Sie werden spätestens jetzt festgestellt haben, dass die DSGVO hohe Ansprüche an den Datenschutz in Unternehmen stellt. Unsere DSGVO-Checkliste hilft Ihnen dabei, alle Vorgaben rechtskonform umzusetzen und zu dokumentieren. Nehmen Sie sich daher unbedingt die Zeit, um abzufragen, bei welchen Punkten in Ihrem Betrieb noch Handlungsbedarf besteht und die entsprechenden DSGVO-Richtlinien mit Hilfe der Checkliste genau zu prüfen.
DSGVO: Das müssen Sie zur EU-Datenschutz-Grundverordnung wissen
Das Wichtigste in Kürze
Die Datenschutz-Grundverordnung (DSGVO) regelt seit dem 25. Mai 2018 europaweit den Umgang mit personenbezogenen Daten und betrifft alle Unternehmen, die solche Daten nutzen.
Zu den Neuerungen gehören das Recht auf Vergessenwerden und das Recht auf Einschränkung der Verarbeitung.
Unternehmen müssen in der Lage sein, personenbezogene Daten unverzüglich zu löschen, insbesondere wenn die betroffene Person ihre Einwilligung widerruft oder wenn keine Rechtsgrundlage für die Verarbeitung besteht.
Bei Nichteinhaltung der DSGVO drohen hohe Bußgelder. Unternehmen sollten daher vorbeugende Maßnahmen ergreifen, ihre Mitarbeiter schulen und nur DSGVO-konforme Software-Lösungen nutzen.
Alles Wichtige zur Datenschutz-Grundverordnung (DSGVO) für Kleinunternehmen
Seit 25. Mai 2018 gilt die bereits 2016 in Kraft getretene EU-Datenschutz-Grundverordnung – kurz: DSGVO. Sie regelt europaweit den Umgang mit personenbezogenen Daten und betrifft jedes Unternehmen, das im Internet tätig ist oder personenbezogene Daten in irgendeiner Weise nutzt.
Seit Inkrafttreten der DSGVO gelten für europäische Unternehmen außerdem folgende gesetzliche Neuerungen im Hinblick auf die Auftragsdatenverarbeitung:
- 17 DSGVO: Recht auf Vergessenwerden und auf Löschung
- 18 DSGVO: Recht auf Einschränkung der Verarbeitung
Konkret bedeutet das: Man kann von Ihnen verlangen, personenbezogene Daten unverzüglich zu löschen – zum Beispiel indem betroffene Personen ihre Einwilligung wiederrufen oder wenn sie Widerspruch gegen eine Publikation eingelegt haben bzw. wenn sonst keine Rechtsgrundlage für die Verarbeitung besteht oder wenn sensible Daten betroffen sind. Darüber hinaus schreibt die DSGVO vor, dass Sie weitere Verantwortliche informieren müssen, die zum Beispiel Links oder Kopien der betreffenden Daten bearbeiten.
Die DSGVO betrifft also alle Betriebe, die innerhalb der Europäischen Union personenbezogene Daten verarbeiten. Wer seit dem Stichtag die Vorgaben nicht einhält, riskiert hohe Bußgelder. Sofern Sie sich als Kleinunternehmer aber richtig auf die DSGVO vorbereiten, müssen Sie keine Angst vor datenschutzrechtlichen Konsequenzen haben. Zu diesem Zweck haben wir umfassendes DSGVO-Wissen auf unserer Seite für Sie zusammengestellt:
Wir informieren Sie genau, worauf Sie in Sachen DSGVO achten müssen und welche Schritte Sie als Kleinunternehmer auf jeden Fall angehen sollten, wenn Sie es bis jetzt noch nicht getan haben. Es gibt zwar die eine oder andere Erleichterung für Kleinstunternehmen und Einzelunternehmer, aber trotzdem noch mehr als genug im Hinblick auf die DSGVO zu tun.
Wir haben außerdem noch einmal alle wichtigen Punkte zur neuen Datenschutzverordnung in einem DSGVO eBook ausführlich für Sie zusammengetragen. Dieses können Sie sich bei uns kostenlos herunterladen. Damit ist sichergestellt, dass Sie die aktuellen DSGVO-Vorschriften konform umsetzen.
DSGVO Premium eBook gratis
Informieren Sie sich optimal mit umfassendem Fachwissen zur DSGVO. Lexware Office hat für Sie ein ausführliches Premium eBook DSGVO zusammengestellt – jetzt gratis zum Download.
Was sind die wichtigsten DSGVO-Pflichten für Unternehmen?
