DSGVO UMSETZEN – 6 Wichtige Tipps

Folgende Themen sollten Sie in Sachen Datenschutz auf jeden Fall beachten, um die gesetzlichen Anforderungen zu erfüllen. Diese Ausführungen sind nicht allumfassend, stellen jedoch die Grundlage der datenschutzrechtlich obligatorischen Dokumentation und den Minimalanforderungen dar. Beachten Sie, dass jeder Betrieb sich an die neue Datenschutzgrundverordnungen zu halten hat. Auch solche Betriebe, die keinen Datenschutzbeauftragten bestellen müssen.

1. Dokumentation der technischen und organisatorischen Maßnahmen zum Datenschutz

Der Gesetzgeber sieht vor, dass jeder Betrieb angemessene Maßnahmen zum Schutz von personenbezogenen Daten vornimmt. Diese Maßnahmen können sowohl technischer als auch organisatorischer Natur sein und ergänzen sich bestenfalls sinnvoll. Meistens wird für diese Maßnahmen allgemein die Abkürzung TOMs (Technische und Organisatorische Maßnahmen) verwendet.

Technische Maßnahmen erstrecken sich beispielweise über sichere Türschlösser, Videoüberwachung, Virenschutz, Firewall, Back Ups, bis zu sicheren Passwörtern und Anmeldeverfahren. Je nach Betrieb und der Art der verarbeiteten Daten sind die technischen Maßnahmen immer angemessen zu wählen und anschließend zu implementieren. Besser ist, Sie haben bereits ausreichende Maßnahmen und müssen diese nur noch dokumentieren (was gar nicht so selten der Fall ist).

Organisatorische Maßnahmen reichen beispielsweise von der Sensibilisierung der Mitarbeiter, Verpflichtung der Mitarbeiter auf das Datengeheimnis, die Regelung der Nutzung des betrieblichen Internetzugangs und Emailkontos, bis zu ganzen IT Nutzungsrichtlinien für Smartphones und mobile Devices und Vorgaben zur Einrichtung eines Home Office Arbeitsplatzes.

Anhand der Dokumentationshilfe nach Empfehlung der GDD (Gesellschaft für Datenschutz und Datensicherheit) können Sie die TOMs dokumentieren, diese finden Sie in meinem gratis Downloadbereich oder hier Dokumentationshilfe_Technische_Organisatorische_Massnahmen.

2. Übersicht von Verfahren, mit denen personenbezogene Daten verarbeitet werden

Das Führen eines Verzeichnisses von Verarbeitungstätigkeiten ist ebenfalls eine datenschutzrechtliche Pflicht. Darin werden alle Verfahren anhand eines standardisierten Vordrucks dokumentiert und in diesem Zusammenhang bestenfalls auch hinsichtlich datenschutzrechtlicher Compliance geprüft. Es ist dabei unerheblich, ob personenbezogene Daten elektronisch oder auf Papier verarbeitet werden.

Der Aufbau eines Verzeichnisses von Verarbeitungstätigkeiten:

1. Hauptblatt [im gratis Downloadbereich verfügbar oder direkt hier Hauptblatt_Verarbeitungsübersicht]

2. Inhaltsverzeichnis (Auflistung der Verfahren mit fortlaufender Nummer)

3. Dokumentation jedes einzelnen Verfahren [Vordruck im Downloadbereich oder hier Verfahrensdokumentation_blanko]

Was ist ein Verfahren? Was versteht man im datenschutzrechtlichen Sinne darunter?

Hier ein paar Beispiele:

Fachbereich Personal

  • Personalverwaltung allgemein
  • Entgeltabrechnungen
  • Zeiterfassung
  • Bewerbungsmanagement
  • Beendigung von Beschäftigungsverhältnissen
  • Ziel- und Beurteilungs-Gespräche
  • u.a.

Fachbereich IT

  • ERP-System / Ressourcenverwaltung
  • Berechtigungskonzept
  • Nutzerverwaltung
  • Datensicherung
  • Groupware (Email / Kalender / Kontakte)
  • Telefonanlage
  • u.a.

Fachbereich Buchhaltung / RW

  • Rechnungswesen
  • Finanzbuchhaltung
  • Mahnwesen
  • Bonitätsprüfung
  • u.a.

Fachbereich Logistik / Warenwirtschaft

  • Lieferantenverwaltung
  • Bestellwesen / Warenwirtschaft
  • Lagerverwaltung
  • Versand und Lieferung
  • u.a.

Fachbereich Marketing / Vertrieb

  • CRM-System
  • Newsletter
  • Homepage
  • Websiteanalyse
  • Onlineshop
  • Kontaktformular
  • u.a.

Fachbereichsübergreifende Verfahren

  • Papier- und Aktenentsorgung
  • Schlüsselliste / Schlüsselmanagement
  • Besuchermanagement
  • Reisekostenmanagement
  • u.a.

