DSGVO-Checkliste für Unternehmen: Das solltest du wissen
- Anna Stoss
- 23. Juni
- 7 Min. Lesezeit
Aktualisiert: 29. Juni
Spätestens seit dem 25. Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) in aller Munde und brachte neben einem europaweit einheitlichen Schutzniveau auch viele Fragen und Unsicherheiten mit sich, über die wir in diesem Beitrag aufklären werden. Die DSGVO ist dabei kein bürokratisches Monster, sondern letztendlich eine Chance, Verantwortung zu zeigen. Mit dieser Checkliste bekommst du einen Überblick und einen Fahrplan skizziert, um Datenschutz für dich sinnvoll umzusetzen.
Was bedeutet die DSGVO nun für dich als Webseitenbetreiber:in? Kurz gesagt: Wenn du personenbezogene Daten von Kund:innen, Mitarbeiter:innen oder Website-Besucher:innen verarbeitest, musst du bestimmte Regeln einhalten, sonst drohen neben Bußgeldern auch ein Vertrauensverlust bei deinen Nutzer:innen.
Die DSGVO gilt übrigens nicht nur für Unternehmen mit Sitz in der Europäischen Union (EU): Auch Anbieter außerhalb der EU sind betroffen, wenn sie Daten von EU-Bürger:innen verarbeiten, zum Beispiel auf einer Website oder in einem Online-Shop. Die gute Nachricht: Wer sich an die Vorgaben hält, kann mit klaren Strukturen und einem professionellen Auftritt punkten – ein wichtiger Aspekt für alle, die eine Website erstellen möchten.
Lesetipp: Falls du noch eine Website brauchst, findest du hier eine Schritt-für-Schritt-Anleitung für deine individuelle Website
Inhaltsverzeichnis:
1. Rechtmäßige Datenverarbeitung
a) Verarbeitungstätigkeiten erfassen
Transparenz ist das A und O: du musst jederzeit nachweisen können, welche personenbezogenen Daten du zu welchem Zweck verarbeitest. Dafür braucht es ein sogenanntes Verzeichnis von Verarbeitungstätigkeiten. Dieses Dokument listet auf, wo, wie und warum du Daten speicherst, z.B. für dein Newsletter-Tool, deine Buchhaltung oder eine Kundendatenbank. Hilfreich sind an dieser Stelle auch die von vielen Datenschutzbehörden entworfenen Vorlagen, die du für dich nutzen kannst.
b) Rechtsgrundlagen definieren
Wenn du dir darüber bewusst geworden bist, an welchen Stellen du im Unternehmen personenbezogene Daten verarbeiten wirst, musst du dir nun klar werden, mit welcher Berechtigung du diese Daten verarbeitest. Nach der DSGVO ist eine Datenverarbeitung von personenbezogenen Daten nur erlaubt, wenn Du dafür eine in der DSGVO aufgelistete Rechtsgrundlage hast. Dazu zählen zum Beispiel die Einwilligung der Nutzer, die Notwendigkeit der Datenerhebung zur Vertragserfüllung, rechtliche Verpflichtungen zur Aufbewahrung oder ggf. auch ein berechtigtes Interesse.
Wichtig: Du solltest die jeweilige Rechtsgrundlage für jede Verarbeitung benennen, erklären und auch nachweisen können, zum Beispiel die Einwilligung, wenn die Nutzer:innen Cookies über deinen Cookie-Banner akzeptieren.
c) Einwilligungen prüfen und verwalten
Die Einwilligung ist ein häufig genutzter Rechtfertigungsgrund, gerade bei Datenerhebungen im Rahmen des Betriebs einer Website. Einwilligungen von Nutzer:innen müssen dabei freiwillig und unter hinreichender Information darüber erfolgen. Zudem solltest du die Einwilligung nachweisen können. Simple Formulierungen wie „Mit Absenden des Formulars akzeptierst du jegliche Datenverarbeitung.“ reichen oft nicht aus, deshalb solltest du alte oder unklare Einwilligungen erneuen.