Als Unternehmer bekommen Sie es jeden Tag mit den unterschiedlichsten Daten zu tun:
- Kundendaten
- Mitarbeiterdaten
- Dienstleisterdaten
Dementsprechend besteht immer ein gewisses Risiko, dass es in Ihrem Betrieb zu Datenschutzverstößen gemäß dem Bundesdatenschutzgesetz (BDSG) kommen kann. Sie haben dafür Sorge zu tragen, die DSGVO in Ihrem Unternehmen gesetzeskonform umzusetzen. Wir verraten Ihnen, welche Pflichten Sie erfüllen müssen, um die neuen Regelungen der Datenschutz-Grundverordnung sicher anzuwenden.
Diese DSGVO-Pflichten müssen Sie erfüllen
Sie möchten typischen Stolperfallen bei der Umsetzung der DSGVO möglichst aus dem Weg gehen? Dann sollten Sie sich idealerweise zunächst einen Überblick darüber verschaffen, von welchen DSGVO-Regelungen Sie in Ihrem Unternehmen betroffen sind:
- Verfahrensverzeichnis
Jedes Unternehmen muss ein Verzeichnis aller Verarbeitungstätigkeiten führen. Zwar sieht die DSGVO eine Ausnahme von dieser Pflicht für kleinere Betriebe vor. Die Rückausnahmen, welche die Vorschrift enthält, sind jedoch so weitreichend, dass selbst Kleinstunternehmen von der Ausnahme in der Regel nicht profitieren. Im Verfahrensverzeichnis müssen Sie alle Datenverarbeitungsvorgänge auflisten und insbesondere den Zweck der Verarbeitung sowie die Löschfristen nennen. Sie können das Verzeichnis auch elektronisch führen, etwa in einer Excel-Tabelle. Wichtig dabei ist, dass Sie dazu in der Lage sein müssen, es auf Anfrage der Behörde jederzeit vorlegen zu können. - DSGVO-Betroffenenrechte
Ein wichtiger Teil der DSGVO sind die Rechte der Betroffenen. Dabei ist vieles nicht wirklich neu, sondern der Teufel liegt hier vielmehr im Detail: Der Kunde kann wie bisher jederzeit Auskunft über die Speicherung seiner Daten verlangen. Diese Auskunft müssen Sie unverzüglich erteilen können. Das bedeutet, Sie müssen in Ihrem Unternehmen einen Prozess schaffen, der den Umgang mit Auskunftsansprüchen betrifft. Wichtig ist, dass Sie sich nicht erst dann mit Betroffenenrechten beschäftigen sollten, wenn jemand einen solchen Anspruch geltend macht. Neu im Sinne der DSGVO ist außerdem ein generelles Widerspruchsrecht gegen die Datenverarbeitung. Natürlich kann Ihnen niemand verwehren, Daten zu speichern, die Sie zu Zwecken der Vertragserfüllung oder der Verfolgung von Ansprüchen benötigen. Daten, die Sie hingegen ausschließlich zu Marketingzwecken verarbeiten, müssen Sie auf Verlangen löschen. - Datenschutzinformation
Jedes Unternehmen mit einer Website kennt das schon jetzt: Auch im World Wide Web muss eine Datenschutzerklärung über die Verarbeitung personenbezogener Daten informieren. Das neue DSGVO-Recht geht in doppelter Hinsicht darüber hinaus: Zum einen gilt die Informationspflicht für alle Datenverarbeitungsvorgänge. Auch wenn Sie offline Daten erheben, etwa in einem Kundengespräch, müssen Sie über die Verarbeitung der Daten informieren. Außerdem ist der Umfang der Pflichtinformationen noch einmal erweitert worden. - Meldepflicht bei Datenpannen
Durch die DSGVO deutlich ausgeweitet werden die Pflichten zur Meldung von Datenpannen. Während eine Meldung bisher nur im Ausnahmefall erforderlich war, müssen Sie nach neuem DSGVO-Recht grundsätzlich jede Datenschutzverletzung binnen 72 Stunden der Behörde – und unter Umständen auch den Betroffenen – melden. Aus dieser DSGVO-Pflicht folgt letztlich die Notwendigkeit, einen unternehmensinternen Prozess zu schaffen, der im Falle von Datenlecks greift. - Benennung eines Datenschutzbeauftragten
Das neue Datenschutzrecht sieht ebenfalls eine DSGVO-Pflicht zur Bestellung eines Datenschutzbeauftragten vor, sofern sich mehr als 10 Mitarbeiter in Ihrem Unternehmen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Weil das auf fast alle Betriebe mit mehr als 10 Mitarbeitern zutrifft, werden also auch nach Mai 2018 viele deutsche Firmen einen Datenschutzbeauftragten bestellen müssen.
