DSGVO – es sind nur fünf Buchstaben. Dennoch haben sie in Unternehmen und bei Kommunikations-Profis quer durch Europa in den vergangenen zwei Jahren für viel Unruhe gesorgt. Am 25. Mai 2018 ist die Datenschutz-Grundverordnung in Kraft getreten. Mit der Verordnung der Europäischen Union sind die Regeln zur Verarbeitung personenbezogener Daten EU-weit vereinheitlicht worden. Im Klartext: Der Datenschutz ist seitdem strenger und erfordert einen wesentlich höheren Aufwand. Doch wen betrifft es und was muss man bei der Umsetzung beachten?

In A Nutshell: Die zehn wichtigsten Antworten zur DSGVO

1. Wen betrifft die DSGVO?
Jeden, der mit personenbezogenen Daten arbeitet, sie speichert oder weiterleitet, ist von der Datenschutz-Grundverordnung betroffen. Prinzipiell sind das Unternehmen, Selbstständige und Webseitenbetreiber, wie beispielsweise Blogger. Sobald Sie mit Informationen, die eine Person identifizieren, arbeiten, sind Sie betroffen. Dazu zählen beispielsweise:

  • Name, Alter, Familienstand, Geburtsdatum
  • Personalausweis- und Sozialversicherungsnummer
  • Adressdaten, Telefonnummer, E-Mail-Adresse
  • Konto- und Kreditkartennummer
  • Kraftfahrzeugnummer, Kfz-Kennzeichen
  • Gesundheitsdaten, genetische Daten
  • Werturteile wie zum Beispiel Zeugnisse
  • Vorstrafen

2. Wann benötigen Sie einen Datenschutzbeauftragten?
Sobald mindestens einer der folgenden Fälle auftritt:

  • Sie beschäftigen mindestens 20 Mitarbeiter, die personenbezogene Daten automatisiert verarbeiten. Dabei ist es unerheblich, ob es sich um Festgestellte, freie Mitarbeiter oder Aushilfen handelt. Das heißt: Bereits viele Startups sind von der DSGVO betroffen.
  • Ihr Unternehmen übermittelt, erhebt oder verarbeitet geschäftsmäßig personenbezogene Daten. Dazu gehören beispielsweise Marktforscher oder Adressverlage.
  • Ihr Unternehmen verarbeitet hochsensible Daten, wie Bank-, Gesundheits- oder Bonitätsdaten.

3. Welche Pflichten entstehen aus der DSGVO?
Wenn Sie mit personenbezogenen Daten arbeiten, sie speichern oder weiterleiten, müssen Sie dies genau dokumentieren. Aktualisieren Sie die Datenschutzerklärung Ihrer Webseite und legen Sie ein ausführliches, schriftliches Datenschutzkonzept an. Zudem benötigen Sie künftig ein Verarbeitungsverzeichnis der personenbezogenen Daten sowie eine unterschriebene Verschwiegenheitserklärung aller Personen, die mit diesen Daten zu tun haben. Löschen Sie alte Datenbankdateien und schließen Sie mit allen externen Dienstleistern einen Auftragsdaten-Verarbeitungsvertrag (siehe 5.) ab. Zu den externen Dienstleistern gehört zum Beispiel auch Ihr Steuerberater.

4. Wie sieht ein Verarbeitungsverzeichnis der DSGVO aus?
Das Verarbeitungsverzeichnis unterteilt sich in ein Verzeichnis für Verantwortliche und eines für Auftragsverarbeiter. Das Verzeichnis für Verantwortliche beinhaltet beispielsweise den Zweck der Verarbeitung sowie eine Beschreibung jeweils betroffener Personen. Führen Sie auch die Empfänger der Daten auf. Das Verzeichnis für Auftragsverarbeiter beschreibt alle extern in Auftrag gegebene Tätigkeiten, die eine Datenverarbeitung mit sich ziehen. Beide Verzeichnisse beschreiben zudem die technischen und organisatorischen Maßnahmen zur jeweiligen Datensicherung. Vordrucke für beide Verzeichnisse gibt es beim Bayerischen Landesamt für Datenschutzaufsicht zum Download.

5. Was ist ein Auftragsdaten-Verarbeitungsvertrag?
Beschäftigen Sie externe Dienstleister, die mit Ihren erhobenen Daten arbeiten, müssen Sie mit ihnen ein Auftragsdaten-Verarbeitungsvertrag abschließen. Damit sichern Sie sich ab, dass Ihr Dienstleister die nötigen Maßnahmen für einen ausreichenden Datenschutz gewährleistet. Als Beleg hierfür können Sie statt des Vertrages auch vom Auftragsverarbeiter aufgestellte Verhaltensregeln vorlegen. Diese müssen allerdings DSGVO-konform sein. Hier finden Sie ein Muster für den Auftragsdaten-Verarbeitungsvertrag.

