Sind Sie bereit für Datenschutz 2.0? Nutzen Sie diese Checkliste zur DSGVO ab Mai 2018!

Nur noch wenige Wochen und dann ist es soweit: Die neue EU-Datenschutzgrundverordnung tritt in Kraft und bringt die eine oder andere Veränderung mit sich. Sind Sie sich im Klaren darüber, ob die neuen Vorschriften auch Ihr Unternehmen berühren und was bis zum 25. Mai 2018 noch alles erledigt werden sollte? Wir haben für Sie den Durchblick und klären auf!

Nahezu jedes Unternehmen ist betroffen – auch außerhalb Deutschlands

Wussten Sie, dass jedes dritte Unternehmen sich noch nicht mit der Datenschutzgrundverordnung beschäftigt hat? Dabei wird es allerhöchste Zeit, denn jede Firma, die Daten eines EU-Bürgers speichert oder nutzt, fällt ab Mai unter die Datenschutzregeln, selbst wenn sie diese nur im Auftrag verarbeitet. Ob das Daten von Kunden, Interessenten oder nur Mitarbeitern sind, spielt dabei keine Rolle. Eine Untergrenze ist nicht vorgesehen – Start-ups sind genauso in der Pflicht wie börsennotierte Unternehmen.

Datenschutz-Awareness ist Pflicht

Damit erreicht der Gesetzgeber genau das, was er von Anfang an im Sinn hatte: Das Wecken von „Awareness“ (Achtsamkeit) für datenschutzrelevante Themen. Jeder, der in seinem Unternehmen mit der Speicherung, Verarbeitung und Übertragung von Daten zu tun hat, ist nun verpflichtet, für maximale Transparenz und Nachvollziehbarkeit zu sorgen – sowohl seinen Kunden als auch oberen Behörden gegenüber (die sog. Rechenschaftspflicht, normiert in Art. 5 DSGVO). Noch ein Grund mehr, die eigene Unternehmenspolitik auf die Konformität mit den neuen Datenschutzregeln zu überprüfen.

Damit Sie sich im Paragrafendschungel der umfangreichen Datenschutzgrundverordnung zurechtfinden, haben wir eine übersichtliche Checkliste für Sie erstellt.

1. Wer ist verantwortlich?

Datenschutz ist Chefsache! Es sollte eine Struktur und Verantwortlichkeit in Ihrem Unternehmen in Bezug auf Datenverarbeitung bestehen. Schaffen Sie ein Bewusstsein für Datenschutzrisiken und benennen Sie Verantwortliche innerhalb Ihrer Firma. Eine Datenschutzleitlinie kann dabei hilfreicher Anhaltspunkt für Sie, Ihre Mitarbeiter und Auftragsverarbeiter sein. Unser Tipp: Der DSB-Ratgeber gibt praktische Hilfestellungen zur Erstellung einer individuellen Datenschutzleitlinie – rechtssicher, prozessorientiert und stets aktuell!

2. Wie ist der Prozess?

Die empfindlichen Strafen und die umfangreichen Möglichkeiten einer Abmahnung (unter anderem seit 2016 auch durch Verbände) machen es notwendig, dass Unternehmer sich klarmachen, welche Prozesse hinter den Verarbeitungen ihrer Daten stehen. Fertigen Sie eine Liste mit allen Verarbeitungstätigkeiten an und stellen Sie sicher, dass von Anfang an und bei jeder Veränderung der Verarbeitung die Datenschutzrichtlinienbelange der betroffenen Personen berücksichtigt werden.

3. Wer hat noch Zugriff auf Ihre Daten?

Lassen Sie Ihre Daten von jemand anderem verarbeiten? Damit sind auch externe Lohnabrechner, Zeiterfasser oder Agenturen gemeint. Jedes externe Unternehmen, das von Ihnen Daten übertragen bekommt, gilt als Auftragsverarbeiter. Erstellen Sie eine Liste mit allen Externen, der Art der Daten und vermerken Sie, zu welchem Zweck diese übertragen werden und auf welcher Rechtsgrundlage. Denken Sie auch daran, dass ein Vertrag mit dem Auftragsverarbeiter existieren muss. Der Mindestinhalt ist in Art. 28 Abs. 3 DSGVO festgelegt. Damit tun Sie der Rechenschaftspflicht ausreichend Genüge!