Prüfung auf Datenschutzfolgeabschätzung obligatorisch

Zu jedem einzelnen Verfahren muss darüber hinaus geprüft werden, ob die Durchführung einer Datenschutzfolgeabschätzung erforderlich ist. Auf dieses Thema gehe ich an dieser Stelle nicht im Detail ein, da ich alleine darüber eine ganze Seite schreibe könnte. Nur so viel sei dazu erwähnt: Die Landesbehörden veröffentlichen eine Black und White Liste von Verfahren, für die eine Datenschutzfolgeabschätzung durchzuführen ist. Diese können Sie auf der Internetpräsenz Ihrer Landesbehörde finden. Einen Vordruck zur Prüfung, ob eine Datenschutzfolgeabschätzung erforderlich ist finden Sie ebenfalls in meinem Downloadbereich oder hier Vordruck_Datenschutzfolgeabschätzung.

3. Schließen Sie mit allen Dienstleistern sogenannte Auftragsverarbeitungsverträge ab

Mit allen Dienstleistern, die in irgendeiner Form personenbezogene Daten in Ihrem Auftrag verarbeiten, müssen Sie eine vertragliche Regelung mit dem Namen Auftragsverarbeitung einsetzen. Nicht immer erscheint es offensichtlich, welche Dienstleister hier relevant sind. Beispiele sind etwa Steuerberater, Wirtschaftsprüfer, IT Service und Support, Software Support, Aktenvernichter, Newslettersystemanbieter, Webhoster, Websiteanalyseanbieter u.a.

Verschaffen Sie sich im ersten Schritt eine Übersicht Ihrer Dienstleister und schreiben Sie am besten gleich dazu, zu welchem Verfahren ein jeder Dienstleister zugeordnet wird.

Prüfen Sie bei jedem Dienstleister, inwiefern und wie ausführlich dieser seine technischen und organisatorischen Maßnahmen offenlegt. Er ist dazu verpflichtet, seine Maßnahmen zum Datenschutz in der Anlage zur Auftragsverarbeitung angemessen und vor allen auch nachvollziehbar darzustellen. Lassen Sie sich nicht mit einfachen Ankreuzlisten abspeisen, diese sind in der Regel unzureichend und werden teils vor Gericht nicht akzeptiert. Schließlich weiß man beispielsweise nichts über die Art und Güte eines Virescanners, wenn in den Darstellungen einfach Virenscanner in einer Liste angekreuzt wird.

Einen Standardvertrag finden Sie unter Auftragsverarbeitung_Vertrag.

4. Verpflichten Sie Ihre Mitarbeiter auf Verschwiegenheit

Diese organisatorische Maßnahme gehört zum absoluten Pflichtprogramm im Datenschutz. Verpflichten Sie Ihre Mitarbeiter auf das Datengeheimnis und Verschwiegenheit. Verwenden Sie dafür gerne unsere gratis Vorlage im Downloadbereich Verpflichtung_Datengeheimnis.

5. Regeln Sie die Nutzung von Email und Internet

Aus datenschutzrechtlicher Sicht ist die einfachste Variante, die Email- und Internetnutzung zu privaten Zwecken offiziell zu untersagen.

Ist die Privatnutzung erlaubt, gilt der Arbeitgeber als Telekommunikationsanbieter und hat damit weitaus strengere Auflagen, was Datenschutz und Löschfristen angeht.

Sie können die Email- und/oder Internet-Nutzung auch eingeschränkt erlauben, wenn Ihre Mitarbeiter schriftlich auf die Rechte aus Telekommunikationsgesetz und dem Datenschutzrecht verzichten. Dies muss aber für jeden Mitarbeiter schriftlich dokumentiert werden.

Trick:

Da beinahe jeder Mitarbeiter mittlerweile ein eigenes Smartphone besitzt und dieses zum privaten Surfen und Mailen verwenden kann, tut ein Verbot der Privatnutzung des betrieblichen Emailkontos und Internetanschlusses auch nicht weh. Verbieten Sie die Privatnutzung und erklären Sie, warum dies notwendig ist.

Sprechen Sie uns gerne an, wenn Sie Hilfe bei der Ausarbeitung benötigen.

6. Machen Sie Ihre Website rechtssicher

6.1 Datenschutzerklärung

Achten Sie auf eine aktuelle und umfassende Datenschutzerklärung auf Ihrer Website. Ein allgemein gültiges Muster gibt es nicht. Wir verweisen auf den Konfigurator von e-Recht24 unter dem Sie sich eine Datenschutzerklärung selbst erstellen können. Der Link dazu

https://www.e-recht24.de/muster-datenschutzerklaerung.html

6.2 Verschlüsselung der Website mit SSL Zertifikat

Verschlüsseln Sie die Datenübertragung zu und von Ihrer Website mit einem SSL Zertifikat. Fast jeder Hostinganbieter stellt für einen kleinen Betrag SSL Zertifikate zur Verfügung. Zudem werden Internetseiten die verschlüsselt sind, besser von Google gerankt, als solche ohne Verschlüsselung.

