Mit einer DSGVO-Checkliste behalten Sie den Überblick und vermeiden Ärger mit der Datenschutzbehörde. Gerade KMUs sind noch immer unsicher, ob sie den hohen Auflagen der DSGVO gerecht werden. Und tatsächlich ist das häufig nicht so.
Mit unserer Checkliste können Sie schnell überprüfen, wie gut oder schlecht es um den Datenschutz in Ihrem Unternehmen bestellt ist.
Datenschutz im Unternehmen – Checkliste
Auch wenn die Datenschutzgrundverordnung schon seit Mai 2018 gültig ist, verzweifeln noch immer viele Unternehmer an der Umsetzung. Die Unsicherheit ist – gerade ohne juristisches Fachwissen – groß und ein DSGVO-Verstoß kann schließlich richtig teuer werden. So bereitet die DSGVO nicht nur „alten Hasen“ im Unternehmertum Kopfzerbrechen, sondern auch jungen Gründern und Start-ups.
Die Sorge, unwissentlich gegen die strengen Auflagen zu verstoßen, ist häufig nicht unbegründet. Und spätestens seit dem Rekord-Bußgeld gegen die Deutsche Wohnen in Höhe von 14,5 Millionen Euro, weiß jeder: Ein DSGVO-Bußgeld kann das wirtschaftliches Aus bedeuten.
Eine DSGVO-Checkliste kann den ersten, wichtigen Schritt auf dem Weg zur Rechtssicherheit beim Datenschutz bedeuten. Sie bietet die Möglichkeit, strukturiert alle wichtigen Punkte abzuarbeiten und im Auflagen-Dschungel nicht den Überblick zu verlieren. Wir haben daher die wichtigsten Punkte übersichtlich für Sie zusammengestellt. Bei Fragen zögern Sie nicht, uns unter dem Artikel einen Kommentar zu hinterlassen.
DSGVO-Checkliste für Unternehmen – Basics
Im Folgenden haben wir die wichtigsten Aspekte rund um die DSGVO für Sie zusammengestellt. Jede Überschrift stellt dabei einen Punkt auf der Checkliste dar.
1. Benennung eines Datenschutzbeauftragten
Unter bestimmten Voraussetzungen muss ein Unternehmen einen offiziellen Datenschutzbeauftragten benennen. Ob Ihr Unternehmen betroffen ist, ist schnell geklärt. Beschäftigen Sie regelmäßig zehn Mitarbeiter, die personenbezogene Daten verarbeiten bzw. Zugriff darauf haben (zum Beispiel Kundendatenbank), ist ein Datenschutzbeauftragter Pflicht. Bei neun oder weniger Mitarbeitern nicht. In diesem Fall tragen Sie als Geschäftsführer selbst die Verantwortung. Achtung: Ob die Mitarbeiter festangestellt oder frei sind, in Voll- oder Teilzeit arbeiten, spielt keine Rolle. Die Anzahl entscheidet.
Und eine weitere Ausnahme bestätigt die Regel. Unternehmen, die besonders sensible, personenbezogene Daten verarbeiten, benötigen ebenfalls einen Datenschutzbeauftragten – unabhängig von der Anzahl der Mitarbeiter, die mit den Daten zu tun haben. Besonders sensible Daten sind beispielsweise Daten zur Gesundheit oder ethnischen Herkunft. Von dieser Ausnahme sind also zum Beispiel auch kleine Arztpraxen oder Anwaltskanzleien betroffen.
Ein Datenschutzbeauftagter berät kompetent zu Datenschutzfragen und kümmert sich um die Umsetzung der unternehmensspezifischen Anforderungen. Die Kosten sind dabei von eben diesen Anforderungen abhängig. In der Regel ist die Beauftragung eines externen Datenschutzexperten aber günstiger als selbst eine Fachkraft einzustellen.
2. Erstellung eines Verarbeitungsverzeichnisses
Jedes Unternehmen muss gemäß Artikel 30 der DSGVO ein Verarbeitungsverzeichnis anlegen. In dieser Tabelle listen Sie auf, welche Daten wann, wie und warum im Unternehmen erhoben und verarbeitet werden. Wichtig dabei ist vor allem die Vollständigkeit der Datensätze und Angaben zum Verwendungszweck. Vergessen Sie in diesem Zuge auch nicht Ihre internen Mitarbeiter-Daten.
