Die DSGVO-Checkliste

So machen Sie Ihre Firma fit für die DSGVO...

Werbung
Gut geplant ist halb gewonnen - das gilt auch bei der Umsetzung der DSGVO.
Gut geplant ist halb gewonnen - das gilt auch bei der Umsetzung der DSGVO.
☆ Dieser Artikel ist Teil unseres Special Datenschutz: Die DSGVO im Detail…

Der Countdown läuft… ab dem 25. Mai 2018 gilt ein europaweit einheitliches Datenschutzrecht. Die „Datenschutz-Grundverordnung“ (kurz DSGVO) stellt insbesondere kleinere Unternehmen und Selbständige vor große Herausforderungen bei der Umsetzung der neuen Vorschriften.

Unsere Checkliste hilft Ihnen dabei, sich einen schnellen Überblick zu verschaffen und Ihr eigenes Unternehmen im Handumdrehen fit für die DSGVO zu machen:

  • (1) Datenschutzbeauftragten benennen
  • (2) „Verzeichnis der Verarbeitungstätigkeiten“ anlegen
  • (3) Datenschutzerklärung für die eigene Website erstellen
  • (4) Prozesshandbuch führen

(1) Datenschutzbeauftragten benennen

Sobald ein Unternehmen automatisiert personenbezogene Daten verarbeitet, beispielsweise Kundenadressen und Mitarbeiterdaten, ist es verpflichtet, einen Datenschutzbeauftragten einzusetzen, der über die Einhaltung aller relevanten Vorschriften wacht.

Nachdem die wenigsten Firmen allein mit Quittungsblock und Lohntüten auskommen, scheint die Besetzung des Datenschutzbeauftragten obligatorisch zu sein.

So will es das Gesetz, welches glücklicherweise bei kleinen Firmen und Selbständigen eine Ausnahme macht: Sind nämlich weniger als 10 Mitarbeiter regelmäßig mit der Verarbeitung personenbezogener Daten beschäftigt, bleibt einem diese kostspielige Maßnahme erspart (siehe § 38 BDSG).

Andererseits ist die Bestellung eines Datenschutzbeauftragten verpflichtend, sobald Sie besonders schutzwürdige Daten verarbeiten (Art. 37 Abs. 1 c DSGVO). Dazu zählen genetische und biometrische Daten, aber auch Angaben über politische Meinungen und die ethnische Herkunft.

Daneben existieren noch weitere Bereiche, welche die Einsetzung eines Datenschutzbeauftragten erfordern, doch diese spielen für die meisten kleineren Unternehmen keine Rolle (z.B. Angaben zu Straftaten).

Der Datenschutzbeauftragte selbst kann ein Mitarbeiter des jeweiligen Unternehmens sein, solange Interessenkonflikte vermieden werden (beispielsweise wäre der Firmeninhaber weniger gut für diese Position geeignet). Alternativ bieten sich auch externe Dienstleister an.

Aufgaben des Datenschutzbeauftragten (Art. 39 DSGVO):

  • Beratung der Mitarbeiter und Verantwortlichen in allen Belangen des Datenschutzes.
  • Überwachung der Einhaltung sämtlicher Datenschutzvorschriften.
  • Durchführung von Datenschutz-Folgenabschätzungen.
  • Verantwortlicher Ansprechpartner gegenüber zuständigen Aufsichtsbehörden.

Interessant zu wissen: Es existieren keine Vorschriften hinsichtlich der erforderlichen Qualifikation des Datenschutzbeauftragten; er (oder sie) muss jedoch über ausreichend Erfahrung und Fachwissen verfügen, um alle gestellten Aufgaben bewältigen zu können.

(2) „Verzeichnis der Verarbeitungstätigkeiten“ anlegen

Haben Sie keine Angst vor dem ein wenig sperrig wirkenden Begriff – man könnte dieses Verzeichnis alternativ einfach als „Lebenslauf von Daten“ bezeichnen. Das beschreibt nämlich ganz gut seinen Zweck: Es soll über die Herkunft, Verwendung und Verbleib personenbezogener Daten informieren:

  • Welche Daten werden erhoben ?
  • Wer ist für die Verarbeitung der Daten verantwortlich ?
  • Wie werden die Betroffenen über die Erhebung und Verarbeitung der Daten informiert ?
  • Welchem Zweck dient die Verarbeitung der erhobenen Daten ?
  • Wie werden die Daten verarbeitet ?
  • Werden die Daten weitergegeben, falls ja, an wen und zu welchem Zweck ?
  • Wo werden die Daten gespeichert ?
    • Lokal
    • Innerhalb der Europäischen Union
    • Außerhalb der EU (Drittstaatenregelung beachten)
  • Welche organisatorischen und technischen Maßnahmen (TOM) werden zum Schutz der Daten ergriffen ?

Für die Umsetzung genügt im Grunde eine einfache tabellarische Aufstellung.

Das Verzeichnis ist so zu führen, daß Dritten ein schneller Einblick in interne Abläufe möglich wird. Gleichzeitig soll es dabei helfen, die Effektivität der eigenen getroffenen Datenschutz-Maßnahmen zu prüfen.

Beispiel für eine mögliche Umsetzung:

Art der Daten Kundenstammdaten
Betroffene Kunden
Erteilte Einwilligung Website: Einwilligung in Datenschutzbestimmungen.
Filiale vor Ort: Mündlicher Hinweis zur Speicherung.
Zweck der Verarbeitung Kundenverwaltung, Terminvereinbarung, Kommunikation, Buchführung
Verantwortliche Person Max Gehörts, Geschäftsführer
Personen mit Datenzugriff Max Gehörts, Geschäftsführer
Mary Fleißig, Kundenbetreuerin
Susi Rührig, Buchhaltung und Verwaltung
Datenkategorie Kundenstammdaten (Vorname, Nachname, Postadresse, Telefon, E-Mail, Geburtsdatum, Kundennummer)
Speicherung und Verarbeitung Nur im lokalen Computersystem.
Weitergabe der Daten Bei Bedarf an Steuerberater (Fritz Findig, Paragraphenallee 1, 12345 Musterstadt) gemäß ADV-Vertrag vom 1. Januar 2018.
Löschfrist Bei Widerruf des Betroffenen unter Berücksichtigung gesetzlicher Aufbewahrungsfristen.
Rechtsgrundlage Art. 6 Abs. 1 a, 1 b, 1 c
TOMs Passwortschutz vor Zugriff, verschlüsselte Speicherung auf Datenträger, Internet-Anbindung mit Router-Firewall, Aufbewahrung der Backups in gesichertem Raum.
Werbung