Merken Sie sich: Die DSGVO enthält das sogenannte Nachweis-Prinzip. Das heißt, Sie als Auftragsverarbeiter müssen zukünftig in der Lage dazu sein, der Aufsichtsbehörde auf Anfrage zu belegen, dass Sie rechtskonform im Sinne der DSGVO-Vorgaben handeln. Andernfalls drohen Ihnen hohe Bußgelder.
DSGVO-Wiki: Das müssen Unternehmer im Bereich der neuen Datenschutz-Grundverordnung wissen
Es ist wichtig, dass Sie sich zunächst ein fundiertes Grundlagenwissen im Bereich des Datenschutzes aneignen, um die Richtlinien der DSGVO effizient angehen und umsetzen zu können. Im folgenden DSGVO-Wiki geben wir Ihnen Auskunft über die wichtigsten Begrifflichkeiten und Grundsätze, die Sie kennen sollten. Außerdem erhalten Sie in unserer DSGVO-FAQ Antworten auf die wichtigsten Fragen zur neuen Datenschutz-Grundverordnung:
Was muss ich als Kleinunternehmer über die DSGVO wissen?
Was genau sind eigentlich personenbezogene Daten?
Unter personenbezogenen Daten versteht man gemäß der DSGVO alle Angaben über persönliche oder sachliche Verhältnisse, die eine natürliche Person betreffen. Hierzu gehören unter anderem:
- Name
- Anschrift
- Geburtsdatum
- Beruf
- Staatsangehörigkeit
- Religionszugehörigkeit
- Vermögensstand
- Gesundheitszustand
- Sexuelle Orientierung
Die DSGVO sieht das Prinzip der Datenminimierung vor, das heißt sensible Daten sollen stets in möglichst geringem Umfang erhoben und verarbeitet werden.
Welche Rechte haben Personen im Hinblick auf ihre Daten?
Jede natürliche Person hat im Sinne der DSGVO bestimmte Rechte an ihren personenbezogenen Daten, welche Sie als Unternehmer unbedingt kennen sollten:
- Alle Personen müssen aktiv zustimmen, dass ihre Daten von Ihnen gespeichert und verarbeitet werden dürfen. Ein „stillschweigendes Einverständnis“ allein (z. B. durch Akzeptieren einer Datenschutzerklärung) genügt nicht.
- Jede Person hat das Recht, auf Anfrage bestimmte Auskünfte über ihre gespeicherten Daten zu erhalten (z. B. welche Daten haben Sie?, wie kamen Sie an die Daten?, wozu speichern Sie die Daten?, an wen geben Sie die Daten?).
- Alle Personen können von Ihnen verlangen, Fehler in den erhobenen personenbezogenen Daten bereinigen zu lassen.
- Jede Person kann ihre Einwilligung zur Datenspeicherung jederzeit widerrufen und personenbezogene Daten löschen lassen. Dasselbe gilt für unzulässig gespeicherte Daten oder wenn diese nicht mehr für den eigentlichen Zweck gebraucht werden, für den sie eigentlich erhoben wurden.
Welche Maßnahmen dienen dem Schutz personenbezogener Daten?
Sie müssen gemäß der DSGVO verschiedene Maßnahmen ergreifen, um den Schutz personenbezogener Daten sicherzustellen:
- Pseudonymisierung und Verschlüsselung personenbezogener Daten
- Sicherstellen von Vertraulichkeit, Integrität, Verfügbarkeit sowie Belastbarkeit der für die
- Datenverarbeitung eingesetzten Systeme und Dienste
- Wiederherstellbarkeit personenbezogener Daten im Falle eines physischen oder technischen Zwischenfalls
- Regelmäßige Überprüfung und Auswertung der Schutzmaßnahmen personenbezogener Daten
Wer ist für den Datenschutz in Unternehmen verantwortlich?
Wer ist für den Datenschutz in Unternehmen verantwortlich?
Wer genau die Verantwortung für den Datenschutz trägt, hängt mitunter von Struktur und Größe Ihres Unternehmens ab:
Geschäftsführer
- Trägt die Gesamt-verantwortung für den Datenschutz.
- Muss passende Rahmen-bedingungen schaffen, um ausreichenden Datenschutz zu gewährleisten (z. B. Hardware).
- Haftet, sofern es keinen Datenschutzbeauftragten gibt.
Datenschutzbeauftragter
- Muss bestellt werden, wenn mind. 10 Mitarbeiter permanent mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
- Kann aus dem eigenen Unternehmen berufen werden oder von extern kommen.
Mitarbeiter
- Jeder Mitarbeiter ist für den gesetzeskonformen Umgang mit Daten verantwortlich (daher ist eine klare Einweisung unbedingt notwendig).
- Mitarbeiter können zum Datengeheimnis verpflichtet werden, welches auch nach Beendigung ihrer Tätigkeit noch fortbesteht.
