflichtend ist, empfiehlt die Artikel-29-Datenschutzgruppe es als gute Praxis, dass jedes Unternehmen einen Datenschutzbeauftragten bestellt.

Dafür müssen Sie nicht zwangsläufig einen Vollzeitmitarbeiter anstellen – der DSB kann auch ein externer Berater oder ein Mitarbeiter sein, der diese Rolle zusätzlich zu seinen täglichen Aufgaben übernimmt. Stellen Sie jedoch sicher, dass die betreffende Person über die nötige Fachkunde, Unterstützung und Autorität verfügt, die Rolle des DSB effektiv auszufüllen.

DSGVO: Wie sie ihr unternehmen richting vorbereiten