Joomla SEF URLs by Artio

HOME > TRENDS > DSGVO für Nachzügler

DSGVO für Nachzügler. 8 Tipps zur Umsetzung der neuen Datenschutzgrundverordnung 2018.

Bildquelle: fotohunter, Axel Bueckert/shutterstock.com

TRENDS

DSGVO für Nachzügler

8 Tipps zur Umsetzung der neuen Datenschutzgrundverordnung 2018

Lesedauer: 3 Minuten | Erstellungsdatum: 07.06.2018

Jetzt aber schnell: Wenn Sie als Kleinunternehmer oder Freiberufler die seit Ende Mai 2018 geltende EU-Datenschutzgrundverordnung (DSGVO) immer noch nicht umgesetzt haben, wird es höchste Zeit. Bei Verstößen können Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent vom weltweiten Jahresumsatz verhängt werden. Alle Unternehmen müssen künftig einheitlich strengere Datenschutzregeln erfüllen. Dazu gehört der Nachweis, dass Sie alle Daten mit Personenbezug aktiv schützen. Mit dieser Acht-Punkte-Anleitung können Sie überprüfen, wo Ihr Handlungsbedarf liegt.

1. Dichten Sie Ihre Homepage ab

Jeder kann Ihre Homepage aufrufen, nach Versäumnissen suchen und Verstöße dokumentieren. Konzentrieren Sie sich deshalb unbedingt auf Ihre Internetpräsenz.

Das müssen Sie tun:
Bringen Sie Ihre Datenschutzerklärung auf Vordermann, indem Sie Ihre Kunden und Partner detailliert darüber informieren, wie Sie personenbezogene Daten erheben und verarbeiten. Da die meisten Unternehmen die erweiterten Auskunftspflichten bei den datenschutzrechtlichen Hinweisen bereits erfüllen, finden Sie im Internet schnell Beispiele, an denen Sie sich orientieren können. Alternativ bietet auch die IHK speziell für kleine Unternehmen Musterbeispiele für rechtssichere Texte auf der eigenen Homepage an. Zuletzt sorgen Sie noch für eine verschlüsselte Datenübertragung. Dazu benötigen Sie ein SSL- oder TLS-Zertifikat, mit dem Sie den Datentransport vom unsicheren HTTP-Protokoll auf das sichere HTTPS-Protokoll umstellen können.

2. Ergänzen Sie nötige Klauseln in Ihren Hinweisen zum Datenschutz

Mustertexte sind für den Anfang eine gute und einfache Lösung. In den meisten Fällen genügt das aber nicht, denn je nach Branche und Geschäftszweck setzen Sie möglicherweise Analyse-Tools wie Google Analytics oder Cookies, Social Plugins und Kontaktformulare auf Ihrer Webseite ein.

Das müssen Sie tun:
In all diesen Fällen müssen Sie Ihre Datenschutzrichtlinien einzeln um entsprechende Klauseln ergänzen, damit die Nutzer zweifelsfrei nachvollziehen können, welche Daten erhoben werden und was mit ihren Daten passiert. Zudem müssen Sie den Nutzern die Möglichkeit bieten, der Verwendung von Tracking- und Analyse-Tools zu widersprechen. Konkret bedeutet das: Fügen Sie an den entsprechenden Stellen Ihrer Datenschutzerklärung einen Link zum verwendeten Tool ein, über den die Nutzer die Datenerhebung deaktivieren können. Ebenfalls wichtig: Sorgen Sie bei Google Analytics mit der Einstellung „anonymizeIP“ dafür, dass die IP-Adressen der Nutzer anonymisiert werden.

3. Holen Sie sich die nötigen Einwilligungserklärungen

Wie bisher gilt auch nach der DSGVO das Prinzip „Verbot mit Erlaubnisvorbehalt“. Danach dürfen Sie personenbezogene Daten nur verarbeiten, wenn eine entsprechende Rechtsgrundlage eine Verarbeitung legitimiert oder eine Einwilligung der Betroffenen in die Verarbeitung ihrer personenbezogenen Daten vorliegt. Von personenbezogenen Daten spricht man immer dann, wenn ein Personenbezug direkt oder anhand von Zusatzinformationen möglich ist. Neben Name, Adresse, Geburtsdatum gehören dazu auch die IP-Adresse oder besondere Tracking-Cookies.

