Die DSGVO Checkliste

21. November 2018 Von Matthias Bollwein

In unserem vorherigen Artikel haben wir beleuchtet, von welchen Teilen der DSGVO die meisten kleinen und mittleren Unternehmen eigentlich betroffen sind. Hier folgt nun unsere DSGVO Checkliste.

Datenschutzbeauftragter? Nicht immer.

Nicht jedes Unternehmen benötigt einen Datenschutzbeauftragten. Wenn mindestens einer der folgenden Fälle auf Ihre Firma zutrifft, kommen Sie nicht drum rum:

  1. Wenn regelmäßig 10 oder mehr Personen in Ihrem Unternehmen mit personenbezogenen Daten zu tun haben (egal ob Mitarbeiter, Praktikanten, externe Mitarbeiter etc. – z.B. eine Vertriebsmannschaft, die Namen und Telefonnummern handhabt).
  2. Falls die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung besonderer Datenkategorien besteht. Das sind unter anderem:
    • Gesundheitsdaten
    • Personenbezogene Daten über Straftaten oder strafrechtliche Verurteilungen
    • Daten zum Sexualleben oder zur sexuellen Orientierung
    • Daten aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgeht
    • Genetische und biometrische Daten
  3. Falls die Kerntätigkeit des Unternehmens eine umfangreiche, regelmäßige und systematische Überwachung von Personen erforderlich macht. Was das genau bedeutet, ist in der DSGVO leider nicht näher beschrieben.
  4. Sobald Sie personenbezogene Daten zum Zweck der Weiterübermittlung (z.B. Sammeln von Daten auf Auftrag, egal ob anonymisiert oder nicht, oder Verkauf von Adressdatenbanken) oder Zum Zweck der Markt- und Meinungsforschung verarbeiten.
  5. Falls Sie eine Datenschutz-Folgenabschätzung machen müssen. Das ist der Fall, wenn Sie personenbezogene Daten über Straftaten oder strafrechtliche Verurteilungen verarbeiten, Personen-Profile erstellen (Profiling) oder öffentlich zugängliche Bereiche überwachen.

Wichtig: Benennen Sie in Ihrer Datenschutzerklärung den Datenschutzbeauftragten oder erklären Sie, warum Sie keinen brauchen.

Wer kann Datenschutzbeauftragter werden?

Im Prinzip jeder, der sich mit den Datenschutzregeln auskennt und nicht in einem Interessenskonflikt steht. Auch externe Datenschutzbeauftragte gibt es. Leiter von IT-Bereichen, Personalleiter, Teamleiter, der Geschäftsführer und juristische Personen sind aus Interessenskonflikten also ausgeschlossen. Der Datenschutzbeauftragte sollte außerdem regelmäßig an Schulungen teilnehmen (z.B. bei der IHK). Es gibt aber kein bestimmtes Zertifikat, das er vorweisen muss.
Der Datenschutzbeauftragte sollte sich mit den Abläufen in der Firma auskennen und Hintergrundwissen zum Thema Datenschutz in folgenden Bereichen besitzen:

  • Technisches Wissen (Welche Eigenschaften muss eingesetzte Technik in der Firma haben? Welche technischen Gefahren bestehen für die Daten? Welche Technik schützt davor?).
  • Betriebswirtschaftliches Wissen (Welche Interessen hat das Unternehmen an der Verarbeitung personenbezogener Daten? Durch welche wirtschaftlichen Interessen und Vorgänge können Gefahren entstehen?)
  • Rechtliches Wissen

Achtung! Falls der Datenschutzbeauftragte ein Mitarbeiter ist, genießt er einen besonderen Kündigungsschutz. Auch nachdem er seine Tätigkeit als Datenschutzbeauftragter beendet hat, kann er für mindestens ein Jahr nicht gekündigt werden. Er darf außerdem nicht benachteiligt werden, z.B. weil er einen großen Teil seiner Arbeitszeit für seine Tätigkeit als Datenschutzbeauftragter verwendet.

Was tut der Datenschutzbeauftragte?