6.3 Newsletter ausschließlich per Double Opt In Verfahren

Achten Sie darauf, dass Sie von jedem Newsletterabonnenten ein dokumentiertes Double Opt In vorweisen können.

Beim Double Opt In Verfahren willigt der Nutzer zunächst in die Datenschutzerklärung und Hinweise zum Widerruf ein, das dafür vorgesehene Kontrollkästchen (beziehungsweise Checkbox) darf nicht standardmäßig vorausgewählt sein. Eine aktive Handlung des Nutzers, nämlich das Bestätigen der Checkbox, ist obligatorisch. Das wäre das erste Opt In.

Das erste Opt In kann etwa so aussehen:

☐  Ja, ich möchte den Newsletter regelmäßig per E-Mail erhalten. Die Datenschutzhinweise* sowie Hinweise zum Widerruf habe ich zur Kenntnis genommen und stimme diesen zu.

(*hier wird auf die ausführliche Datenschutzerklärung verlinkt)

Kompakt: Hinweise zum Datenschutz
Ihre E-Mail-Adresse wird nur für den Zweck der Erbringung des Newsletters der Firma xxx verwendet. Dieser enthält Informationen zu Produkten, saisonalen Aktionen oder Neuerscheinungen. Ihre E-Mail-Adresse wird niemals für Werbezwecke an Dritte weitergegeben und nur im Rahmen des Newsletter-Versands genutzt.

Hinweise zur Widerrufbarkeit
Sie können diese Einwilligung jederzeit widerrufen, indem Sie sich aus der Liste austragen. Hinweise zur Abmeldung sind in jedem Newsletter enthalten. Alternativ können Sie eine E-Mail mit dem Betreff „Newsletter abmelden“ an xxxx@xxxxxxxx.de schicken.

Das zweite Opt In:
Für das zweite Opt In, die Bestätigung seiner Emailadresse, erhält der Nutzer eine Email mit Bestätigungslink geschickt. Nur wenn er diesen anklickt, kann er zukünftig als Abonnent verwendet werden.

Tipp: Datensparsamkeit beachten

Achten Sie auch auf das Prinzip der Datensparsamkeit, das bedeutet in diesem Fall, dass nur die für den Newsletterversand notwendigen Daten erhoben werden. Wirklich notwendig ist beim Newsletter nur die Emailadresse. Andere Angaben (Name Vorname Geburtsdatum Adresse) können jedoch auf freiwilliger Basis angegeben werden.

Kurz:

  • Nur die Emailadresse sollte also ein Pflichtfeld bei der Newsletteranmeldung sein
  • Andere Angaben können auf freiwilliger Basis erhoben werden

ACHTUNG: SIE MÜSSEN AUCH FÜR BESTANDSABONNEMENTEN GÜLTIGE EINWILLIGUNGSERKLÄRUNGEN AUF ANFRAGE VORLEGEN KÖNNEN! HOLEN SIE VON ALLEN ABONNENTEN DIE EINWILLIGUNGEN NACH!

6.4 Kontaktformular nur verschlüsselt übertragen

Achten Sie darauf, dass die Übermittlung von Kontaktformularen auf verschlüsseltem Weg passiert. Dies lässt sich ebenfalls mittels SSL Zertifikat umsetzen, Ihr Webhoster kann Ihnen hier weiterhelfen.

6.5 Auf die Verwendung von Cookies hinweisen

Weisen Sie Websitebesucher auf die Verwendung von Cookies hin, auch wenn die Rechtslage zur Pflicht hier noch nicht ganz klar ist. Im Zweifelsfall fahren Sie mit einem Cookie Hinweis sicher, und mittlerweile verwendet quasi jede Website Cookies.

6.6 Auftragsverarbeitungsvertrag mit Websiteanalyse Anbieter

Wenn Sie beispielsweise Google Analytics oder etracker einsetzen, müssen Sie mit diesen Anbietern einen Auftragsverarbeitungsvertrag abschließen. Google bietet den Vertrag aktuell noch nach BDSG (dieser Artikel ist aus 04 2018) zum Download an, unter https://www.google.com/analytics/terms/de.pdf. Hier wird aber sicher zeitnah eine neue Regelung eingesetzt werden, die nach der Datenschutzgrundverordnung verwendet werden kann. Vielleicht schaffe ich es rechtzeitig vor Inkrafttreten der Europäischen Datenschutzgrundverordnung zu schreiben, wie Google es in Zukunft regelt und schreibe ein Update.

Wenn Sie statt Google Analytics beispielsweise etracker verwenden können Sie den Vertrag nach Einloggen im etracker Kundenaccount downloaden, unterschreiben und an etracker senden.

Es gibt selbstverständlich noch mehr Anbieter, auf die ich hier im Einzelnen aber nicht eingehen will.