DSGVO Checkliste – Was regelt die DSGVO?

Ende Mai tritt die neue >> Datenschutzgrundverordnung DSGVO in Kraft. Sie regelt im gesamten europäischen Raum, was beim Umgang mit personenbezogenen Daten zu beachten ist. In einer DSGVO Checkliste haben wir zusammengefasst, welche Prozesse Sie als KMU zeitnah anstoßen sollten.


DSGVO Checkliste für KMU

Der Gedanke an die DSGVO erzeugt derzeit bei vielen Mittelständlern und Dienstleistern Unbehagen. Wen trifft es, was wird am 25. Mai passieren und wie bereitet man sich am besten vor? Große Onlinekonzerne wie Google und Facebook senden E-Mails aus und weisen im Kontext der DSGVO auf geänderte Datenschutzbestimmungen hin. Viele Plattformen kündigen im Zuge dessen auch Änderungen ihres Angebots an. Mit jeder neuen E-Mail häufen sich die Anfragen aus dem Kundenkreis. Was hat es auf sich mit den neuen Regeln, was betrifft wen und was ist überhaupt jetzt zu tun?

Die Fragen sind teilweise nachvollziehbar, teilweise auch verwunderlich. Denn, ganz ehrlich: Der Datenschutz ist in Deutschland schon immer sehr streng geregelt. Viele „Neuerungen“ in der neuen Datenschutzverordnung sollten für deutsche Unternehmen nicht wirklich neu sein. Diese sind bereits seit Jahren dazu verpflichtet, personenbezogene Daten ihrer Kunden und Geschäftspartner zu achten. Mit dem »Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts«, etwa, hatte der Gesetzgeber 2016 sogar verfügt, dass der Datenschutz unter den Verbraucherschutz zu fallen hat. Damit unterliegen Firmen, die gegen Datenschutzbestimmungen verstoßen bereits seit zwei Jahren dem Verbandsklagerecht und müssen sich im Fall einer Klage durch den Verbraucherschutz vor einem öffentlichen Gericht verantworten. Auch bisher war es Pflicht, Privatpersonen Auskunft über im Unternehmen gespeicherte, personenbezogene Daten zu geben. Die Speicherung solcher Daten war ohne Rechtsgrundlage auch vorher nicht erlaubt. Neu ist, dass die DSGVO strengere Standards für den Umgang mit Daten festlegt und deutlich höhere Strafen für Verstöße vorsieht – was  besonders die altbekannten „Datenkraken“ mit Sitz in sogenannten Drittländern empfindlich treffen könnte. Vor allem, dass die DSGVO den zuständigen Aufsichtsbehörden wichtige Durchsetzungsbefugnisse für die Verhängung von Geldbußen verleiht (max. 20 Millionen oder bis zu vier Prozent des weltweit erzielten Jahresumsatzes – je nachdem, welcher Betrag höher ausfällt), dürfte so manchen Konzernchef mehr als nervös machen.

DSGVO Checkliste für KMU

Warum brauchen wir Datenschutz?

Es ist kein großes Geheimnis, dass Konzerne, Sicherheits- und Verwaltungsbehörden, Telekommunikations- und Finanzdienstleister, Anbieter von Unterhaltungsmedien, Gaming-Portale, digitale Informationsdienstleister und viele andere unsere Daten gerne sammeln, speichern und zusammenführen möchten, um damit Geld zu verdienen. Vielen Nutzern erscheint der Deal – „Leistung gegen Daten“ – noch nicht einmal problematisch. Dafür, dass sie digitale Angebote kostenfrei nutzen, geben sie ihre privaten Daten häufig gerne – und mit wenig Vor(aus)sicht – ab. Dass sich dabei viele Internetnutzer der Tragweiter ihrer Entscheidung nicht immer bewusst sind, zeigt das derzeit wohl prominenteste Beispiel: WhatsApp. „Bequem, einfach zu nutzen, kostenlos“ – so lauten die beliebtesten Argumente für den Messenger. Dass Nutzer hier aber nicht nur ihre eigenen Daten an ein Unternehmen im Ausland weitergeben, sondern – unerlaubt – auch die Daten all ihrer auf Mobilgeräten gespeicherten Kontakte, ist den Wenigsten bewusst. Ein Grund übrigens, weshalb Datenschützer der Nutzung von WhatsApp im Unternehmen schon lange kritisch gegenüberstehen.