Achte auch darauf, dass Nutzer:innen ihre Einwilligungen jederzeit widerrufen können, beispielsweise durch einen Abmeldelink im Newsletter oder in dem sie das „Konsens-Menü“ deines Cookie-Banners jederzeit wieder öffnen können, um ihre Einstellungen dahingehend zu überarbeiten. Gerade in Bezug auf Cookies solltest du deshalb auch darauf achten, dass die Ausgangseinstellungen auf „nicht akzeptieren“ liegen, damit Nutzer:innen also explizit zur Cookie-Nutzung zustimmen müssen.
d) Datenschutz durch Technikgestaltung & Datenminimierung
Damit leiten wir auch schon zum nächsten Thema über. Datenschutz beginnt schon bei der Planung deiner Tools und Prozesse. Die DSGVO sieht Prinzipien wie Datenschutz durch Technikgestaltung (“Privacy by Design“) und datenschutzfreundliche Voreinstellungen (“Privacy by Default“) vor. Das heißt für dich konkret: Versuche nur die nötigsten Daten zu erheben und so wenig zu speichern, wie erforderlich ist. Achte dabei darauf, die Daten möglichst sicher aufzubewahren.
e) Datenschutz-Folgenabschätzung (DSFA) durchführen
Wenn Deine Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten der Betroffenen birgt (z.b. bei Gesundheitsdaten oder Mitarbeiter:innen-Daten) brauchst du eine Datenschutz-Folgenabschätzung. Eine solche enthält, grob skizziert, eine Beschreibung der Verarbeitung, eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung, eine konkrete Risikoanalyse und die von dir geplanten Schutzmaßnahmen.
Fortführend dazu gibt es für die Datenschutzfolgenabschätzungen Listen typischer darunter fallendender Verarbeitungen und Vorlagen bei Datenschutzbehörden. Auch das Working Paper WP246 der sogenannte „Artikel-29-Datenschutzgruppe“ kann dir tiefergehende Hilfestellungen und Erläuterungen zur DSFA liefern und für dich als erste Orientierung dienen.
2. Transparente Kommunikation: Datenschutzerklärung
Was gehört in eine Datenschutzerklärung?
Jede Website sollte eine Datenschutzerklärung bereithalten, egal ob du z.B. einen Blog oder Shop betreibst. Sie muss verständlich erklären:
welche Daten erhoben werden,
zu welchem Zweck das geschieht,
auf welcher Rechtsgrundlage die Verarbeitungen erfolgen,
von wem sie überhaupt erhoben werden und wer dafür verantwortlich ist,
wie lange und wo die Daten gespeichert werden,
ob Dritte beteiligt sind
und welche Rechte die Nutzer:innen haben.
Hinweis: Wenn du einen Website-Builder wie Wix nutzt, kannst du die Datenschutzerklärung einfach einbinden. Unterstützung dabei bieten dir die folgenden Artikel:
3. Datenschutzbeauftragte:r (DSB)
Wann muss ein DSB benannt werden?
Du brauchst eine:n Datenschutzbeauftragte:n (DSB), wenn in deinem Unternehmen regelmäßig mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder du besonders sensible Daten verarbeitest bzw. personenbezogene Daten in besonders großer Menge. Der oder die DSB ist grob zusammengefasst für Einhaltung und Überwachung der DSGVO im Unternehmen zuständig und übernimmt häufig auch die Schulungen, auf die wir später eingehen werden.
Anforderungen an Qualifikation und Unabhängigkeit
Der oder die DSB muss fachlich geeignet und zuverlässig sein und unabhängig arbeiten können. Eine Interessenkollision (z. B. Geschäftsführung ist selbst DSB) ist unzulässig. Du kannst dafür eine:n interne:n Mitarbeiter:in benennen oder auch eine externe Fachkraft beauftragen. Externe DSBs sind oft sinnvoller für kleinere Unternehmen ohne eigenes Know-How.
4. Rechte der betroffenen Personen
Überblick über alle Betroffenenrechte
Betroffene von einer Datenverarbeitung haben zahlreiche Ansprüche, die sich aus der DSGVO ergeben. Basis vieler dieser Ansprüche ist das Auskunftsersuchen, d.h. Betroffene können von dir als Verantwortlichen für die Datenverarbeitung Auskunft darüber verlangen, welche Daten du zu den jeweils betroffenen Personen gespeichert hast. Wenn ein:e Kund:in also zum Beispiel Auskunft von dir verlangt, musst du innerhalb eines Monats reagieren und eine Kopie aller relevanter personenbezogener Daten übermitteln. Neben dem Auskunftsanspruch können Betroffene unter bestimmten Voraussetzungen neben der Berichtigung fehlerhafter Daten auch die Löschung von Daten verlangen (bis hin zu einem „Recht auf Vergessenwerden“). Zudem können Betroffene beispielsweise eine etwaige zuvor erteilte Einwilligung widerrufen oder von dir eine Kopie der Daten anfordern, die sie auf einen anderen Dienst übertragen können („Datenübertragbarkeit“).