  1. Er berät die Mitarbeiter zum Thema Datenschutz und sensibilisiert:
    • Welche Gefahren bestehen beim Umgang mit personenbezogenen Daten?
    • Wie kann der Verlust von Daten oder unberechtigter Zugriff vermieden werden?
      Beispiele: Sicherer Umgang mit Passwörtern, Setzen von Zugriffsberechtigungen, Sperren des Arbeitsplatzes, Umgang mit verdächtigen Emails und Anrufen, Datensicherung etc.
  2. Er überwacht die Einhaltung von Datenschutz-Vorschriften wie z.B. der DSGVO bzw. BDSG-neu. Das heißt, er ist auch berechtigt, Maßnahmen zu ergreifen, wenn Datenschutzverstöße begangen werden.

Mehr Informationen zum Thema Datenschutzbeauftragter finden Sie im Juraforum. Dort können Sie auch testen, ob Ihre Firma einen Datenschutzbeauftragten benötigt.

Verzeichnis der Verarbeitungstätigkeiten – Pflicht.

Auch hier die gute Nachricht vorweg: Das „Verzeichnis der Verarbeitungstätigkeiten“, das jedes Unternehmen braucht, ist im Prinzip eine einfache Tabelle. Diese können Sie auch unkompliziert in Excel erstellen. In der Tabelle listen Sie auf, welche Daten, wann, wie, für welchen Zweck oder auf Grundlage welchen Gesetzes Ihr Unternehmen speichert. Dazu zählen wie im vorherigen Artikel beschrieben nicht nur die Kundendaten, sondern auch die internen Daten wie zum Beispiel Personaldaten. In unserer DSGVO Checkliste verraten wir Ihnen natürlich, was im Verzeichnis stehen soll.

Das steht im Verzeichnis der Verarbeitungstätigkeiten:

  • Verantwortlicher: Geschäftsführer oder Datenschutzbeauftragter inkl. Kontaktdaten
  • Zweck der Datenerhebung: Warum werden die Daten gespeichert – beispielsweise für den Kundenkontakt oder den Versand von Produkten
  • Betroffene Personen: Hier nach Kategorien auflisten – Kunden, Mitarbeiter, Lieferanten, etc.
  • Personen, die auf die Daten zugreifen können
  • Übermittlung der Daten an Drittstaaten: Ja/Nein
  • Datenkategorie: Produkte, Bewerbungsmappen, Mitarbeiterdaten, etc.
  • Löschfrist: z.B. bei Widerruf oder falls eine feste Zeit vereinbart wurde, diese erwähnen
  • Rechtsgrundlage: DSGVO mit Artikel und Absatz und/oder Gesetz
  • Einwilligung des Betroffenen: Hier sollte kurz beschrieben werden, wie die Person auf die Verwendung und Speicherung der Daten hingewiesen wurde (E-Mail, mündlich/persönlich, telefonisch, etc.)

Fast geschafft! Jetzt noch die Prozesse definieren.

Wenn Sie Ihr Verarbeitungsverzeichnis angelegt haben, sollten Sie auch noch die Prozesse aufzeigen können, die bei der Datenverarbeitung ablaufen. Folgende Punkte sollten in einem Dokument über die Prozesse der Datenverarbeitung bzw. einem Prozesshandbuch geklärt sein:

  • Wann löschen Sie gespeicherte Daten?
  • Wie läuft eine Datenlöschung ab, wenn der Kunde darauf besteht?
  • Wie werden Kunden und Mitarbeiter über die Datenverarbeitung informiert?
  • Was passiert bei einem Datenleck? Vorsicht: Informieren Sie unbedingt innerhalb von 72 Stunden die zuständige Landesdatenschutzbehörde!
  • Wie werden Mitarbeiter vorbereitet, damit sie die Abläufe kennen?
  • Wie reagieren Mitarbeiter, wenn sie auf die Datenverarbeitung angesprochen werden?

Unser Tipp: Dokumentieren Sie im Zweifelsfall lieber mehr und setzen Sie konsequent auf sichere Technik. Denken Sie außerdem den Fall eines Datenverlustes einmal komplett durch und schreiben Sie Ihr Vorgehen auf. Wenn Sie vorweisen können, dass Sie alle personenbezogenen Daten auf sicherer Technik gespeichert haben und Ihre Tätigkeiten gut dokumentiert sind, dann haben Sie sehr gute Chancen, bei unbeabsichtigten Verstößen um eine Strafzahlung herumzukommen. Gehen Sie die DSGVO Checkliste durch, damit SIe auf Anfrage alle Unterlagen vorlegen können. Damit zeigen Sie den Behörden, dass Sie die DSGVO ernst genommen und entsprechend vorgesorgt haben.