Das müssen Sie tun: 
Holen Sie die Einwilligungserklärung schriftlich per Brief oder in elektronischer Form (mit einem Link auf Ihre Datenschutzhinweise) ein. So können Sie die Einwilligung bei Bedarf nachweisen und damit der in der DSGVO geforderten Rechenschaftspflicht gerecht werden. Damit die Einwilligungserklärung rechtskonform ist, muss der Adressat wissen, zu welchem Zweck die Daten bearbeitet werden und was mit ihnen geschieht. Zudem sollten Sie ihn über sein Recht auf Widerspruch informieren. Wichtig dabei: Die Einwilligungserklärung muss eindeutig als solche erkennbar sein und den Charakter der Freiwilligkeit haben. Das heißt, sie darf nicht die Voraussetzung für die Erfüllung eines Vertrags sein, für den gar keine Datenverarbeitung erforderlich ist. Wenn Sie Share- und Like-Buttons zur Datenübertragung an soziale Netzwerke einsetzen, müssen die Nutzer dem zuvor aktiv mit einem Klick (Opt-in) zugestimmt haben. Bevor Sie einen Newsletter versenden, sollten Sie sich unbedingt eine doppelte Einwilligung des Nutzers (Double Opt-in) besorgen. Die erste Einwilligung bekommen Sie vom Nutzer, indem er den Newsletter bestellt und seine E-Mail-Adresse angibt. Die zweite Zustimmung erteilt der Nutzer durch Klick auf einen Link, den er nach der ersten Zustimmung bei der Newsletter-Bestellung per E-Mail erhält.

4. Benennen Sie einen Verantwortlichen

Nach diesen ganz großen Brocken sollten Sie spätestens jetzt einen Verantwortlichen wählen, der sich um die neuen Dokumentations- und Rechenschaftspflichten kümmert und bestehende Prozesse an die aktuellen Datenschutzregeln anpasst.

Das müssen Sie tun: 
Arbeiten bis zu neun Personen in Ihrem Unternehmen mit personenbezogenen Daten, genügt es, einen Verantwortlichen zu benennen, der auch als Ansprechpartner nach außen fungiert. Ab zehn Personen müssen Sie einen Datenschutzbeauftragten benennen und seinen Namen der zuständigen Aufsichtsbehörde melden. Der Datenschutzbeauftragte kann ein Mitarbeiter oder ein externer Dienstleister sein.

5. Führen Sie ein Verzeichnis der Verarbeitungstätigkeiten ein

Die DSGVO verpflichtet Sie zum Führen eines „Verzeichnisses von Verarbeitungstätigkeiten“, das den zuständigen Behörden auf Anfrage vorzulegen ist.

Das müssen Sie tun: 
Erstellen Sie ein tabellarisches Verzeichnis. Darin halten Sie die folgenden Informationen fest: Zweck der Datenverarbeitung (z. B. Zahlungsabwicklung bei Kunden), Kontaktdaten der zuständigen Ansprechpartner, Datum vom Beginn der Verarbeitungstätigkeit, betroffene Personengruppen (Mitarbeiter, Kunden etc.), beteiligte Drittparteien (z. B. externe Lohnbuchhaltung), beteiligte Drittländer, an die Daten übermittelt werden, Dauer der Datenarchivierung (z. B. zehn Jahre) sowie alle getroffenen technischen bzw. organisatorischen Maßnahmen zum Schutz der Daten. Entscheidend ist natürlich, dass Sie die Verarbeitungstätigkeit dann auch wie dokumentiert „leben“. Auf den Seiten des Bayerischen Landesamts für Datenaufsicht finden Sie zur Orientierung verschiedene Musterverzeichnisse für Kleinunternehmen, Ärzte, Steuerberater und viele mehr.

6. Sorgen Sie für Datensicherheit

Mit der DSGVO sind verschärfte Bestimmungen für die Datensicherheit in Kraft getreten, die sogenannten TOMs. TOM ist die Abkürzung für „technische und organisatorische Maßnahmen“. Sie sollen in angemessenem Umfang gewährleisten, dass nur befugte Mitarbeiter personenbezogene Daten einsehen oder verarbeiten können und die Daten sicher verarbeitet und verwahrt werden.