6. Wie erstellen Sie eine Datenschutz-Folgeabschätzung (DSFA)?
Die DSFA ist ein Instrument zur Beschreibung, Bewertung und Eindämmung von Risiken für die Personen, deren Daten Sie verarbeiten. Darin halten Sie fest, wie Sie trotz Risiken für den Schutz der Daten und die Einhaltung der DSGVO sorgen. Eine DSFA brauchen Sie nur, wenn bei der Datenverarbeitung ein hohes Sicherheitsrisiko besteht. Egal, ob Sie eine DSFA durchführen oder nicht – halten Sie die Entscheidung und dessen Begründung unbedingt schriftlich in Ihrem Datenschutzkonzept fest.

7. Wie wird Ihre Webseite DSGVO-konform?
Weisen Sie anhand eines Plugins auf Cookies hin. Stellen Sie Ihre Webseite außerdem von „http“ auf „https“, also die SSL-Verschlüsselung, um. Ein solches SSL-Zertifikat erhalten Sie in der Regel über Ihren Provider. Entfernen Sie unsichere Social-Plugins und ersetzen Sie diese mit sicheren, wie dem „Shariff Wrapper Plugin“ oder setzen Sie hinter die Social-Media-Icons Direktlinks. Bei einem Kontaktformular fragen Sie nur notwendige Daten ab und weisen Sie mit einer Checkbox auf die Erhebung der angegeben Daten hin. Das Gleiche gilt für die Kommentarfunktion. Nutzen Sie zudem statt des üblichen Antispam-Plugins „Akismet“ das DSGVO-konforme Plugin „Antispam Bee“.

8. Wie wird Ihr Newsletter DSGVO-konform?
Die DSGVO verlangt bei Newslettern ein sogenanntes Double-Opt-in mit dem Hinweis auf die Datenerhebung in einer Checkbox. Jede Newsletter-Ausgabe muss einen Link zum Impressum, zur Datenschutzerklärung und zur Abmeldung enthalten. Wichtig: Die DSGVO verbietet Kopplungen. Das bedeutet, dass Sie für Verlosungen von Giveaways oder Gewinnspiel-Teilnahmen kein Newsletter-Abonnement mehr zur Bedingung machen dürfen.

9. Welche Anforderungen muss die Datenschutzerklärung auf Ihrer Webseite erfüllen?
Die Datenschutzerklärung Ihrer Webseite muss seit dem 25. Mai 2018 als „Datenschutz“ oder „Datenschutzerklärung“ gut sichtbar sein. Datenschutzerklärungs-Generatoren helfen Ihnen, DSGVO-konforme Erklärungen zu formulieren. Berücksichtigen Sie dabei auch Registrierungsmöglichkeiten, die Verwendung von Cookies, Analysen- und Trackingdiensten sowie Logfiles.

10. Ist Google Analytics mit der DSGVO vereinbar?
Inzwischen ja, nachdem es eine Weile unklar gewesen war, ob Google alle Voraussetzungen erfüllen würde. Aber: Sie müssen gewisse Anpassungen auf Ihrer Website vornehmen. Halten Sie in der Datenschutzerklärung genau fest, welche Daten von wem wie lange und wo erhoben, gespeichert und wozu sie verwendet werden. Halten Sie ebenfalls fest, wann Sie die Daten wieder löschen. Aktualisieren Sie Ihre bestehende Auftragsverarbeitung mit Google schriftlich und online mit dem sogenannten „Zusatz zur Datenverarbeitung“. Hier finden Sie eine Schritt für Schritt-Anleitung, um Google Analytics DSGVO-konform zu machen. Ähnlich kritisch sollten Sie sich andere Analytics-Tools wie Piwik oder eTracker angucken.

Nach bestem Wissen und Gewissen

In Ihrem Datenschutzkonzept halten Sie fest, welche technischen und organisatorischen Maßnahmen Sie ergreifen, um die von Ihnen verarbeiteten Daten zu schützen. Es beinhaltet Ziele, Verantwortlichkeiten, Dokumentationspflichten und die Kontaktdaten der Verantwortlichen und des Datenschutzbeauftragten. Das Konzept dient auch als Grundlage für datenschutzrechtliche Prüfungen.

Keine Sorge: Solange Sie die Dokumentation und die technischen und organisatorischen Maßnahmen nach bestem Wissen und Gewissen durchführen, brauchen Sie sich nicht vor der DSGVO zu fürchten. Sollten Sie allerdings wissentlich oder vorsätzlich dagegen verstoßen, erwarten Sie im Ernstfall Strafen von bis zu 10 Millionen Euro. Alternativ auch bis zu zwei Prozent des weltweiten Umsatzes des vorangegangenen Geschäftsjahres – je nachdem, welcher Betrag höher ist. Insofern: Es lohnt sich, unsere Checkliste abzuarbeiten!

Sie benötigen Unterstützung bei Corporate Publishing, Social Media, Consulting, Grafikdesign, Community Management oder Content-Marketing? Dann sind Sie bei uns genau richtig. Informieren Sie sich hier über unsere Leistungen und Kunden. Kontaktieren Sie uns!

Dieser Beitrag ersetzt keine juristische Beratung und dient lediglich als Hilfestellung. Alle Angaben sind ohne Gewähr.