DSGVO-Checkliste: Das sollte bis 25. Mai 2018 erledigt sein

Vorbereitung auf die Datenschutz-Grundverordnung für Website-Betreiber, Selbstständige und kleinere Unternehmen

Wenn im Mai europaweit ein neues Datenschutzrecht gilt, steigt das Risiko für Unvorbereitete: Die EU-DSGVO betrifft so gut wie alle Unternehmen und sieht empfindliche Bußgelder vor.

∅ 4.5 / 18 Bewertungen

Am 25. Mai 2018 ist die EU-weit geltende Datenschutzgrundverordnung (DSGVO) für alle verbindlich. Bis dahin müssen Abläufe und die die Website angepasst sowie Informationen ergänzt werden. Andernfalls drohen hohe Bußgelder und Abmahnungen.

Mindestens ebenso wichtig: Website-Besucher und Kunden werden immer sensibler, wenn es um den Schutz ihrer Privatsphäre geht. Sie wollen erfahren, wann und wie Daten von ihnen erhoben werden und was damit geschieht.

Diese Checkliste soll Sie an die wichtigsten Punkte erinnern, die bis zum 25. Mai 2018 erledigt sein müssen. Ab diesem Tag ist die Verordnung europaweit anwendbar.

Eine Verordnung mit Breitenwirkung

Von der DSGVO sind grundsätzlich alle Vorgänge betroffen, bei denen personenbezogene Daten erhoben, gespeichert und verarbeitet werden – egal, ob sie von eigenen Interessenten und Kunden stammen, von Arbeitnehmern oder ob sie von anderen Unternehmen zur Verarbeitung geliefert werden.

Sie betrifft nicht nur Unternehmen, die schwerpunktmäßig mit fremden Daten arbeiten. Auch von allen anderen Website-Betreibern und Unternehmen werden klare Verhältnisse verlangt: Sie müssen wissen (und dokumentieren), ob, wie und mit welchen Genehmigungen sie Daten ihrer Interessenten, Kunden, Mitarbeiter und Auftragnehmer verarbeiten.

1. Ist die Datenschutz-Grundverordnung (DSGVO) auf Sie bzw. Ihre Firma anwendbar?

Die Datenschutzgrundverordnung betrifft Sie als „Verarbeiter“, wenn nur eine der folgenden Aussagen auf Sie zutrifft:

  • Ich betreibe eine Website.

  • Ich biete Dienstleistungen oder Waren in Deutschland oder in der EU an.

  • Ich beschäftige Mitarbeiter in meinem Unternehmen.

Die Datenschutzverordnung betrifft Sie als „Auftragsverarbeiter“, wenn Sie – in Deutschland oder der EU – Dienstleistungen anbieten, zu denen es gehört, dass der Auftraggeber Ihnen personenbezogene Daten übermittelt.

Beispielsweise sind externe Lohnbüros, Business-Cloud-Anbieter, Aktenvernichtungsdienstleister oder Newsletter-Versanddienste typischerweise Auftragsverarbeiter.

2. Verzeichnis der Verarbeitungstätigkeiten

Wenn die DSGVO Sie betrifft, besteht eine der wichtigsten Aufgaben darin, ein Verzeichnis darüber zu erstellen, wie, warum und von wem in Ihrem Betrieb personenbezogene Daten verarbeitet werden: das sogenannte „Verzeichnis von Verarbeitungstätigkeiten“ (Art. 30 DSGVO).

Sie können das Verzeichnis elektronisch oder auf Papier führen. Hauptsache, es ist vorhanden, wenn die Datenschutzbehörden es verlangen – das dürfen sie nämlich. Kunden oder anderen Dritten müssen Sie keinen Einblick gewähren, wohl aber den Aufsichtsbehörden. Können Sie es nicht vorlegen, droht ein Bußgeld.