Das müssen Sie tun:
Falls noch nicht vorhanden: Erstellen Sie ein Berechtigungskonzept, das regelt, wer auf personenbezogene Daten zugreifen darf. Sorgen Sie durch Zutrittskontrollen (z. B. Alarmanlage und Sicherheitsschlösser), Zugangskontrollen (Firewall, Passwortschutz) und Zugriffskontrollen (Verschlüsselung von WLAN und Datenträgern, fachgerechte Datenlöschung) für Schutz vor einem Datendiebstahl oder Datenmissbrauch durch Unbefugte. Aktivieren Sie auf dem Server und allen Rechnern zudem die automatische Aktualisierung von Betriebssystem und Antivirensoftware.

7. Prüfen Sie Ihre Verträge mit Partnern und Dienstleistern

Nutzen Sie Services von sogenannten Auftragsdatenverarbeitern, etwa externen Lohn- und Finanzbuchhaltungen, Tracking-Dienstleistern, Web-Hostern, Cloud-Anbietern oder Newsletter-Versendern? Dann sind in der Regel auch diese Verträge anzupassen.

Das müssen Sie tun: 
Prüfen Sie alle Verträge und ergänzen Sie diese bei Bedarf so, dass klar geregelt ist, welche Informationen zu welchem Zweck an wen weitergegeben werden. Soweit möglich und zumutbar, sollten Sie sich zudem die DSGVO-konforme Arbeit Ihrer Auftragsverarbeiter bestätigen lassen. Inzwischen halten viele Serviceanbieter Musterverträge vor. Falls nicht, finden Sie im Internet verschiedene Vorlagen, an denen Sie sich orientieren können, beispielsweise hier, beim Digitalverband Bitkom.

8. Bereiten Sie sich auf Ihre Dokumentationspflichten vor

Kommt es zu einer Datenpanne mit riskanten Folgen in puncto Datenmissbrauch, ist der Vorfall innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde zu melden. In diesem Fall sollten Sie damit rechnen, dass die Behörde Dokumente verlangt, mit denen sich nachweisen lässt, dass die Vorschriften der DSGVO eingehalten worden sind.

Das müssen Sie tun:
Implementieren Sie Prozesse, die eine fristgerechte Meldung an die Datenschutzbehörden garantieren. Bereiten Sie sich darauf vor, Ihrer Rechenschaftspflicht nachzukommen. Dazu sollten Sie im Bedarfsfall alle Einwilligungserklärungen parat haben. Weitere Dokumentationspflichten betreffen beispielsweise das bereits genannte Verzeichnis der Verarbeitungstätigkeiten, die Verträge mit den Auftragsdatenverarbeitern sowie die von Ihnen getroffenen und umgesetzten technischen und organisatorischen Maßnahmen für den Datenschutz.

Fazit:

Besser spät als gar nicht. Warten Sie deshalb nicht länger und prüfen Sie Ihren Handlungsbedarf anhand der acht Punkte, denn bei Verstößen können empfindliche Bußgelder drohen. Unsere Hinweise auf MONEYBAZE stellen keine Rechtsberatung dar und können diese nicht ersetzen, so dass Sie bei Unsicherheiten die professionelle Hilfe von Experten in Anspruch nehmen sollten. Diese unterstützen Sie dabei, die neuen Datenschutzanforderungen rechtskonform umzusetzen. Auch dann kann es allerdings dauern, bis Sie aus dem Schneider sind. Denn die Nachfrage ist gerade jetzt riesig. Sie sind ja nicht der einzige Nachzügler.


Ähnliche Artikel

TRENDS
Debit Mastercard – die Karte für alle Fälle?

Neue Debitkarte vereinfacht das Bezahlen ohne Bargeld

TRENDS
Schlank, schnell und sparsam

Lösungen für das Lean Startup

TRENDS
Nicht nur Bares ist Wahres

Sichere Lösungen machen Mobile Payment attraktiver

TRENDS
Nur für dich!

Personalisierung als Chance


Meistgelesene Artikel

MANAGEN
Richtig mahnen

So holen Sie sich ihr Geld von säumigen Kunden

WACHSEN
Lieber auffallen als unsichtbar sein

Onlinemarketing für Einsteiger. Interview mit Dr. André Vieregge, SYZYGY

WACHSEN
Klein anfangen, groß rauskommen

Onlinemarketing: So finden Sie die richtigen KPIs für die Erfolgsmessung. Mit Premium Content.

MANAGEN
Runter mit den Betriebskosten