Wie schütze ich die Daten von Mitarbeitern und Bewerbern angemessen?
Sofern Sie Mitarbeiter in Ihrem Unternehmen beschäftigen, denen Sie regelmäßig eine Lohn- und Gehaltsabrechnung ausstellen, verfügen Sie mit Sicherheit auch über einen Pool mit deren persönlichen Daten. Personenbezogene Daten Ihrer Angestellten dürfen Sie gemäß der DSGVO zukünftig verarbeiten, weil dies für die Aufnahme, Durchführung und Beendigung eines Arbeitsverhältnisses notwendig ist. Wichtig ist jedoch, dass Sie die personenbezogenen Daten Ihrer Mitarbeiter angemessen schützen, zum Beispiel vor dem Zugriff unbefugter Dritter. Was Sie hierfür tun sollten, können Sie in unserem DSGVO eBook nachlesen.
Auch Bewerberdaten unterliegen in Unternehmen dem Datenschutz – unabhängig davon, ob es sich dabei um eine Bewerbung auf eine von Ihnen ausgeschriebene Stelle oder um eine Initiativbewerbung handelt. Wichtig ist daher, dass Sie alle Daten abgelehnter Bewerber binnen sechs Monaten löschen. Bei einem Verstoß haben abgelehnte Personen nämlich die Möglichkeit, Klage gegen Sie einzureichen und Schadenersatz zu fordern. Eine Ausnahme bilden lediglich Name, Anschrift und Geburtsdatum. Diese Daten dürfen Sie speichern, sofern Sie diese für zukünftige Bewerbungsverfahren weiterhin nutzen wollen. Möchten Sie weitere Daten eines Bewerbers länger aufbewahren – zum Beispiel, um ihn in einen Bewerberpool aufzunehmen – müssen Sie seine schriftliche Einwilligung einholen.
Wie kann ich Kundendaten schützen?
Insbesondere Kleinunternehmer stehen häufig in engem Kontakt mit ihren Kunden. Umso wichtiger ist es, dass es nicht zu problematischen Zwischenfällen kommt. Sofern Ihre Kunden davon erfahren, kann sich das nämlich schnell geschäftsschädigend auf Ihr Unternehmen auswirken. Aus diesem Grund sollten Sie Datenschutzverletzungen im Hinblick auf die personenbezogenen Daten Ihrer Kunden unbedingt vermeiden.
Wichtig ist, dass Sie Kundendaten, wie zum Beispiel private Telefonnummern oder E-Mail-Adressen, vertraulich behandeln und alle persönlichen Daten sicher aufbewahren. Das bedeutet auch, personenbezogene Daten Ihrer Kunden nicht auf mobilen Endgeräten zu speichern. Nutzen Sie einen Cloud-Speicher, sollten Sie sich zudem um eine Datenverschlüsselung kümmern.
Wie gehe ich richtige mit Daten von Dienstleistern um?
Sofern Sie als Kleinunternehmer enge geschäftliche Beziehungen zu Ihren Dienstleistern und Lieferanten pflegen, speichern Sie vermutlich hin und wieder personenbezogene Daten Ihrer Ansprechpartner. Diese unterliegen selbstverständlich ebenfalls dem Datenschutz. Hinzu kommt, dass Sie gemäß der DSGVO dazu verpflichtet sind, einen Vertrag über Auftragsverarbeitung mit Ihren Lieferanten und Dienstleistern zu schließen, sobald diese personenbezogenen Daten für Sie verarbeiten. Das ist zum Beispiel dann der Fall, wenn Sie mit anderen Agenturen, Web-Hostern, Cloud-Anbietern, Gehaltsabrechnungsbüros und Co. zusammenarbeiten.
Wie reagiere ich richtig auf Datenschutz-Verletzungen?
Im besten Fall sollten Sie von vornherein alles dafür tun, um Datenschutzverletzungen in Ihrem Unternehmen zu vermeiden. Manchmal können allerdings trotzdem Fehler passieren, wozu beispielsweise auch IT-Ausfälle gehören. Für den Fall, dass in Ihrem Betrieb der Schutz personenbezogener Daten verletzt wurde, sieht die DSGVO bestimmte Verhaltensweisen vor:
- Informieren Sie unverzüglich die zuständige Aufsichtsbehörde. Warten Sie hiermit keinesfalls länger als 72 Stunden.
- Setzen Sie ebenfalls die Betroffenen von der Datenpanne in Kenntnis, sofern voraussichtlich ein hohes Risiko für deren Rechte und Freiheiten besteht.
- Formulieren Sie die Benachrichtigung in einfacher und klarer Sprache.
