DSGVO-Handbuch_Leseprobe

Datenschutz 

Grundverordnung 

DSGVO 

Verbindlich 

ab 25. Mai 

2018 

Praktischer Leitfaden für Selbständige 

und kleine Betriebe

Datenschutz 

Grundverordnung 

DSGVO 

Praktischer Leitfaden für Selbständige 

und kleine Betriebe 

Ina Gutsch

Dieser Ratgeber ist eine praktische Anleitung zum Umsetzen des in der DSGVO geforderten Datenschutz-Konzeptes. 

Der Inhalt stellt keine juristische Beratung dar und ersetzt nicht den Rechtsanwalt oder Datenschutzbeauftragten. 

Das auf dieser Basis erstellte Datenschutz-Handbuch inkl. des Verzeichnisses der Verarbeitungstätigkeiten sollte 

abschließend von einem Datenschutzbeauftragten oder einem Rechtsanwalt überprüft und ggf. korrigiert werden. 

© Copyright 2018 – Alle Inhalte sind urheberrechtlich geschützt. 

Alle Rechte, einschließlich der Vervielfältigung, Veröffentlichung, Bearbeitung und Übersetzung, bleiben der 

Verfasserin Ina Gutsch vorbehalten. 

Wer gegen das Urheberrecht verstößt (z. B. Texte unerlaubt kopiert), macht sich gemäß §§ 106 ff UrhG strafbar. 

Bibliografische Information der Deutschen Nationalbibliothek: 

Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie, 

detaillierte bibliografische Daten sind im Internet über http://dnb.dnb.de abrufbar. 

Herstellung und Verlag 

BoD – Books on Demand, Norderstedt 

ISBN: 978-3-75281-251-0

3 

Inhalt 

Vorwort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 

I 

II 

Einführung und Übersichten 

Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 

Rechtsgrundlagen und weiterführende Links / Informationen . . . . . . . . . . 7 

Checkliste: In welchen Bereichen ist mein Unternehmen betroffen? . . . . . . . 8 

Umsetzung, Fristen und Bußgelder . . . . . . . . . . . . . . . . . . . 9 

Praktische Umsetzung – Schritt für Schritt . . . . . . . . . . . . . . . . . 9 

Step-by-Step – technisch-organisatorische Übersicht . . . . . . . . . . . . . 11 

Grundlegende Informationen zur DSGVO und Anleitung zur Erstellung des 

Datenschutz-Konzeptes inkl. Verzeichnis der Verarbeitungstätigkeiten . . . . . . 12 

Das Ziel der DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . 12 

Welche Daten sind betroffen? . . . . . . . . . . . . . . . . . . . . . . 13 

Wer ist verantwortlich? . . . . . . . . . . . . . . . . . . . . . . . . 13 

Benennung eines Datenschutzbeauftragten oder einer verantwortlichen Person – 

DSGVO Art. 37 . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 

Grundsätze der DSGVO nach Art. 5 . . . . . . . . . . . . . . . . . . . 14 

Was genau sind personenbezogene Daten, DSGVO Art. 4 . . . . . . . . . . . 15 

Betroffenenrechte nach DSGVO, Art. 15 – 22 . . . . . . . . . . . . . . . . 16 

Was tun bei einer Datenpanne / Datenverlust? DSGVO Art. 65 17 

Erstellung eines Datenschutz-Konzeptes (DSK) und dessen Dokumentation in Form 

des Verzeichnisses der Verarbeitungstätigkeiten (VVT) nach DSGVO Art. 30 . . . . 19 

Wer muss ein Verzeichnis der Verarbeitungstätigkeiten führen? . . . . . . . . . 19 

Anleitung zur Erstellung des Verzeichnisses der Verarbeitungstätigkeiten (VVT) . . . 22 