4. Haben Sie Ihre Datenschutzerklärungen angepasst?

Die neu reglementierten Informationspflichten stehen unter einem Leitsatz des Bundesverfassungsgerichts: Jeder hat ein Recht zu wissen, wer was wann und bei welcher Gelegenheit über ihn weiß. Die DSGVO verlangt daher neue und noch mehr Angaben in der Datenschutzerklärung eines Unternehmens. Der gesamte Katalog findet sich in Art. 13 und 14 DSGVO und ist einen Blick wert. Neu ist, dass die Datenschutzerklärung über eine klare Rechtsgrundlage und eine Zweckangabe für die Verarbeitung der Daten verfügt. Wie bisher muss Ihre Datenschutzerklärung gut sichtbar, jederzeit abrufbar und in klarer, einfacher Sprache formuliert sein.

5. Sind Sie in der Lage, Auskunftsanträge Ihrer Kunden zu erfüllen?

Ein Teil der Prozessfindung ist auch, dass Sie sich darauf vorbereiten, Transparenz zu schaffen – vor allem gegenüber den betroffenen Personen. Der Umfang des Auskunftsrechts ist enorm, vor allem in Hinblick auf mögliche Folgen und Logik der Datenverarbeitung. Der Prozess, wie auf solche Auskunftsanträge zeitnah zu reagieren ist, ist auch ein Aspekt, der einer behördlichen Überprüfung standhalten muss.

6. Funktioniert Ihr Marketing hinsichtlich der Werbe-Einwilligung noch rechtskonform?

Die Werbe-Einwilligungserklärungen müssen um einen Passus erweitert werden, der über den Datenverarbeitungszweck aufklärt. Zusätzlich sieht die DSGVO noch die Mitteilung eines verantwortlichen Ansprechpartners für den Betroffenen vor. Dazu gehört auch die Information zur jederzeitigen Widerrufbarkeit der Einwilligung – selbstverständlich ohne Nachteile für den Kunden. Die Beweislast liegt auch hier wieder beim Unternehmen.

7. Brauchen Sie eine Datenschutz-Folgenabschätzung?

Unternehmen, die in besonders großem Umfang Daten verarbeiten, oder Daten, die ein hohes Risiko für persönliche Rechte und Freiheiten bergen, müssen zukünftig eine Datenschutz-Folgenabschätzung (DSFA) durchführen. Darin enthalten sein müssen eine systematische Beschreibung der Verarbeitungsvorgänge, eine Bewertung des Risikos für die betroffenen Personen und geplante Abhilfemaßnahmen, sollte es zu einem Datenleck kommen.

Wenn Sie sich nicht sicher sind, ob die Art der verarbeiteten Daten eine DSFA indiziert, dann holen Sie sich Rat bei der für Sie zuständigen Datenschutzbehörde.

8. Was machen Sie im Worst-case-Szenario?

Ihre Prozesse bei Datenlecks oder Auskunftsanfragen müssen funktionieren! Insbesondere auch deswegen, weil die Beweislast in der DSGVO immer beim Verantwortlichen liegt. Dies ist einer der Gründe, weshalb es sich kein Unternehmen mehr leisten kann, die Neuerungen im Datenschutz zu ignorieren. Als Inhaber eines Unternehmens sind Sie verpflichtet, durch entsprechende Dokumente nachzuweisen, dass Ihre Verarbeitung der personenbezogenen Daten datenschutzkonform erfolgt. Dazu gehört auch, dass Sie sicherstellen, dass eine Meldung an die Datenschutzbehörden im Zweifelsfall kurzfristig (innerhalb von 72 Stunden) möglich ist, und ein Notfallplan für Datenlecks existiert.

Unser Tipp: Testen Sie im interaktiven Tool des Bayerischen Landesamtes für Datenschutzaufsicht, ob Ihr Unternehmen Maßnahmen treffen muss, und wenn ja, welche. Hier geht es lang: https://www.lda.bayern.de/tool/start.html