Sie können definitiv ausschließen, dass Sie die Rechte der betroffenen Personen bei einer Datenpanne verletzt haben? Dann dürfen Sie auf die Meldung verzichten. Wenn Sie vor der Datenpanne entsprechende Maßnahmen getroffen haben, die eine Einsichtnahme der Daten durch Dritte ausschließen, müssen Sie die Betroffenen nicht benachrichtigen.
Mit welchen Strafen muss ich bei DSGVO-Verstößen rechnen?
DSGVO-Verstöße können schnell ganz schön teuer werden! Mögliche Bußgeldzahlungen können Sie bis zu 4 % Ihres Umsatzes bzw. im schlimmsten Fall bis zu 20 Mio. Euro kosten. In Anbetracht dieser hohen Bußgeld-Summen sollten Sie gerade als Kleinunternehmer dringend vorbeugende Maßnahmen ergreifen, um von vornherein einen wirtschaftlichen Schaden Ihres Betriebs durch Verstöße gegen den Datenschutz auszuschließen. Achten Sie nicht nur darauf, Ihre Mitarbeiter gründlich im Sinne der DSGVO zu unterweisen, sondern setzen Sie außerdem nur Software-Lösungen in Ihrem Unternehmen ein, mit denen Sie zu 100 % DSGVO-konform arbeiten können.
Ab wann brauche ich einen Datenschutzbeauftragten?
Wie bereits erwähnt, müssen Sie einen Datenschutzbeauftragen bestellen, sobald Sie in Ihrem Unternehmen mindestens zehn Mitarbeiter beschäftigen, die mit der Verarbeitung personenbezogener Daten beschäftigt sind. Sie haben dabei folgende Möglichkeiten:
- Sie machen einen Ihrer Mitarbeiter zum Datenschutzbeauftragten
- Sie konsultieren einen externen Fachspezialisten
Anschließend muss der Datenschutzbeauftragte in Ihrem Unternehmen folgenden Aufgaben nachkommen:
- Überwachung der Einhaltung der DSGVO-Vorschriften
- Zusammenarbeit mit der Aufsichtsbehörde
- Beratung in Bezug auf Datenschutz-Folgenabschätzungen
- Unterrichtung und Beratung des Verantwortlichen bzw. des Auftragsverarbeiters
Wie kann ich im Sinne der DSGVO Daten für Marketing- und Werbemaßnahmen verwenden?
Sie betreiben eine eigene Website und verschicken regelmäßig einen Newsletter oder besitzen vielleicht sogar einen Kunden-Login? Auch in diesem Fall müssen Sie dafür Sorge tragen, die DSGVO-Richtlinien einzuhalten. Denn sobald sich Kunden online auf Ihrer Seite anmelden, erhalten Sie personenbezogene Daten, die Sie möglicherweise weiterverarbeiten möchten. Die DSGVO schreibt grundsätzlich vor, dass Sie personenbezogene Daten von Kunden nur unter bestimmten Voraussetzungen weiterverarbeiten dürfen. Welche das sind, können Sie im Lexware Office DSGVO eBook ausführlich nachlesen. Sofern diese nicht erfüllt sind, müssen Sie bei Ihren Interessenten bzw. Kunden eine schriftliche Einwilligung einholen, um deren Daten weiterverarbeiten zu dürfen.
DSGVO-Checkliste zur Umsetzung der neuen Datenschutz-Grundverordnung
Die DSGVO trat bereits im Mai 2018 in Kraft. Trotzdem existieren nach wie vor zahlreiche Unternehmen, welche die DSGVO noch nicht so umsetzen, wie sie es eigentlich sollten. Beachten Sie, dass die Bundesregierung bei Nichteinhaltung der Datenschutz-Grundverordnung hart durchgreift. Mittlerweile werden immer mehr Firmen von der Aufsichtsbehörde geprüft. Sie sind selbst noch unsicher, ob Sie alle wichtigen Vorschriften einhalten und gesetzeskonform dokumentieren? Für diesen Fall haben wir eine übersichtliche DSGVO-Checkliste erstellt, welche Ihnen dabei hilft, die neuen Regelungen konform umzusetzen.
Verantwortlichkeiten
- Sind in Ihrem Unternehmen alle Verantwortlichkeiten hinsichtlich des Datenschutzes klar geregelt?
- Wer entscheidet bei Ihnen über die Datenverarbeitung?
- Wer hat Zugriff zu welchen Daten und ist dieser angemessen gesichert?
- Werden besondere Sicherheitsvorkehrungen für sensible oder geheime Daten getroffen, und wenn ja, entsprechen diese den Anforderungen der DSGVO?
Verzeichnis der Verarbeitungstätigkeiten
- Dokumentieren Sie alle Verarbeitungstätigkeiten in Ihrem Unternehmen ausführlich in einem Verzeichnis und halten Sie dieses stets auf dem neuesten Stand?