Folgende Fragen sollten Sie dabei klären:
- Welche Informationen erhalten Personen, deren Daten gespeichert werden, über die Erhebung und Speicherung?
- Wie werden die Informationen verteilt (zum Beispiel: mündlich, schriftlich, auf der Website, in den AGB)?
- Werden Daten anonymisiert oder pseudonymisiert?
- Wo werden die Daten gespeichert? Falls außerhalb der EU: Sind die Voraussetzungen zur Übermittlung in Drittstaaten erfüllt?
- Wie lange werden die Daten gespeichert? Halten Sie die Löschfristen (zum Beispiel bei Bewerberdaten) ein?
- Welche Daten werden zu welchem Zweck erhoben und verarbeitet? Aus der Antwort auf diese Frage ergibt sich auch, ob es eine gesetzliche Grundlage gibt (zum Beispiel Vertragsbeziehung) oder ob die Personen der Datenverarbeitung erst zustimmen müssen.
- Werden die Daten an Dritte weitergegeben? Wenn ja, an wen? Und wie ist es dort um den Datenschutz bestellt?
- Welchen Weg nehmen die Daten von der Erhebung bis zur Löschung?
- Werden die Daten ausreichend durch technische und organisatorische Maßnahmen (TOM) geschützt?
Übrigens: Die Erstellung eines solchen Verzeichnisses ist schon nach dem alten Bundesdatenschutzgesetz verpflichtend. Die wenigsten Betriebe haben es aber bis zum Inkrafttreten der DSGVO geführt.
3. DSGVO-Löschkonzept
Ein Löschkonzept ist ebenfalls Pflicht, denn das „Recht auf Vergessenwerden“ ist fest im Datenschutz verankert und damit natürlich auch Bestandteil unserer DSGVO-Checkliste. Wer Daten hingegen länger speichert als er darf, riskiert Abmahnungen und (hohe) Bußgeldstrafen. Wie Sie ein Löschkonzept erstellen und worauf es dabei ankommt, können Sie in unserem Artikel „Löschkonzept-DSGVO“ nachlesen.
4. Datenschutz-Folgenabschätzung
Unternehmen aus bestimmten Branchen (zum Beispiel Versicherung, Medizin) müssen eine Datenschutz-Folgenabschätzung durchführen. Betroffen sind alle Betriebe, die mit sensiblen Daten (Finanzen, Gesundheit, ethnische Herkunft) zu tun haben. Hier gilt es, die möglichen Konsequenzen im Falle von Datenmissbrauch abzuschätzen.
Die Datenschutz-Folgenabschätzung sollte Antworten auf folgende Fragen liefern:
- Wie laufen die einzelnen Datenverarbeitungsprozesse im Detail ab?
- Welchem Zweck dient die Datenverarbeitung und steht diese im Verhältnis zu etwaigen Risiken?
- Welche Risiken bestehen für Personen, deren Daten erhoben werden?
- Welche technischen und organisatorischen Maßnahmen schützen die Daten vor unberechtigten Zugriffen?
- Was passiert im Falle eines Datenlecks?
Auf Grundlage der Aufstellung lassen sich dann entsprechende Schutzmaßnahmen definieren und umsetzen.
DSGVO-Checkliste – to be continued
Noch längst ist das Thema Datenschutz nicht vom Tisch. Nach der DSGVO steht jetzt die ePrivacy Verordnung in den Startlöchern, die Unternehmen erneut vor Herausforderungen stellen wird. Unser Tipp daher: Bleiben Sie immer auf dem Laufenden. Beispielsweise indem Sie diesen Blog lesen oder im stetigen Austausch mit Ihrem Datenschutzbeauftragten bleiben. Gehen Sie offene Punkte beim Datenschutz lieber gleich an, statt sie auf die lange Bank zu schieben. Dann können Sie einer Prüfung durch die Datenschutzbehörde auch gelassen entgegen sehen.
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung