Mit der Einführung der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 haben sich die Anforderungen an den Umgang mit personenbezogenen Daten erheblich verschärft. Unternehmen in Deutschland sind nun verpflichtet, strenge Datenschutzvorschriften einzuhalten, um die Rechte der betroffenen Personen zu schützen und hohe Strafen zu vermeiden. In diesem Artikel gehen wir auf wichtige Punkte der DSGVO ein. Am Ende des Artikels verlinken wir zudem auf eine geprüfte Vorlage für den Datenschutz, die Ihnen hilft, die DSGVO-Vorgaben in Ihrem Unternehmen umzusetzen.
Betroffen von der DSGVO oder nicht?
Viele Firmen tun sich schwer damit zu differenzieren, ab wann man von der DSGVO betroffen ist und wann nicht. Daher gehen wir im Folgenden auf einige Beispiele ein, um Ihnen eine kleine Orientierung zu bieten.
- Online-Shop mit Kunden aus der EU: Ja, betroffen. Verarbeitet personenbezogene Daten von EU-Bürgern.
- Handwerksbetrieb in Deutschland: Ja, betroffen. Verarbeitet Kundendaten wie Namen und Adressen.
- Personal Trainer ohne Kundendaten: Nein, nicht betroffen. Verarbeitet keine personenbezogenen Daten.
- Sportverein ohne Mitgliederdatenbank: Nein, nicht betroffen. Keine systematische Erfassung personenbezogener Daten.
- Blogger mit Tracking-Tools: Ja, betroffen. Nutzt Tracking-Tools, die personenbezogene Daten erfassen.
- Kleinunternehmen ohne Internetpräsenz: Potentiell ja, betroffen. Sobald Kundendaten wie Telefonnummern erfasst werden.
- Freiberuflicher Berater mit Kundenkartei: Ja, betroffen. Speichert und verwaltet Kundendaten zur Terminplanung und Rechnungsstellung.
- Verein mit Mitgliederliste: Ja, betroffen. Führt eine Liste mit Namen und Kontaktdaten der Mitglieder.
- Fotograf ohne langfristige Speicherung: Nein, nicht betroffen, sofern er die Fotos nach dem Auftrag sofort löscht und keine personenbezogenen Daten speichert.
- Restaurant mit Reservierungssystem: Ja, betroffen. Erfasst Namen und Kontaktdaten von Gästen für Reservierungen.
- Florist ohne digitale Datenverarbeitung: Nein, nicht betroffen, wenn er keinerlei Kundendaten erfasst oder speichert.
Anhand dieser Beispiele wird Folgendes klar: Die DSGVO greift in nahezu allen Situationen, in denen personenbezogene Daten erfasst oder verarbeitet werden, unabhängig davon, ob dies digital oder analog geschieht. Es spielt keine Rolle, wie groß das Unternehmen ist oder in welcher Branche es tätig ist. Sobald personenbezogene Daten betroffen sind, müssen die Vorgaben der DSGVO beachtet werden.
Das müssen Firmen tun, damit die DSGVO eingehalten wird
Um die DSGVO einzuhalten, müssen Unternehmen und Organisationen eine Reihe von Schritten befolgen, um sicherzustellen, dass personenbezogene Daten rechtmäßig, transparent und sicher verarbeitet werden. Hier sind die wesentlichen Maßnahmen, die Sie ergreifen sollten:
1. Datenverarbeitungsprozesse analysieren
- Überprüfen Sie, welche personenbezogenen Daten in Ihrem Unternehmen erhoben, gespeichert und verarbeitet werden.
- Identifizieren Sie die Zwecke der Datenverarbeitung und stellen Sie sicher, dass diese rechtmäßig und notwendig sind.
2. Rechtsgrundlagen für die Datenverarbeitung sicherstellen
- Stellen Sie sicher, dass für jede Art der Datenverarbeitung eine gültige Rechtsgrundlage vorliegt, z.B. Einwilligung der betroffenen Person, Vertragserfüllung oder berechtigtes Interesse.
3. Informationspflichten erfüllen
- Informieren Sie betroffene Personen transparent darüber, wie ihre Daten verarbeitet werden, welche Rechte sie haben und wie lange die Daten gespeichert werden.