- Listen Sie genau auf, warum Sie personenbezogene Daten verarbeiten, in welchem Rahmen das geschieht und wie Sie dies veranlassen?
Auftragsverarbeitungsvertrag
- Beauftragen Sie Dritte mit der Verarbeitung personenbezogener Daten bzw. sourcen Sie bestimmte Geschäftsbereiche out, sodass Sie einen Auftragsverarbeitungsvertrag benötigen?
- Haben Sie im Rahmen der Rechenschaftspflicht detailliert festgelegt, in welchem Rahmen personenbezogene Daten verarbeitet werden dürfen, sodass Sie ausreichend Schutz sowohl für die Betroffenen als auch für Ihr eigenes Unternehmen gewährleisten?
- Sind Ihre Vertragsmuster bzw. AGB so gestaltet, dass diese den Anforderungen der DSGVO gerecht werden?
Datenschutzerklärung
- Betreiben Sie eine eigene Webseite oder einen Online-Shop, für welchen Sie eine Datenschutzerklärung benötigen?
- Informieren Sie im Rahmen dieser Datenschutzerklärung Ihre Nutzer darüber, dass Sie personenbezogene Daten verarbeiten?
- Ist Ihre Datenschutzerklärung vollständig, sodass Sie sicher vor potenziellen DSGVO-Abmahnungen sind?
- Ist Ihre Datenschutzerklärung klar und einfach formuliert, sodass man Ihnen keinen Wettbewerbsvorteil durch unklare Ausdrücke vorwerfen kann?
- Machen Sie verschiedene Tools oder Plug-Ins kenntlich, mit deren Hilfe Sie Profiling auf Ihrer Webseite betreiben?
Datenschutzfolgenabschätzung
- Verarbeiten Sie sensible Informationen, die ein erhöhtes Risiko für die Betroffenen beinhalten, sodass eine Datenschutzfolgenabschätzung für Sie erforderlich ist?
- Haben Sie einen Datenschutzbeauftragten hinzugezogen, welcher geprüft hat, ob eine Verarbeitung überhaupt möglich ist?
- Beinhaltet Ihre Datenschutzfolgenabschätzung alle relevanten Punkte (z. B. Vorgänge, Zweck, bestehende Notwendigkeit, Verhältnismäßigkeit, Risiken, Abhilfemaßnahmen etc.)?
Datenschutzbeauftragter
- Beschäftigen sich mehr als zehn Mitarbeiter in Ihrem Unternehmen mit personenbezogenen Daten, sodass Sie nach den neuen DSGVO-Vorschriften einen Datenschutzbeauftragten benötigen?
- Wenn ja, für welche Vorgänge?
- Möchten Sie eine Person aus Ihrer Firma zu einem internen Datenschutzexperten ausbilden lassen oder lieber einen externen Fachmann bestellen?
IT-Sicherheit
- Wenden Sie adäquate Sicherheitsmaßnahmen an, um das Risiko für Betroffene so gut es geht zu minimieren?
- Setzen Sie Verschlüsselungstechnologien für Ihre Webseite (SSL) und Ihren E-Mail-Verkehr (S/MIME) sowie sichere Passwörter ein?
- Achten Sie darauf, dass nur berechtigte Mitarbeiter Zugriff auf personenbezogene Daten haben und Sie Ihre Serverräume angemessen vor Unbefugten schützen?
- Sensibilisieren Sie Ihre Mitarbeiter genügend für das Thema Datenschutz?
Recht auf Vergessen
- Sind Sie dazu in der Lage, in Ihrem Unternehmen schnell auf die Daten einzelner Personen zuzugreifen und diese ohne größeren Aufwand zu löschen?
- Prüfen Sie in Ihrer Firma regelmäßig, welche anderen Unternehmen Daten über Personen (z. B. Kunden) bearbeiten, die eine Löschung verlangen können?
- Erstellen Sie Listen, mit deren Hilfe Sie betreffende Datenverarbeiter sofort informieren können, wenn jemand das Recht auf Vergessenwerden in Anspruch nimmt?
Wo finde ich sichere DSGVO-Vorlagen und -Muster für eine professionelle Datenschutz-Dokumentation?
Nach Maßgabe der DSGVO reicht es mittlerweile nicht mehr aus, Datenschutz im Unternehmen nur umzusetzen. Stattdessen müssen Sie ebenfalls einen tauglichen Nachweis darüber erbringen können, wie Sie der neuen Verordnung nachkommen. Am besten funktioniert das, indem Sie alles genauestens dokumentieren. Daher sollten Sie unbedingt entsprechende Vorkehrungen treffen, damit Ihnen später keine böse Überraschung droht.
