DSGVO in 7 Schritten im Unternehmen umsetzen – Schnell und unkompliziert die DSGVO einhalten

Ab dem 25.05.2018 müssen Unternehmen die Vorgaben der Datenschutz-Grundverordnung (DSGVO) beachten. Wir zeigen Ihnen, wie Sie die Vorgaben schnell und unkompliziert umsetzen können.

Wichtig ist, dass eine hundertprozentige Umsetzung angesichts der vielen unbestimmten Rechtsbegriffe und der völlig neuen Normen selbst mit maximalem Aufwand kaum möglich ist.

Daher gilt: Es sollten die wichtigsten Anforderungen des neuen Rechts jedenfalls nachweisbar erfüllt werden. Wir zeigen Ihnen, wie das geht und helfen Ihnen gerne, wenn noch Beratungsbedarf besteht:

Schritt 1: Der betriebliche Datenschutzbeauftragte

Die Aufsichtsbehörden und Abmahner werden leicht überprüfen können, ob ein Datenschutzbeauftragter bestellt wurde, da der Datenschutzbeauftragte gem. Art. 37 Abs. 7 DSGVO in sämtlichen Informationen namentlich genannt werden muss.

Frage: Ab wann benötigt man einen Datenschutzbeauftragten?

Hier gilt gem. § 38 Abs. 1 BDSG-Neu eine 10-Personen-Regel. Sind mindestens 10 Personen mit der Datenverarbeitung beschäftigt, muss ein Datenschutzbeauftragter her.

Frage: Muss ich einen externen Datenschutzbeauftragten bestellen?

Natürlich nicht. Unser Tipp: Bestellen Sie einen Mitarbeiter mit IT-Kenntnissen als Datenschutzbeauftragten. Hier gilt: Selbst ein schwach geeigneter Datenschutzbeauftragter ist besser als kein Datenschutzbeauftragter. In diesem Zusammenhang bieten wir unseren Mandanten eine Schulung des eigenen Datenschutzbeauftragten und die Bereitstellung der erforderlichen Muster und Merkblätter an. Ihre Mitarbeiter können so als Datenschutzbeauftragter tätig werden, ohne dass Kosten für externe Anbieter, welche regelmäßig nicht einmal Rechtsberatung anbieten dürfen, entstehen.

Schritt 2: Verarbeitungsverzeichnis erstellen!

Die Pflicht zur Erstellung eines Verarbeitungsverzeichnisses ist in Art. 30 DSGVO geregelt. Keine Ausnahme gilt für Unternehmen mit über 250 Mitarbeitern. Unternehmen unter 250 Mitarbeiter müssen grundsätzlich kein Verarbeitungsverzeichnis erstellen. ABER: Ein Verarbeitungsverzeichnis ist auch dann zu führen, wenn zwar weniger als 250 Mitarbeiter beschäftigt werden, jedoch

• die vorgenommene Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt,
• die Verarbeitung nicht nur gelegentlich erfolgt oder
• eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 erfolgt.

Mit anderen Worten: Da die Ausnahmen nicht weiter definiert sind und die Auslegung der Rechtsbegriffe noch nicht richterlich geklärt ist, sollten Sie ein Verarbeitungsverzeichnis immer erstellen, wenn z. B. Kundendaten verarbeitet werden. Das Verarbeitungsverzeichnis muss auf Anfrage der Aufsichtsbehörde vorgelegt werden.

Was muss in das Verarbeitungsverzeichnis?

Aufzunehmen sind sämtliche Verarbeitungstätigkeiten. Dies sind beispielsweise:

• Elektronische Kundendateien
• Elektronische Mitarbeiterakten / Personalakten
• Nutzung von Unternehmenssoftware und / oder E-Mail-Programmen etc.
• Nutzung einer Unternehmenswebsite mit Kontaktformular, Cookies, Google Analytics
• Nutzung von Social Media-Accounts

Wie muss das Verzeichnis aufgebaut werden?

Ein Aufbau ist nicht gesetzlich vorgeschrieben. Es sind allerdings zwingende Angaben zu jedem Verarbeitungsvorgang zu machen. Hierzu zählen: Namen und Kontaktdaten des Unternehmens und des Datenschutzbeauftragten, Zweck der Datenverarbeitung, Art der Personen, deren Daten verarbeitet werden, Art der Daten und der möglichen Empfänger, Datenübermittlung außerhalb der EU, Löschung und Fristen hierfür, Datensicherheit und entsprechende Maßnahmen.

Bei der Erstellung des Verarbeitungsverzeichnisses geben wir Ihnen Muster an die Hand und beraten Sie oder Ihren Datenschutzbeauftragten bei Einzelfragen. In besonderen Konstellationen bieten wir Ihnen zudem die Unterstützung durch erfahrene IT-Prüfer an.

Schritt 3: Schutzlücken feststellen und Maßnahmen ergreifen.

Nachdem Sie den Umfang der Verarbeitungstätigkeiten in Ihrem Unternehmen festgestellt haben, ist es in einem dritten Schritt erforderlich, dass in Bezug auf jede einzelne Verarbeitungstätigkeit geprüft wird, ob die Vorgaben der DSGVO eingehalten werden oder ob entsprechende Maßnahmen einzuleiten sind.