Das Erstellen der Dokumentation ist keine einmalige, sondern eine fortlaufende Arbeit. Wenn die Prozesse sich bei Ihnen ändern, muss das für einen Außenstehenden nachvollziehbar sein: Falls eine neue Software zum Einsatz kommt oder Daten zusätzlich ausgewertet werden, muss das durch datierte Versionen klar werden.

Um das Verzeichnis erstellen zu können, müssen Sie in einem ersten Schritt eine Bestandsaufnahme machen. Darin sollten Sie für jeden Arbeitsprozess folgende Punkte festhalten:

a) Wer ist verantwortlich? (Name und Kontaktdaten)

b) Welche Art von Daten wird gespeichert/verarbeitet? (z. B. E-Mail-Adressen, Kontodaten, Arbeitszeiten, Standortdaten)

c) Welchen Zweck hat die Datenverarbeitung? (z. B. Lohnabrechnung, E-Mail-Marketing, Beschwerdemanagement)

d) Wessen personenbezogene Daten sind das? (z. B. Mitarbeiter, Interessenten, Auftragnehmer/Lieferanten, Kunden, Patienten)

e) Besteht ein „hohes Risiko für die Rechte und Freiheiten“ betroffener Personen? (Art. 35 DSGVO – das ist etwa bei Identitäts- oder Zahlungsdaten der Fall, weil sie für Identitätsdiebstahl oder Betrug missbraucht werden können)

f) Was ist die Rechtsgrundlage für die Verarbeitung? (z. B. Einwilligung der Betroffenen bei E-Mail-Marketing, gesetzliche Pflicht bei Lohnabrechnung)

g) Welche Personen oder Abteilungen verarbeiten die Daten intern oder haben Zugriff?

h) Verarbeiten Auftragsverarbeiter wie Cloud-Dienstleister und deren Unterauftragnehmer die Daten extern?

i) Wann werden nicht mehr benötigte Daten gelöscht?

j) Was für Maßnahmen gewähren den Datenschutz? (z. B. IT-Sicherheitsmaßnahmen, abgestufte Zugriffsberechtigungen, Zugangskontrollen, Mitarbeiterschulungen)

Je größer Ihr Unternehmen oder Ihre Organisation ist, desto ausführlicher und detaillierter wird das Verzeichnis ausfallen. Grundsätzlich ist es ab 250 Beschäftigten in jedem Fall Pflicht. Betriebe und Organisationen mit weniger Mitarbeitern benötigen das Verzeichnis zwar nur, wenn

  • sie entweder „nicht nur gelegentlich“ Daten verarbeiten (damit sind aber bereits alle Arbeitgeber oder Unternehmen mit laufendem Bestelleingang dazu verpflichtet),

  • oder wenn ihre Datenverarbeitung mit einem Risiko „für die Rechte und Freiheiten der betroffenen Personen“ verbunden ist (s. o., damit sind wohl alle Unternehmen mit Bestellvorgängen von Verbrauchern zum Verzeichnis verpflichtet, weil sie Zahlungsdaten speichern),

  • oder „besondere Datenkategorien“ verarbeitet werden (gemäß Art. 9 Abs. 1 DSGVO u. a. Angaben zur ethnischen Herkunft, Religionszugehörigkeit oder Gesundheitsdaten – auch deshalb muss jeder Arbeitgeber ein Verzeichnis führen, weil er Krankheitstage und Konfessionszugehörigkeit speichert).

Unterm Strich wird nur eine Minderheit recht kleiner Betriebe ohne ein Verzeichnis auskommen.

Das Bayerische Landesamt für Datenschutzaufsicht empfiehlt zwei Erweiterungen zum Verzeichnis:

a) Eine konkrete Beschreibung des Umgangs mit den personenbezogenen Daten: Was und wie wird erhoben, gespeichert, abgefragt oder sonst wie verarbeitet?

b) Eine Liste darüber, welche Belege als rechtliche Basis dienen (z. B. Arbeitsvertrag, Betriebsvereinbarung, Einwilligungen). Diese Belege sollten bereitgehalten werden.