Um Ihnen die Dokumentation Ihrer Datenverarbeitung zu erleichtern, haben Sie die Möglichkeit, spezielle DSGVO-Vorlagen und -Muster zu verwenden. Diese können Sie in unserem DSGVO eBook kostenlos herunterladen. Sie haben die Wahl aus folgenden Vordrucken:
- Verpflichtungserklärung zur Vertraulichkeit für Mitarbeiter: Seit Inkrafttreten der DSGVO müssen Sie Ihre Mitarbeiter nicht mehr zwingend zum Datengeheimnis verpflichten. Stattdessen sollten Sie Ihre Angestellten eine Verpflichtungserklärung zur Vertraulichkeit unterschreiben lassen. Hierzu finden Sie bei uns einen entsprechenden Vordruck.
- Muster-Verzeichnis von Verarbeitungstätigkeiten für Verantwortliche: Ein Verzeichnis von Verarbeitungstätigkeiten dient Ihnen zur DSGVO-konformen Dokumentation aller Geschäftsabläufe in Ihrem Betrieb, mit denen Sie personenbezogene Daten verarbeiten. Auf Basis unserer DSGVO-Vorlage haben Sie die Möglichkeit, Ihr individuelles Verarbeitungsverzeichnis zu erstellen.
- Muster allgemeine Datenschutzhinweise: Sie müssen jede Person, deren Daten Sie erheben, bei Erstkontakt mit verschiedenen Pflichtinformationen versorgen. Unser DSGVO-Muster für die Datenschutzhinweise hilft Ihnen dabei.
- Musterschreiben Auskunftsanfrage: Sie müssen jederzeit dazu in der Lage sein, Personen Auskunft darüber zu erteilen, welche Daten Sie über diese gespeichert haben. Bei uns erhalten Sie eine entsprechende DSGVO-Vorlage, die Ihnen dabei hilft, korrekt auf solche Anfragen zu reagieren.
Mit unseren kostenlosen DSGVO-Mustertexten und -Vorlagen können Kleinunternehmer ihre Datenschutzdokumentation unkompliziert in Angriff nehmen. Die Vordrucke bieten Ihnen als Auftragsverarbeiter folgende Vorteile:
- Sie erstellen im Handumdrehen wichtige Dokumente für Ihre DSGVO-Dokumentation.
- Sie sparen Zeit im Vergleich zur Eigenrecherche.
- Sie sparen teure Gebühren für Berater etc.
- Sie sind optimal auf Auskunftsanfrage vorbereitet.
- Sie zeigen Ihren Kunden und Mitarbeitern, dass Sie den Datenschutz ernst nehmen.
Auch als Datenschutz-Neuling können Sie die geforderten Dokumentationen mit unseren praktischen DSGVO-Vorlagen und -Mustern problemlos erstellen.
Auch wenn Sie noch überhaupt keine Datenschutz-Maßnahmen eingeleitet haben, ist es keinesfalls zu spät, noch damit zu beginnen. Auch jetzt rentiert es sich noch für Sie, den Datenschutz in Ihrem Betrieb zu dokumentieren. Sofern Sie im Falle einer Prüfung durch die Aufsichtsbehörden nämlich nachweisen können, dass Sie bereits entsprechende Maßnahmen eingeleitet haben, um die DSGVO konform umzusetzen, drücken die Prüfer in vielen Fällen noch einmal ein Auge zu. Finden diese allerdings heraus, dass Sie sich noch überhaupt nicht darum bemüht haben, müssen Sie wahrscheinlich mit einem Bußgeld rechnen.
DSGVO Premium eBook gratis
Laden Sie sich unser kostenloses DSGVO eBook vollgepackt mit vielen praktischen Tipps herunter!
Seitdem die DSGVO in Kraft getreten ist, besteht in vielen Unternehmen dringender Handlungsbedarf, was die Umsetzung der neuen Regelungen zur Datenschutz-Grundverordnung anbelangt. Sollten Sie sich bislang noch nicht tiefergehend mit dem Thema Datenverarbeitung und Datenschutz befasst haben, empfehlen wir Ihnen, spätestens jetzt damit anzufangen. Bei DSGVO-Verstößen drohen Ihnen nämlich nicht bloß Reputationsverluste, sondern schlimmstenfalls auch hohe Bußgelder. Unser DSGVO eBook hilft Ihnen dabei, den Datenschutz in Ihrem Unternehmen zu prüfen, anzugehen und gesetzeskonform umzusetzen.