Dass der Datenschutz in der EU vereinheitlicht wird, ist im Sinne des Verbraucherschutzes durchaus zu begrüßen. Was aber bedeutet die DSGVO konkret für kleine und mittlere Unternehmen, die sich im seltensten Fall den Luxus einer eigenen Rechtsabteilung leisten können?

DSGVO Checkliste für KMU

Wer sich die Mühe macht, die 99 Artikel der DSGVO zu studieren, findet Informationen zu neun speziellen und im Detail sehr komplexen Themenbereichen. Eine wasserdichte Rechtsberatung, die gegen alle Eventualitäten schützt, dürfte derzeit aber kaum ein Jurist bieten. Aus diesem Grund sind die Unsicherheiten (auch bei uns) sehr groß. Viele Beratungsangebote kursieren in digitalen und analogen Netzwerken – viele Anbieter machen es sich dabei zunutze, dass die Verordnung in einem unsäglichen Beamtenslang formuliert ist. Strukturiert ist die DSGVO in elf Hauptkapitel, die sich einzelnen Bereichen widmen.

  • Kapitel 1 (Art 1-4) regelt zunächst die allgemeinen Rahmenbedingungen, definiert also, welche Ziele die Verordnung verfolgt (nämlich den „Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten“). Hier ist zu lesen, auf was und wo die DSGVO konkret angewendet werden soll. Dabei wird bereits unmissverständlich darauf hingewiesen, dass Datenschutz als ein Grundrecht und eine Grundfreiheit einer jeden natürlichen Person zu sehen ist, das bzw. die es zu schützen gilt.

DSGVO Checkliste für KMU

  • Kapitel 2 (Art. 5-11) definiert, welche Grundsätze bei der Verarbeitung personenbezogener Daten für Unternehmen gelten. Dazu gehören Rechtmäßigkeit, ein eindeutig festgelegter und legitimer Zweck, Angemessenheit (also nicht mehr Daten sammeln, als zum angegebenen Zweck wirklich nötig), die Einwilligung der jeweiligen Person zur Nutzung ihrer Daten (oder der Eltern, bei Kindern und Jugendlichen unter 16), die sachliche Richtigkeit der Daten, Aktualität, ggf. Anonymisierung und Sicherheit bei der Verarbeitung als die wichtigsten Punkte. Daneben ist auch die Rechenschaftspflicht des Datensammlers hochrelevant. Denn Unternehmen müssen die Grundsätze bei der Datenverarbeitung nicht nur einhalten, sie werden grundsätzlich auch dazu verpflichtet, nachzuweisen, dass und wie sie diese Vorgaben umsetzen. Sinn einer DSGVO Checkliste ist letztlich die Prozessdokumentation.