3. Auftragsverarbeitungsvereinbarung (Auftragsdatenverarbeitung)

Wer Dienstleister mit der Verarbeitung personenbezogener Daten beauftragt, benötigt dafür auch weiterhin eine korrekte Vereinbarung zur Auftragsdatenverarbeitung. Zu solchen Dienstleistern gehören beispielsweise

  • das externe Lohnbüro, das die Gehaltsabrechnung übernimmt;

  • Business-Cloud-Dienste, auf deren Servern Kunden- und Bestelldaten bereitgestellt werden;

  • die SEO- und Usability-Beraterin, die sich im Rahmen ihrer Arbeit mit dem Besucherverhalten auf der Website des Auftraggebers befasst und Zugriff auf die Statistik hat.

Nun gelten mit Art 28 DSGVO ab 25. Mai 2018 neu formulierte Bedingungen für die Verträge über solche Aufträge. (Außerdem wird der Begriff „Auftragsdatenverarbeitung“ zu „Auftragsverarbeitung“ verkürzt.)

Komplett anders müssen die Vertragsinhalte nicht aussehen. Die bisher im BDSG und jetzt in der DSGVO vorgegebenen Listen an Regelungspunkten sind sich recht ähnlich. Im Detail muss der Wortlaut aber angepasst werden. Der Beitrag „DSGVO und die Vereinbarung zur Auftragsverarbeitung: Was Sie wissen müssen“ erläutert Näheres.

4. Datenschutzbeauftragter

Die neue Rechtslage legt die Pflicht zur Berufung eines Datenschutzbeauftragten etwas anders fest (Art. 37 DSGVO und § 38 BDSG-neu) als das Bundesdatenschutzgesetz bisher.

Praktisch bedeutet das:

  • Sie brauchen auch in Zukunft einen Datenschutzbeauftragten, wenn

    • mindestens zehn Personen ständig mit automatisierter Verarbeitung personenbezogener Daten befasst sind, oder

    • wenn personenbezogene Daten geschäftsmäßig verarbeitet werden, etwa zur Übermittlung oder Marktforschung, oder

    • falls die Verarbeitung besondere Risiken für die Rechte und Freiheiten der Betroffenen aufwirft.

  • Sie benötigen außerdem einen Datenschutzbeauftragten, wenn

    • Daten aus laufender Überwachung von Personen verarbeitet werden oder

    • die Daten sehr sensibel sind (d. h., wenn die Kerntätigkeit in der Verarbeitung von Daten besteht, die eine umfangreiche, regelmäßige und systematische Überwachung der Betroffenen erfordert (Art. 37 DSGVO), oder

    • wenn „besondere Kategorien“ personenbezogener Daten verarbeitet werden (wie Daten zur rassischen und ethnischen Herkunft, zur politischen Meinung, religiösen oder weltanschaulichen Überzeugung, zur Gewerkschaftszugehörigkeit, wenn es sich um Daten zum Sexualleben, genetische, biometrische und Gesundheitsdaten handelt, gemäß Art. 9 DSGVO).

Außerdem muss der Datenschutzbeauftragte erweiterte Befugnisse erhalten: Seine Aufgabe ist es jetzt, die Einhaltung der Datenschutzbestimmungen zu überwachen. Bisher reicht das bloße „Hinwirken“. Mit Appellen und Belehrungen ohne Kontrolle ist es jetzt allerdings nicht mehr getan.

In die Zuständigkeit des Datenschutzbeauftragten fällt in der Regel auch, für eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO zu sorgen. Das ist eine spezielle Risikoanalyse für Unternehmen und Organisationen mit erhöhtem Datenschutzrisiko – weshalb solche Betriebe ohnehin einen Datenschutzbeauftragten ernennen müssen.

Ob Sie als Datenschutzbeauftragten einen Arbeitnehmer oder einen externen Berater wählen, ist Ihre Sache. Er muss aber die notwendige Sachkenntnis besitzen.