Experten geben Rat zur DSGVO
Rechtsanwalt Michael Rohrlich, Datenschutzbeauftragter
Kunden fragen – der Experte antwortet
Fachanwalt Dr. Martin Schirmbacher beantwortet zahlreiche Fragen in dem Premium eBook
Diese DSGVO Pflichten müssen Sie erfüllen
Die wichtigsten Punkte einer ganzen Reihe von Compliance-Vorgaben
Verfahrensverzeichnis
Jedes Unternehmen muss ein Verzeichnis aller Verarbeitungstätigkeiten führen. Zwar sieht die DSGVO eine Ausnahme von dieser Pflicht für kleinere Unternehmen vor. Die Rückausnahmen, die die gleiche Vorschrift enthält, sind jedoch so weitreichend, dass selbst Kleinstunternehmen von der Ausnahme nicht profitieren können. In dem Verzeichnis müssen alle Datenverarbeitungsvorgänge aufgelistet und insbesondere der Zweck der Verarbeitung und die Löschfristen genannt werden. Das Verzeichnis kann auch elektronisch, etwa in einer Excel-Tabelle geführt werden, und muss auf Anfrage der Behörde jederzeit vorgelegt werden können.
Betroffenenrechte
Ein wichtiger Teil der DSGVO sind die Rechte der Betroffenen. Dabei ist vieles nicht wirklich neu, der Teufel liegt hier im Detail. Der Kunde kann wie bisher jederzeit Auskunft über die Speicherung seiner Daten verlangen. Diese Auskunft muss unverzüglich erteilt werden. Dies bedeutet, dass in jedem Unternehmen ein Prozess geschaffen werden muss, der den Umgang mit Auskunftsansprüchen betrifft. Niemand sollte sich erstmals mit den Ansprüchen beschäftigen, wenn ein solcher Anspruch geltend gemacht wird. Neu ist ein generelles Widerspruchsrecht gegen die Datenverarbeitung. Natürlich kann dem Unternehmen nicht verwehrt werden, Daten zu speichern, die für die Vertragserfüllung oder Verfolgung von Ansprüchen benötigt werden. Daten, die ausschließlich zu Marketingzwecken verarbeitet werden, müssen dagegen auf Verlangen gelöscht werden.
Datenschutzinformation
Jedes Unternehmen mit einer Website kennt das schon jetzt: Eine Datenschutzerklärung muss über die Verarbeitung personenbezogener Daten informieren. Das neue Recht geht in doppelter Hinsicht darüber hinaus. Zum einen gilt die Informationspflicht für alle Datenverarbeitungsvorgänge. Auch wer offline Daten erhebt, etwa in einem Kundengespräch, muss über die Verarbeitung der Daten informieren. Außerdem ist der Umfang der Pflichtinformationen noch einmal erweitert worden.
Meldepflicht bei Datenpannen
Deutlich ausgeweitet werden die Pflichten zur Meldung von Datenpannen. Während eine Meldung bisher nur im Ausnahmefall erforderlich ist, muss nach neuem Recht grundsätzlich jede Datenschutzverletzung binnen 72 Stunden der Behörde – unter Umständen auch den Betroffenen – gemeldet werden. Aus dieser Pflicht folgt letztlich die Notwendigkeit, einen unternehmensinternen Prozess zu schaffen, der im Falle von Datenlecks greift.
Benennung eines Datenschutzbeauftragten
Auch das neue Datenschutzrecht sieht eine Pflicht zur Bestellung eines Datenschutzbeauftragten vor, wenn sich mehr als 10 Mitarbeiter im Unternehmen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Weil das auf fast alle Unternehmen mit mehr als 10 Mitarbeitern zutrifft, werden also auch nach Mai 2018 viele deutsche Unternehmen einen Datenschutzbeauftragten bestellen müssen.
DSGVO Premium eBook – gratis zum Download
Mit Lexware Office sicher vorbereitet – sichern Sie sich jetzt das Premium eBook DSGVO
Fachwissen zur DSGVO Schwarz auf Weiß! In diesem Premium eBook von Lexware Office erfahren Sie, wie Sie die neuen Regelungen sicher in Ihrem Betrieb anwenden. Bereiten Sie sich optimal vor mit unserem umfassenden Fachwissen zur DSGVO. Nutzen Sie das ausführliche Gratis Premium eBook DSGVO von Lexware Office.
Inhalt des Premium eBook DSGVO:
- Fachwissen zur DSGVO (eBook)
Die neuen Regelungen sicher im Betrieb anwenden - Maßnahmenplan DSGVO
Korrekte Umsetzung mit dem 6-Punkte-Maßnahmenplan - Experten geben Rat zur DSGVO
Experten-Interview mit RA Michael Rohrlich, Datenschutzbeauftragter - Fragen & Antworten zur DSGVO
Antworten auf die wichtigsten Fragen zur DSGVO - Muster & Vorlagen zum Download
Antworten auf die wichtigsten Fragen zur DSGVO