- Verwenden Sie dafür eine klare und verständliche Datenschutzerklärung, die auf Ihrer Website oder in Ihren Vertragsdokumenten zugänglich ist.
4. Einwilligungen einholen
- Holen Sie explizite Einwilligungen ein, wenn Sie personenbezogene Daten für Zwecke verarbeiten, die nicht direkt zur Vertragserfüllung notwendig sind, z.B. für Marketingmaßnahmen.
- Stellen Sie sicher, dass die Einwilligungen freiwillig, spezifisch und informiert sind.
5. Technische und organisatorische Maßnahmen (TOMs) umsetzen
- Implementieren Sie Sicherheitsmaßnahmen, um personenbezogene Daten vor unbefugtem Zugriff, Verlust oder Manipulation zu schützen. Dazu gehören u.a. Verschlüsselung, Zugriffskontrollen und regelmäßige Datensicherungen.
6. Betroffenenrechte gewährleisten
- Stellen Sie sicher, dass betroffene Personen ihre Rechte ausüben können, wie das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit.
- Richten Sie klare Prozesse ein, um auf Anfragen der betroffenen Personen zeitnah zu reagieren.
7. Meldung von Datenschutzverletzungen
- Richten Sie einen Prozess zur Meldung von Datenschutzverletzungen ein. Bei einer Verletzung, die zu einem Risiko für die Rechte und Freiheiten von Personen führt, müssen Sie diese innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde melden.
- Informieren Sie auch die betroffenen Personen, wenn ein hohes Risiko für ihre Rechte besteht.
8. Datenschutzbeauftragten benennen
- Benennen Sie einen Datenschutzbeauftragten, wenn Ihr Unternehmen regelmäßig und systematisch personenbezogene Daten in großem Umfang verarbeitet oder besondere Kategorien personenbezogener Daten verarbeitet (z.B. Gesundheitsdaten).
- Der Datenschutzbeauftragte überwacht die Einhaltung der DSGVO und dient als Ansprechpartner für Aufsichtsbehörden und betroffene Personen.
9. Verträge zur Auftragsverarbeitung abschließen
- Wenn Sie personenbezogene Daten durch Dritte (z.B. IT-Dienstleister) verarbeiten lassen, schließen Sie einen Vertrag zur Auftragsverarbeitung ab, der sicherstellt, dass auch diese Dritten die DSGVO einhalten.
10. Mitarbeiterschulungen durchführen
- Schulen Sie Ihre Mitarbeiter regelmäßig in Datenschutzfragen, um sicherzustellen, dass sie die DSGVO-Vorgaben verstehen und einhalten.
11. Dokumentationspflichten erfüllen
- Führen Sie ein Verzeichnis der Verarbeitungstätigkeiten, das detailliert beschreibt, wie und warum personenbezogene Daten in Ihrem Unternehmen verarbeitet werden.
- Dokumentieren Sie die Maßnahmen und Prozesse, die Sie zur Einhaltung der DSGVO ergriffen haben.
Durch die Umsetzung dieser Maßnahmen stellen Sie sicher, dass Ihr Unternehmen die Anforderungen der DSGVO erfüllt und das Risiko von Datenschutzverstößen minimiert.
Datenschutz richtig umsetzen: Geprüfte Vorlagen und Muster nutzen
Um den Datenschutz in Ihrem Unternehmen effizient und rechtssicher umzusetzen, ist es sinnvoll, auf bewährte Vorlagen zurückzugreifen. Diese bieten eine solide Grundlage, um die Anforderungen der DSGVO zu erfüllen, ohne jedes Dokument von Grund auf neu erstellen zu müssen.
Ein Tipp: Das Datenschutz-Paket von Formblitz enthält 18 aktuelle Vorlagen und Ratgeber, die Ihnen helfen, DSGVO-Vorgaben schnell und korrekt umzusetzen. Mit diesen Vorlagen sind Sie bestens ausgestattet, um Datenschutzprozesse in Ihrem Unternehmen professionell zu gestalten und sich vor teuren Abmahnungen zu schützen.
Datenschutz DSGVO Vorlagen*