Falls es einen Datenschutzbeauftragten gibt, müssen seine Kontaktdaten veröffentlicht werden, beispielsweise in der Datenschutzerklärung und/oder dem Impressum. Im Verzeichnis der Verarbeitungstätigkeiten muss er auch erwähnt werden.

5. Datenschutzerklärung

Die DSGVO legt fest, dass Betroffene in verständlicher und recht detaillierter Form über das Speichern und Verarbeiten ihrer personenbezogenen Daten informiert werden müssen.

Das bedeutet: Selbst wenn Sie eine Datenschutzerklärung auf der Website haben, muss sie vermutlich angepasst werden. Wenn es noch keine Datenschutzerklärung gibt, wird es Zeit dafür. Websites, auf denen gar keine Daten erhoben werden, gibt es nur noch selten – dafür reicht bereits die Möglichkeit zum Newsletter-Abo oder das Erheben und Auswerten einer Besucherstatistik. Weitere Informationen finden Sie im Beitrag „Warum Website-Betreiber ihre Datenschutzerklärung jetzt anpassen müssen“.

6. Einwilligung: wichtig, aber nicht immer erforderlich

Nicht in jedem Fall muss laut DSGVO eine ausdrückliche Einwilligung zum Speichern der Daten vorliegen (die Speicherung kann ja auf einem berechtigten Interesse oder einer gesetzlichen Vorschrift beruhen).

Aber es sollte Klarheit herrschen, für welche Datenbestände welche Rechtsgrundlage existiert und was rechtlich problematisch sein könnte. Und dort, wo eine Einwilligung des Betroffenen nötig ist, muss man später nachweisen können, dass sie erteilt wurde.

Abfragen und Formulare, die die Einwilligung zur Datenspeicherung betreffen, müssen auf DSGVO-Stand gebracht werden.

Die Einwilligung kommt nur dann wirksam zustande, wenn der Betreffende über den Zweck der Datenverarbeitung informiert wird und sich dafür oder dagegen entscheiden kann. Ein Vertragsabschluss darf beispielsweise nicht daran gekoppelt sein, dass man weitere, dafür nicht notwendige personenbezogene Daten von sich preisgibt (Kopplungsverbot). Außerdem muss die Einwilligung ausdrücklich den Hinweis enthalten, dass der Betreffende seine Einwilligung später widerrufen kann.

Vor diesem Hintergrund müssen alle Bestellformulare, Abo-Funktionen, Kontaktformulare etc. überprüft werden.

Nicht immer muss der Betroffene einwilligen. Wichtige Ausnahmen sind unter anderem die Vertragserfüllung und die Wahrung berechtigter (wirtschaftlicher) Interessen: Personenbezogene Daten, die dafür notwendig sind, dürfen ohne Einwilligung gespeichert und verarbeitet werden.

Berechtigte Interessen seitens des Verarbeiters (sprich: Sie/Ihre Firma) könnten sein:

  • Kunden- und Bestellverwaltung: Wenn ein Kunde eine Ware bestellt bzw. kauft, muss er personenbezogene Daten wie Name, Adresse, E-Mail-Adresse, Konto- oder Kreditkartennummer, Geburtsdatum (Volljährigkeit) etc. von sich preisgeben. Diese Daten sind für die Vertragserfüllung erforderlich. Ohne sie kann weder die Ware versendet noch die Rechnung gestellt werden. Bei Ratenzahlungen dürfen auch die Daten der SCHUFA verarbeitet werden.

  • Direktwerbung: Sie möchten Käufer in Ihrem Online-Shop auf weitere Angebote hinweisen, die zu bereits erfolgten Bestellungen passen: Kunden, die Katzenfutter gekauft haben, darf man auf die neuen Kratzbäume aufmerksam machen und dazu ihre Namen und E-Mail-Adressen verarbeiten. Allerdings muss der Adressat immer die Möglichkeit haben, solcher Direktwerbung zu widersprechen (Opt-out). Nicht zulässig ist es, personenbezogene Daten an Dritte zu übergeben, die in keinem Zusammenhang mit dem ursprünglichen Vertrag stehen, etwa an Adresshändler oder andere Shop-Inhaber.

