11 Datenschutztipps für Unternehmen und Vereine

Im Mai 2018 veröffentlichte Dieter Geiger auf seiner Facebook-Seite 11 Tipps zum Umgang mit der DSGVO und dem BDSG. Auf vielfachen Wunsch haben wir diese hier noch einmal zusammengefasst:

  1. Erstellen Sie einen Datenschutz-Ordner. Im Verlauf der nächsten Wochen werden Sie diesen füllen.
    Fangen Sie gleich heute an, indem Sie sich zum Beispiel gleich die DSGVO und das BDSG ausdrucken und abheften.
    Quelle DSGVO (deutsch): http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/…
    Quelle GDPR (englisch): http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/…
    Quelle BDSG neu: https://www.bvdnet.de/wp-content/uploads/…/07/BDSG-neu-1.pdf
  2. Brauchen Sie bzw. Ihr Unternehmen einen Datenschutzbeauftragten (DSB)?
    Wenn sich bei Ihnen mindestens 10 Mitarbeiter mit der Verarbeitung personenbezogener Daten beschäftigen, müssen Sie einen DSB benennen. Sie können frei wählen, ob Sie einen Ihrer Mitarbeiter benennen, oder sich die Dienste eines externen DSB einkaufen.
    [Hinweise: Interessenskonflikte, besonderer Kündigungsschutz, Ausnahmen beachten, Art. 37 DSGVO, § 38 BDSG-neu]
  3. Impressum überprüfen. Für gewerbliche Website besteht eine Pflicht nach §5 TMG. Folgende Angaben müssen erbracht werden: Name und Adresse des Inhalte-Anbieters, Möglichkeit zur elektronischen Kontaktaufnahme (E-Mail-Adresse). Falls vorhanden: Nennung des DSB, Umsatzsteuer-Nummer, Registereintragung inkl. Register-Nummer (z.B. Handel, Verein). Falls erforderlich: Aufsichtsbehörde, Kammer, Berufsbezeichnung, ...
  4. Datenschutzerklärung überarbeiten. Ebenfalls für gewerbliche Internetseiten (das sind z.B.: Unternehmen, Shops, private Seiten mit Werbung) muss eine leicht erreichbare und vollständige Datenschutzerklärung eingebunden sein. Zur Erleichterung können Sie kostenpflichtige oder kostenlose Generatoren verwenden. Einen davon finden Sie auf https://dsgvo-muster-datenschutzerklaerung.dg-datenschutz.de
  5. https-Verschlüsselung einrichten: kein direktes "Muss" aber ein großes "Sollte". Passende Zertifikate erhalten Sie meist von Ihrem Hoster (teils kostenlos, teils kostenpflichtig). Die https-Verschlüsselung kann Ihnen auch zu einem besseren Ranking in Suchmaschinen verhelfen. Weitere Hilfe und Unterstützung erhalten Sie von Ihrem Website-Betreuer.
  6. Kontaktformular überprüfen. Haben Sie ein (oder auch mehrere) online ausfüllbare Formulare auf Ihrer Webseite, müssen Sie dort einen Hinweis auf Ihre Datenschutzerklärung einbinden - im Idealfall direkt vor dem "Senden/Abschicken"-Button. Achten Sie darauf, dass zumindest die Formular-Seiten https-verschlüsselt sind.
    Weitere Hilfe erhalten Sie von Ihrem Website-Betreuer.
  7. Ermitteln Sie alle in Ihrem Unternehmen verwendeten Verfahren (intern und extern). Hierunter fallen z.B.: Lohnabrechnung, Betrieb einer Website/OnlineShop, Kundenverwaltung, Personalverwaltung, Zahlungsabwicklung, Werbung/Marketing, ... [in den nächsten Tipps werden diese Verfahren benötigt]
  8. Schließen Sie Verträge zur Auftragsverarbeitung (AV) mit Ihren externen Dienstleistern (im Idealfall können Sie diese aus der Liste von Tipp 7 herausfiltern bzw. erweitern die Liste noch).
    Externe Dienstleister sind u.a.: Hoster (Website, E-Mail), externe Büros (Schreiben, Telefonieren), Clouds (auch für Datensicherungen), Buchhaltung, Zahlungsanbieter, nicht jedoch staatliche Stellen.
    Häufig erhalten Sie bereits vorgefertigte AV-Verträge direkt bei den Dienstleistern.
  9. Beschreiben Sie Ihre Verfahren (siehe Tipp 7) und legen Sie die dazu notwendigen Verfahrensverzeichnisse (VV) an.
    Für jede Tätigkeit (intern wie extern) ist ein separates VV notwendig. Unter anderem führen Sie darin auf: Tätigkeitsbezeichnung, Zweck der Tätigkeit, verarbeitete Daten, betroffene Personen, rechtliche Grundlage, technisch-organisatorische Maßnahmen zum Schutz der Daten.
    Musterformulare finden Sie z.B. auf https://www.lda.bayern.de/de/infoblaetter.html und https://www.lda.bayern.de/de/kleine-unternehmen.html
  10. Erstellung einer Folgenabschätzung (früher Vorab-Kontrolle).
    Beschreiben Sie (vor Einführung von neuen Tätigkeiten bzw. für bereits eingeführte Tätigkeiten mit hohem Risiko) möglicherweise auftretende Probleme bzw. Datenschutzkonflikte. Halten Sie fest, welche Maßnahmen zum Abmildern eingeleitet werden bzw. warum keine Maßnahmen durchgeführt werden (können). Prüfen Sie alternative Möglichkeiten zur Ausführung der geplanten Tätigkeit (anderes Verfahren, anderes Programm). Lesen Sie hierzu Art. 35: https://dsgvo-gesetz.de/art-35-dsgvo/
  11. Seit dem 25.05.2018 gelten die DSGVO und das BDSG neu!
    Nennen Sie - falls vorhanden - Ihren Datenschutzbeauftragten online der Aufsichtsbehörde unter https://www.lda.bayern.de/de/dsb-meldung.html