5. Auftragsverarbeitung
Externe Dienstleister korrekt einbinden
Wenn du Dienstleister:innen nutzt, beispielsweise einen Hoster für deine Seite oder einen Newsletter-Anbieter, musst du mit ihnen einen Vertrag zur Auftragsverarbeitung abschließen. Dort regelst du verbindlich, dass konkrete Dienstleister:innen die personenbezogenen Daten nur auf deine Weisung bzw. im von dir vorgesehenen Sinne verarbeiten und sich an gewisse datenschutzrechtliche Vorschriften halten. Trotzdem bleibst du als Betreiber:in der Seite für die Einhaltung verantwortlich, weshalb die Auswahl vertrauenswürdiger Dienstleister besonders wichtig für dich ist.
6. Datenübermittlung ins Ausland
Innerhalb von Europa gelten für die Datenübermittlung grundsätzlich dieselben Regeln, da die DSGVO übergreifend Anwendung findet.
Übermittlung außerhalb der EU/des EWR
Wer aber Daten in sogenannte Drittstaaten außerhalb der EU übermittelt, braucht geeignete Garantien für einen angemessenen Datenschutz. Die wesentlichen Möglichkeiten für solche Garantien erschöpfen sich in den Standardvertragsklausen (Standard Contractual Clauses) oder in Angemessenheitsbeschlüssen der EU zu bestimmten Drittstaaten, wie derzeit beispielsweise das EU-US Data Privacy Framework. Wenn ein solcher Beschluss vorliegt, kann von einem vergleichbaren Schutzniveau im Zielland ausgegangen werden.
7. Technische und organisatorische Maßnahmen (TOM)
Welche Maßnahmen sind erforderlich?
Du musst verhältnismäßige technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten ergreifen, wobei die DSGVO dafür einige Beispiele wie etwa die Pseudonymisierung und Verschlüsselung von Daten, Backups oder auch die Verwendung sicherer Passwort anschneidet. Basis für die Auswahl der richtigen TOMs ist unter anderem dein Verarbeitungsverzeichnis und eine Risikoanalyse.
Meldepflicht bei Datenpannen
Wenn es trotz aller Sicherheitsmaßnahmen doch zu einer signifikanten Datenpanne kommt, musst du diese innerhalb von 72 Stunden der für dich zuständigen Aufsichtsbehörde melden und gegebenenfalls auch die Betroffenen informieren, wenn dies mit einem Risiko für deren Rechte und Freiheit verbunden ist. Inhalt der Meldung ist eine möglichst detaillierte Beschreibung der Art der Verletzung, also der Datenpanne, die möglichen betroffenen Personen, die wahrscheinlichen Folgen der Panne und die schon dagegen ergriffenen Maßnahmen.
8. Dokumentationspflichten
Als Grundregel kannst du dir merken, dass du dokumentieren musst, was du tust, d.h. auch deine Unterlagen sollten aktuell gehalten werden. Ein einfaches Datenschutzkonzept, das auch die regelmäßige Durchsicht und Aktualisierung deiner Unterlagen beinhaltet, hilft dir den Überblick zu behalten und bei Bedarf schnell zu reagieren. Wichtig ist vor allem, das Verarbeitungsverzeichnis stets aktuell zu halten und darauf basierend die DSFAs und TOMs.
9. Mitarbeiterschulungen & Verpflichtung
Wenn du als Unternehmer:in Arbeitnehmer:innen beschäftigst, die mit personenbezogenen Daten arbeiten, musst du diese zur Einhaltung des Datenschutzes verpflichten und in diesem Zuge auch darüber aufklären und über die konkreten Pflichten in Kenntnis zu setzen. Dazu reichen regelmäßige durchaus kurze, aber praxisnahe Schulungen.
10. Bußgelder & rechtliche Konsequenzen
Bei DSGVO-Verstößen drohen dir hohe Bußgelder von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes. Was aber mindestens genauso wichtig ist und nicht unterschätzt werden darf, ist der drohende Reputationsverlust und das sinkende Vertrauen deiner Kund:innen. Wer frühzeitig handelt und sich um die Einhaltung der Anforderungen bemüht, minimiert die Risiken für einen Vorfall.
11. Auf dem Laufenden bleiben
Dieser kurze Überblick über das Thema „Datenschutz“ vermittelt dir die wesentlichen Pflichten und Grundkonzepte der DSGVO, die dich betreffen. Datenschutz ist aber kein einmaliges Projekt, sondern ein fortlaufender Prozess, der wie dein Unternehmen und deine Seite im Wandel ist. Informiere dich also regelmäßig über neue Entwicklungen, zum Beispiel über die Website deiner Landesdatenschutzbehörde oder einschlägige Newsletter. Externe Beratung oder Datenschutz-Audits können dir ebenfalls helfen, Lücken zu identifizieren und rechtssicher zu bleiben.
Von Prof. Dr. Dennis-Kenji Kipker
Cybersecurity-Experte