DSGVO Checkliste für KMU

  • Kapitel 3 (Art. 12-23) regelt die Rechte privater Nutzer gegenüber einem Unternehmen. Dabei sind vor allem Transparenz, Informationspflichten der Unternehmen und Auskunftsrechte der Nutzer sowie das Recht auf Berichtigung oder Löschung und das Widerspruchsrecht gegen die Datenerhebung zu nennen. Das ist nicht wirklich neu. Denn Privatpersonen hatten auch vor der neuen Verordnung bereits das Recht, zu erfahren, ob ein Unternehmen von ihnen Daten erhoben und verarbeitet hatte, und wenn ja, zu welchem Zweck dies geschehen war; ebenso konnte die Löschung verlangt werden. Mit Inkrafttreten der DSGVO müssen Unternehmen nun auch Auskunft geben über die Kategorien der Daten, ob Informationen an Dritte (auch in Drittländer) übermittelt werden und wie lange die Daten zu welchem Zweck gespeichert werden. In jedem Fall muss der Anfragende immer auf sein Recht auf Berichtigung oder Löschung seiner Daten, Widerspruch und Beschwerdemöglichkeiten hingewiesen werden. Es macht also Sinn, sich anhand der in Artikel 15 definierten Vorschriften ein standardisiertes Vorgehen für die Bearbeitung von Anfragen zu erarbeiten. Datendossiers müssen auf Anfrage in einer strukturierten, maschinenlesbaren Form an den Nutzer herausgegeben werden. Nutzer müssen immer so früh wie möglich (!) und ausdrücklich auf ihr in Art. 21 Abs. 1 und 2 festgeschriebenes Widerspruchsrecht hingewiesen werden. Für das Marketing in Unternehmen gilt hier besonders, was in Absatz 2 formuliert wurde:
„Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.“
DSGVO Checkliste für KMU
  • Kapitel 4 (Art. 24-43) regelt, welche allgemeinen Pflichten Unternehmen beim Datenschutz haben, welche Sicherheitsmaßnahmen und Risikoeinschätzungen zu treffen sind, wann ein Datenschutzbeauftragter zu berufen ist und welche Verhaltensregeln und Zertifizierungen ggf. gelten müssen. Dabei gilt: Unternehmen müssen grundsätzlich sicherstellen, dass die personenbezogenen Daten ihrer Nutzer vor unbefugten Zugriffen beliebiger Dritter geschützt sind. Jede Person, die den Zweck der und die Mittel zur Verarbeitung von Daten in einem Unternehmen festlegt, ist für die Sicherheit dieser Daten verantwortlich. Für das Marketing wichtig ist hier auch die in Art. 28 getroffene Regelung bzgl. der Zusammenarbeit mit einem Auftragsverarbeiter. Diese betrifft die Datenverarbeitung durch Dritte, z.B. Dienstleister, die außerhalb des Unternehmens stehen. Hier dürfen Sie nur mit Unternehmen arbeiten, die Garantien bieten, „dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen [der DSGVO] erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet [ist]“. Solche Dienstleistungen müssen im Sinne der DSGVO immer vertraglich geregelt werden (Zu prüfen, ob Sie alle erforderlichen Verträge zur Auftragsdatenverarbeitung abgeschlossen haben, gehört ebenfalls zur DSGVO Checkliste).

DSGVO Checkliste für KMU

  • Kapitel 5 (Art. 44-50) betrifft die Übermittlung personenbezogener Daten an Drittländer und internationale Unternehmen. Auch diese ist laut Art 44. „nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in [Kap. 5] niedergelegten Bedingungen einhalten und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden“. Hier muss für das entsprechende Land immer ein angemessenes Schutzniveau gegeben sein, insbesondere müssen die Rechtsstaatlichkeit und die Achtung der Menschenrechte und Grundfreiheiten in diesen Ländern sichergestellt sein.
  • Kapitel 6 (Art. 51-59) regelt die Befugnisse, Zuständigkeiten und Pflichten von Aufsichtsbehörden, die die DSGVO in Europa durchsetzen sollen. Die Behörden müssen zum Beispiel die Einhaltung der DSGVO überwachen, informieren, beraten, sensibilisieren und Individuen über ihre Rechte informieren, Beschwerden bearbeiten und mit anderen Behörden zusammenarbeiten. Sie dürfen Unternehmen kontrollieren, Untersuchungen und Prüfungen vornehmen, müssen auf Verstöße hinweisen und erhalten Zugang zu allen relevanten Daten – zur Not auch vor Ort, in den Unternehmensräumen. Sie dürfen weiterhin warnen, verwarnen und Verbote verhängen, Löschung von Daten anordnen und im Einzelfall Geldbußen verhängen, die „verhältnismäßig und abschreckend“ sind.
  • Kapitel 7-11 (Art. 60-99) regeln schließlich Fragen zur Zusammenarbeit von Aufsichtsbehörden, Rechtsbehelfe, Haftungsfragen und Sanktionen, Ausnahmen und Rechtsakte. In den Schlussbestimmungen werden alte Richtlinien aufgehoben oder erweitert. Insbesondere das Kapitel 8 ist hier noch einmal einen vertieften Blick wert, da es nähere Auskunft über mögliche Sanktionen z.B. in Form von Bußgeldern gibt.

Ein weiterer Schritt hin zu mehr Datenschutz auf europäischer Ebene bringt außerdem die ePrivacy-Verordnung, die das EU-Parlament am 26.10.2017 beschlossen hat. Sie tritt zusammen mit der EU-Datenschutz- Grundverordnung (DSGVO) am 25.05.2018 in Kraft.


Disclaimer: Bitte beachten Sie: Die in diesem Beitrag zur DSGVO Checkliste enthaltenen Informationen dienen reinen Informationszwecken und sind allgemeiner Natur. Sie sind nicht als verbindliche Rechtsauskunft zu verstehen und können die Konsultation eines Rechtsanwaltes im konkreten Fall nicht ersetzen.