Zurück zum Archiv
01.06.2018

Die wichtigsten Schritte zur Umsetzung der DSGVO

Schritt 1: Passen Sie die Datenschutzinformationen auf Ihrer Webseite an

Ihre Unternehmenswebseite ist in der Regel die erste Anlaufstelle für potentielle Kunden, Bewerber, Lieferanten und sonstige Dienstleister, um sich über Sie zu informieren. Sie ist aber auch eine leicht zugängliche Quelle für Abmahner. Deshalb sollten Sie als erstes die Datenschutzbestimmungen auf Websites sowie die Hinweise zur Datenverarbeitung anpassen. Beide sollten außerdem jedem Auftrag sowie jedem Arbeitsvertrag beigefügt werden. Enthalten sollten sie jeweils insbesondere die nachfolgend aufgeführten Rechte der Betroffenen: das Recht auf Auskunft, das Recht auf Benachrichtigung, das Recht auf Berichtigung, das Recht auf Löschung, das Recht auf Sperrung, das Recht auf Datenübertragbarkeit und das allgemeine Widerspruchsrecht.

Schritt 2: Brauchen Sie einen Datenschutzbeauftragten?

Hier hat sich nichts verändert. Es gilt wie bislang auch schon, dass Unternehmen nur dann einen Datenschutzbeauftragten (DSB) benötigen, wenn mehr als neun Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, unabhängig davon, ob es sich bei diesen Personen um feste Mitarbeiter, Studenten, freie Mitarbeiter, Voll- oder Teilzeitkräfte handelt. Die entscheidende Neuerung ist jedoch, dass nun erhebliche Sanktionen drohen.

Sofern Sie einen DSB benötigen, so sollten Sie den Posten zeitnah besetzen. Gerne übernehmen wir diese Funktion für Sie. Senden Sie bei Bedarf gerne eine Nachricht an unseren Datenschutzbeauftragten (datenschutz@hptp.de) oder sprechen Sie den für Sie zuständigen Steuerberater an. Sollten Sie unschlüssig sein, ob Sie einen Datenschutzbeauftragten benötigen, können Sie ebenfalls gerne auf uns zukommen. 

Schritt 3: Überlegen Sie, welche Daten wo durch wen verarbeitet werden

Im nächsten Schritt sollten Sie sich einen Überblick darüber verschaffen, ob bzw. wie der Datenschutz in Ihrem Unternehmen organisiert ist. Notieren Sie für sich: 

  • Welche Daten werden verarbeitet?
  • Wessen Daten werden verarbeitet bzw. wer sind „Betroffene“?
  • Wie und in welchen Prozessen werden die Daten verarbeitet?
  • Wem sind die Daten zugänglich bzw. wer im Unternehmen und extern („Auftragsverarbeiter“) verarbeitet die Daten?

Schritt 4: Schreiben Sie auf, welche Daten Sie wann wie und warum verarbeiten – und wie sie diese Daten schützen

Als weiteren wichtigen Bestandteil schreibt die DSGVO vor, dass sowohl jeder Verantwortliche  als auch jeder Auftragsverarbeiter – jeweils unabhängig von der Größe des Unternehmens – ein Verzeichnis aller Verarbeitungstätigkeiten zu erstellen und schriftlich (in Papierform oder digital) zu führen hat. Auf Anfrage ist es der zuständigen Aufsichtsbehörde bereitzustellen.

Als Verarbeitungstätigkeiten gelten zum Beispiel Aktenführung, Buchhaltungssoftware, elektronische Zeiterfassung, Führung von Adressdatenbanken von Kunden oder Dienstleistern, Personalakten, Profile in sozialen Netzwerken (z. B. Twitter, Xing), Rückrufservice, Software zur Verarbeitung und Verwaltung von E-Mails, Urlaubslisten, Websites oder Webtracking.

Das von Verantwortlichen zu erstellende Verzeichnis muss folgende Angaben enthalten, die Sie teilweise bereits in Schritt 3 zusammengetragen haben: 

  • Name und Kontaktdaten des Unternehmens
  • ggf. Name und Kontaktdaten des DSB
  • den Zweck der Datenverarbeitung
  • die Art der Betroffenen, z. B. Kunden, Beschäftigte oder Lieferanten
  • die Art der verarbeiteten Daten, z. B. Kontaktdaten, Geburtstag, Geburtsort
  • die möglichen Empfänger der Daten, d. h. alle internen und externen Personengruppen, die Zugriff auf die Daten haben
  • ggf. die Kategorien von Übermittlungen personenbezogener Daten an Stellen in einem Drittstaat oder an eine internationale Organisation
  • die Rechtsgrundlage der Verarbeitung, z. B. Einverständnis des Betroffenen 
  • die vorgesehenen Fristen für die Löschung der Daten sowie 
  • eine allgemeine Beschreibung der technischen und organisatorischen Datenschutzmaßnahmen.

Insbesondere bei der Beschreibungen der technischen und organisatorischen Maßnahmen empfiehlt es sich, einen IT-Fachmann zu Rate zu ziehen, der mit Ihnen eine Zusammenfassung aller Maßnahmen zur Gewährleistung der Datensicherheit erstellt. Idealerweise ergibt sich daraus ein eigenes IT-Sicherheitskonzept, in dem auch Prozesse zur regelmäßigen Kontrolle der Datensicherheit beschrieben sind. 

Lassen Sie sich von den vielen Anforderungen an das Verzeichnis der Verarbeitungstätigkeiten nicht abschrecken. Im Grunde handelt es sich um eine einmalige „Fleißarbeit“, deren Ergebnis in regelmäßigen Abständen auf Aktualität geprüft werden sollte. Schieben Sie diese Aufgabe nicht mehr allzu lange vor sich her, sondern bereiten Sie sich auf entsprechende Anfragen der Aufsichtsbehörde vor. Falls Sie dazu weitere Hilfestellung benötigen, wenden Sie sich gerne an unseren Datenschutzbeauftragten unter datenschutz(at)hptp.de

Schritt 5: Passen Sie Ihre Verträge an

Auch bestehende Verträge mit Servicefirmen, Cloud­Dienstleistern und Dienstleistern für  Textverarbeitung, Terminplanung oder andere Formen der Datenverarbeitung müssen an das neue Recht angepasst werden. Sollten Sie noch keinen Vertrag mit Ihren Auftragsverarbeitern haben, wird es jetzt Zeit, einen DSGVO-konformen Vertrag zu schließen. Denken Sie in dem Zuge bitte auch daran, Ihre Allgemeinen Geschäftsbedingungen zu überprüfen. 

Übrigens: Mit Ihrem Steuerberater, Wirtschaftsprüfer oder Rechtsanwalt müssen Sie keinen Auftragsverarbeitungsvertrag schließen. Diese sogenannten Berufsgeheimnisträger agieren als eigenständig Verantwortliche mit Rechtsgrundlage, wie die Datenschutzkonferenz festgestellt hat. Weitere Ausnahmen sind hier aufgeführt.