In Bezug auf jeden Verarbeitungsvorgang sind insbesondere folgende Punkte zu prüfen:

• Datensparsamkeit – Ist die Verarbeitung der Daten notwendig?
• Rechtmäßigkeit der Datenverarbeitung – Werden die Daten z. B. für die Vertragserfüllung benötigt? Welcher Zweck wird verfolgt und ist dieser von Art. 6 DSGVO gedeckt?
• Löschfristen – Wann und wie werden nicht mehr benötigte Daten gelöscht?
• Wie werden Zugriffsrechte vergeben?
• Kontrolle in Bezug auf den Zugang zu den Daten?
• Sind die Maßnahmen zum Schutz der Systeme ausreichend (z. B. Virenscanner)

Schritt 4: Technische und organisatorische Maßnahmen (TOMs) festlegen und implementieren!

Hier ist schließlich Art. 5 Abs. 1 lit. f DSGVO zu beachten. Zwingend sind folgende Maßnahmen:

• Verschlüsselung (z. B. E-Mail oder Website)
• Integrität der Systeme und Daten muss sichergestellt werden
• Schutz vor Datenverlust und Datensicherung
• Regelmäßige Überprüfung der Schutzmaßnahmen

Schritt 5: Auftragsdatenverarbeitung prüfen und anpassen!

Wenn Sie externe Dienstleister in Bezug auf die Verarbeitung personenbezogener Daten nutzen, müssen Sie Verträge über die Auftragsverarbeitung (früher: Auftragsdatenverarbeitung) abschließen. Bestehende Verträge müssen überprüft und angepasst werden. Dies gilt jetzt auch für den Auftragnehmer.

Wann liegt eine Auftragsverarbeitung (Auftragsdatenverarbeitung) vor?

Typische Fälle sind:

• Nutzung eines IT-Dienstleisters
• Nutzung von Cloud Angeboten
• Google-AdWords und Google-Analytics
• Call-Center

Schritt 6: Datenschutzinformationen anpassen!

Da die Informationspflichten nach der DSGVO anders und umfangreicher gestaltet sind, sind sämtliche Datenschutzinformationen eines Unternehmens neu zu gestalten.

Dies gilt insbesondere für die entsprechenden Informationen auf einer Website. Die Datenschutzerklärung ist das häufige Ziel von Abmahnungen und wird auch die Aufsichtsbehörden interessieren.

Daneben müssen auch Kunden und den eigenen Mitarbeitern Hinweise zur Datenverarbeitung gegeben werden.

Was muss in die Datenschutzerklärung?

In die Datenschutzerklärung muss zwingend aufgenommen werden:

• Name und Kontaktdaten des Unternehmens und des Datenschutzbeauftragten
• Art der verarbeiteten Daten sowie Zweck der Verarbeitung
• Art der Personen, deren Daten verarbeitet werden sowie Empfänger der Daten
• Übermittlung von Daten außerhalb der EU
• Fristen zur Löschung
• Ansprüche des Betroffenen (Betroffenenrechte)
• Widerrufsrecht des Betroffenen bei Einwilligung sowie Beschwerderecht

Schritt 7: Richtlinie zum Umgang mit Datenschutzverstößen

Schließlich sollten interne Richtlinien dokumentiert werden, die den Umgang mit Beschwerden und Anfragen von Kunden und Betroffenen in Bezug auf den Datenschutz festlegen.

Hierzu gehört auch eine Regelung in Bezug auf die strengen Meldepflichten bei Datenschutzverstößen. Hier haben Sie nur 72 Stunden für eine Prüfung und Meldung. Ein Verstoß kann ein Bußgeld auslösen.

Wir machen Ihr Unternehmen fit für die DSGVO!

Als Fachanwälte für IT-Recht und Medienrecht beraten wir Sie bundesweit bei der Umsetzung der DSGVO. Wir unterstützen Ihr Unternehmen bei der schrittweisen Einführung der Vorgaben der Datenschutz-Grundverordnung und bieten Ihnen wirtschaftlich sinnvolle Konzepte für einen rechtskonformen Umgang mit der DSGVO.

Wir unterstützen Sie bei der Einführung eines eigenen Datenschutzbeauftragten und erstellen die erforderlichen Checklisten und Muster. Wir unterstützen Sie bei der Erstellung des Verarbeitungsverzeichnisses und erstellen passende Verträge in Bezug auf Auftragsdatenverarbeitungen. Schließlich erhalten Sie von uns maßgeschneiderte Datenschutzerklärungen für Ihr Unternehmen und Ihre Website.

Unseren Mandanten bieten wir zudem Gesamtlösungen inklusive sämtlicher Muster und Prüfungsschritte zu fairen Pauschalhonoraren an. Vermeiden Sie unnötige Abmahnungen und Bußgelder – nutzen Sie die noch verbleibende Zeit zur Umsetzung der DSGVO und sprechen Sie uns an!