  • Kontaktangaben von Arbeitnehmern: Wenn Sie die Namen und geschäftlichen Kontaktdaten von Mitarbeitern des Vertriebs oder der Presseabteilung im Internet veröffentlichen, entspricht das einem berechtigen Interesse des Unternehmens. Damit muss ein Mitarbeiter rechnen, zu dessen Kernaufgaben die Kontaktpflege nach außen gehört.

Noch ist vieles unklar

Es liegt auf der Hand, dass in der Praxis viele Grenz- und Zweifelsfälle existieren. Dann hilft nur eine Abwägung der beiderseitigen Interessen und Rechte. Es wird einige Zeit dauern, bis die Gerichte eine klare Linie entwickelt haben, wo genau die Grenze der „berechtigten Interessen“ von Unternehmen in der Praxis verläuft. Bis dahin bleibt die Rechtslage unsicher.

7. Datenschutzfreundliche Grundeinstellungen

Die DSGVO fordert, dass die Voreinstellungen bei Online-Diensten, bei Software und anderen technischen Angeboten grundsätzlich möglichst datenschutzfreundlich gewählt werden („privacy by default“). Bereits die technische Gestaltung soll möglichst datenschutzorientiert erfolgen („privacy by design“).

Das ergibt sich aus dem Grundsatz der Datenminimierung in Art. 5 DSGVO und aus der Verpflichtung zur Gewährleistung eines angemessenen Schutzniveaus nach Art. 32 DSGVO.

Die Technologie muss also mehr gewährleisten als den Schutz der persönlichen Nutzerdaten gegen Hacker. Sie muss so gestaltet sein, dass der Nutzer nur die für den Zweck des Programms oder Dienstes wirklich notwendigen personenbezogenen Daten angeben muss und ansonsten selbst entscheiden kann, ob er weitere Daten von sich preisgeben will.

Praktisch folgt beispielsweise:

  • Eingabe- und Bestellmasken sollten nicht mehr an personenbezogenen Pflichtangaben einbinden als notwendig. Wenn Interessenten sich per E-Mail ein kostenloses Whitepaper zuschicken lassen können, kann das Bestellformular zwar die Eingabe der Postadresse ermöglichen, der Abschluss der Bestellung sollte aber nicht davon abhängen.

  • Wenn Kunden sich untereinander in einem Online-Forum austauschen können, sollte die Software nicht ohne triftigen Grund die Angabe der Klarnamen erzwingen.

  • Die Kundendatenbank sollte so gestaltet sein, dass sie nur denjenigen Mitarbeitern Zugriff auf personenbezogene Daten gibt, die dies für ihre Aufgabe tatsächlich benötigen.

8. Datensicherheit und IT-Sicherheit

Die DSGVO verlangt bei der Datenverarbeitung „geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“ (Art. 32 DSGVO).

Dazu gehören beispielsweise:

  • Verschlüsselungstechnologien (z. B. SSL für Websites, PGP oder S/MIME für E-Mail, Datensicherungskonzepte mit Verschlüsselung);

  • andere Komponenten gelebter IT-Sicherheit wie taugliche Passwort-Policies, laufende Software-Updates, Einsatz von Firewalls, Virenschutz, Intrusion Detection etc.;

  • sinnvolle organisatorische Konzepte: Auslagern sensibler Daten in sichere Rechenzentren, Zugangsschutz für Serverräume und Aktenarchive, abgestufte Zugriffsberechtigungen für personenbezogene Daten: nur wer sie benötigt, darf sie abrufen;

  • Schulungen und Verpflichtungen für Arbeitnehmer (siehe Punkt 11).

