DSGVO: Die Welt geht erneut unter

Ralf Armbrüster
Ralf Armbrüster

“Man ahnt es schon: Mit der neuen DSGVO (Datenschutz-Grundverordnung) wird erneut die Welt untergehen. Am 25. Mai ist es soweit… ob es danach überhaupt noch Unternehmen geben wird, ist unklar.”

Scherz beiseite, und ganz im ernst: Auch nach dem 25. Mai wird die (Geschäfts-)welt weiter existieren. Und ähnlich wie bei den vorhergesagten dramatischen Änderungen zum Jahr 2000, zur Euro Einführung oder zum Vorbeifliegen des Halleyschen Kometen werden Sie am 25. Mai morgens wach und die Welt ist die gleiche sein wie am Tag zuvor. Aber: Es könnte Ihnen danach ein Bußgeld oder eine Abmahnung drohen, wenn Sie bestimmte Vorkehrungen nicht getroffen haben.

Was sollten Sie dennoch bis dahin erledigt haben?

Niemand will wegen Pseudo-Verbraucherschützern, die massenhaft Abmahnungen versenden, Kosten haben. Auch die Datenschutzbehörden könnten, so sie denn Zeit dafür finden, Überprüfungen durchführen und Strafen verhängen. Das muss nicht sein…

Außendarstellung / Wahrnehmbarkeit:

  1. Stellen Sie Ihre Webseiten auf SSL um (erkennbar am https:// statt http:// neben der URL). Die Verschlüsselung ist Pflicht, wenn Sie personenbezogene Daten auf Ihrer Seite erheben – dazu gehört bereits ein Kontaktformular
  2. Überall, wo Sie Daten elektronisch erfassen (Shop, Kontaktformular, Webinar-Anmeldung, Downloads gegen E-Mail Adresse etc.) müssen Sie erklären, was Sie mit den Daten tun und zwingend das Einverständnis dafür einholen (eine Checkbox, die angeklickt werden muss, damit die Daten übernommen werden).
  3. Bevor Sie Daten “tracken”, z.B. mit Google Analytics, müssen Sie das “OK” einholen. Dafür gibt es Erweiterungen für die gängigen CMS Systeme (z.B. WordPress). Auch wer mit Google Tag Manager arbeitet, kann das sehr einfach umsetzen.
  4. Überprüfen Sie bei der Gelegenheit auch gleich mal Ihr Impressum.
  5. Passen Sie die Datenschutzerklärung auf Ihrer Webseite an oder erstellen Sie eine. Diese muss nun verständlich sein und in einfachen Worten erklären, was Sie mit den Daten anfangen. Sie muss auch Informationen über z.B. soziale Medien enthalten, die auf Ihrer Webseite Daten einsammeln.
  6. Unternehmen mit 10 oder mehr Personen, die mit personenbezogenen Daten arbeiten (Auftragsabwicklung, Versand, Buchhaltung, Lohnabrechnung etc.), müssen einen Datenschutzbeauftragten bestellen (intern oder extern) und diesen auf ihrer Webseite auch namentlich benennen (wenn wir das für Sie übernehmen sollen, nehmen Sie bitte auf dieser Seite Kontakt auf.)

Interne Maßnahmen:

  1. Zusammen mit dem Datenschutzbeauftragten erstellen Sie ein “Verzeichnis der Verarbeitungstätigkeiten”  – das ist eine Tabelle, in der die Tätigkeiten, bei denen Daten verarbeitet werden, aufgelistet sind.
  2. Prozessbeschreibungen: Prozesse, die mit Datenverarbeitung zu tun haben, beschreiben und optimieren. Optimieren bedeutet, dass Datensparsamkeit umgesetzt wird, aber auch die Löschung von Daten (“digitales Vergessen”) vorgesehen ist.
  3. Datenschutz-Folgeabschätzung: Wenn Sie mit sensiblen Daten arbeiten (etwa in Arztpraxen) müssen Sie eine Datenschutz-Folgeabschätzung erstellen, in der die Risiken und Folgen beschrieben sind, wenn es zu einem Datenmissbrauch kommt. Auch diese Abschätzung erstellen Sie sinnvollerweise zusammen mit Ihrem Datenschutzbeauftragten.
  4. Generell, nicht nur wegen des DSGVO, sind Maßnahmen zum Schutz der Daten zu ergreifen. Dazu zählen u.a. die Sicherung (Zutritt zu EDV Anlagen) und den Zugangsschutz (Passwörter, Verschlüsselung etc.).
  5. Schließen Sie mit Geschäftspartnern, mit denen Sie personenbezogene Daten austauschen (z.B. E-Mail Provider, Google Analytics etc.) einen Vertrag zur Auftragsdatenverarbeitung. Durch einen solchen Vertrag verpflichten Sie den Vertragspartner zur Einhaltung der DSGVO bezüglich der überlassenen Daten.

Fragen?

Schreiben Sie gerne einen Kommentar unterhalb dieses Beitrags oder senden Sie uns eine E-Mail an unsere Support-Adresse.