Die DSGVO erwähnt explizit, dass eine Datenschutz-Zertifizierung als Nachweis für die Erfüllung dieser Vorschrift wichtig sein kann. Leider ist bislang noch nicht klar, was als Zertifizierung im Sinne der DSGVO gilt und ob das beispielsweise mit ISO-27001-Konformität erreicht ist.

9. Maßnahmen bei Datenpannen

„Verletzungen des Schutzes personenbezogener Daten“, d. h. Datenpannen und -verluste, müssen laut Art. 33 DSGVO innerhalb von 72 Stunden an die Aufsichtsbehörden gemeldet werden, wenn das möglich ist.

Die Meldung muss die voraussichtlichen Folgen der Datenschutzverletzung umfassen und die ergriffenen Maßnahmen schildern. Geplant ist, dass solche Meldungen zukünftig auch online bei der Aufsichtsbehörde abgegeben werden können.

Damit diese Pflicht im Fall eines Hacks oder einer Rechner-Havarie umgesetzt werden kann, sollte es klare interne Anweisungen und einen Reaktionsplan für solche Situationen geben. Das gilt auch für kleinere Unternehmen.

10. Recht auf Löschung

Sie müssen in der Lage sein, die personenbezogenen Daten jeder Person komplett zu löschen, wenn sie es von Ihnen verlangt (und kein berechtigtes Interesse Ihrerseits entgegensteht, siehe Punkt 6). Das verlangt Art. 17 DSGVO.

Natürlich greift dieser Anspruch nicht, wenn ein Kunde, der noch nicht bezahlt hat, die Löschung seiner Daten aus Ihrer Buchhaltung verlangt. Aber Sie sollten in der Lage sein, die Daten eines Nutzers zu löschen, der unter vollem Namen auf Ihrer Website Kommentare hinterlassen oder nur den Newsletter abonniert hat und es sich dann anders überlegt.

Im Idealfall gibt es für alle personenbezogenen Daten ein Löschkonzept, das dokumentiert, ob bzw. wann die jeweiligen Datensätze gelöscht werden können, und dafür sorgt, dass dies dann tatsächlich passiert. Dieses Löschkonzept gehört dann auch als Anlage zum Verzeichnis der Verarbeitungstätigkeiten (Punkt 2).

11. Verpflichtung auf das Datengeheimnis

Bislang schrieb das Bundesdatenschutzgesetz vor, dass Arbeitnehmer, die mit personenbezogenen Daten zu tun hatten, vom Arbeitgeber auf das Datengeheimnis verpflichtet werden mussten. Das konnte im Arbeitsvertag oder durch eine gesonderte Erklärung erfolgen.

In der DSGVO ist diese Forderung nicht mehr explizit enthalten, wohl aber implizit (Art 32 Abs. 4 DSGVO). Eine arbeitsrechtliche Verpflichtung der Mitarbeiter auf die Einhaltung datenschutzrechtlicher Bestimmungen ist also weiterhin sehr sinnvoll.

Falls die Formulierung der bisherigen Verpflichtungserklärung ausdrücklich auf § 5 BDSG Bezug nimmt, muss sie aktualisiert werden.

Fazit

Nachdem das Thema DSGVO lange eher ignoriert wurde, wird es nun auf breiter Front zum Thema. Dabei wird oft unterschlagen, dass die Feinheiten und die ganz konkreten Auswirkungen der veränderten Rechtslage längst noch nicht alle klar sind: Dafür muss man abwarten, wie die Gerichte in den nächsten Jahren urteilen.

Manche Stolperfallen, Abmahnfallen etwa, werden sich erst noch zeigen. Andere Punkte, die aktuell aufgeregt diskutiert werden, haben vielleicht gar keine großen Auswirkungen.

Kleinere Unternehmen und Selbstständige, die die Datenschutzproblematik ernst nehmen und sich bisher schon um datenschutzkonforme Abläufe bemüht haben, sollten keine unüberwindbaren Probleme haben. Alle anderen müssen sich nun kümmern.

Weitere Links und Informationen