Erläuterung des VVT . . . . . . . . . . . . . . . . . . . . . . . . . 23 

a) Grundangaben 23 

b) Das Verzeichnis der Verarbeitungstätigkeiten, DSGVO Art. 30 24 

Verzeichnis der Verarbeitungstätigkeiten – Tabellenform . . . . . . . 31 

c) Technische und organisatorische Maßnahmen (TOM) . . . . . . . . . . 32 

d) Datenschutz-Folgenabschätzung 36 

Detaillierte Erläuterungen und weitere Informationen zur Erstellung des 

Datenschutz-Konzeptes . . . . . . . . . . . . . . . . . . . . . . . 36 

Das Löschkonzept . . . . . . . . . . . . . . . . . . . . . . . . . . 36 

Installierte Software und serverbasierte Software, intern und extern . . . . . . . 38 

Datenweitergabe an Dritte = externe serverbasierte Software . . . . . . . . 38 

Inhalte des Vertrages für die Datenweitergabe an Dritte . . . . . . . . . . 38 

Erläuterungen zur Datenschutz-Folgenabschätzung (DSFA), DSGVO Art. 35 . . . . 39 

Kriterien für das mittlere Risiko . . . . . . . . . . . . . . . . . . . . 39 

Kriterien für das hohe Risiko . . . . . . . . . . . . . . . . . . . . . 40 

Formulierung des Betriebsrisikos . . . . . . . . . . . . . . . . . . . 41 

Hinweise zur Erstellung der DSFA (bei mittlerem Risiko) . . . . . . . . . . 41 

© Ina Gutsch

4 

Ergänzende Themen . . . . . . . . . . . . . . . . . . . . . . . . . 42 

Webmaster . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 

Speichern und Löschen von Mails . . . . . . . . . . . . . . . . . . . . 42 

Nutzung einer Datencloud . . . . . . . . . . . . . . . . . . . . . . . 42 

Messenger und soziale Medien . . . . . . . . . . . . . . . . . . . . . 42 

Umgang mit Fotos . . . . . . . . . . . . . . . . . . . . . . . . . . 43 

Erläuterung „sensible Daten“ . . . . . . . . . . . . . . . . . . . . . 43 

Die Ausnahmen von dieser Regelung nach Art. 9 Abs. 2) der DSGVO 

Weiterführende Informationen, v. a. für Betriebe mit Mitarbeitern . . . . . . . 44 

III Ergänzende Themen und besondere Situationen im Betrieb . . . . . . . . . 45 

a) Beschäftigung von Arbeitnehmern . . . . . . . . . . . . . . . . . . 45 

b) Nutzung von Registrierkasse / n und EC-Cash-Geräten . . . . . . . . . . . 46 

c) Videoüberwachung . . . . . . . . . . . . . . . . . . . . . . . . 47 

d) Durchführung von Gewinnspielen . . . . . . . . . . . . . . . . . . . 48 

e) Annahme elektronischer Bewerbungen 49 

f) Online-Shops . . . . . . . . . . . . . . . . . . . . . . . . . . 49 

g) Kundenkarten . . . . . . . . . . . . . . . . . . . . . . . . . . 49 

h) Telefonmitschnitte . . . . . . . . . . . . . . . . . . . . . . . . 50 

i) Quellen von weiterführenden Downloads und Informationen, kostenfrei und 

kostenpflichtig . . . . . . . . . . . . . . . . . . . . . . . . . . 50 

IV Benötigte Angaben auf der Website . . . . . . . . . . . . . . . . . . . 51 

V E-Mailverarbeitung und Newsletterversand . . . . . . . . . . . . . . . . 53 

Umgang mit eingegangenen und versendeten Mails . . . . . . . . . . . . . 53 

Ergänzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 

Verschlüsselung von Mails 56 

WLAN-Server oder Geräte 56 

Das Löschen von Daten . . . . . . . . . . . . . . . . . . . . . . . . 56 

Tipps zum Umgang mit der Datenspeicherung, insbesondere bei Mail- und 

News letterwerbung . . . . . . . . . . . . . . . . . . . . . . . . . 57 

Einholung einer Einwilligung, z. B. für elektronische Werbung, wie den 

Newsletterversand . . . . . . . . . . . . . . . . . . . . . . . . . . 57 

Beispiele für Verarbeitungstätigkeiten, für die eine Einwilligung eingeholt werden 

muss – mit tabellarischer Übersicht 58 

Beispiel für eine Datenmaske, mit der der Versand eines Newsletters angefordert 

werden soll . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 

VI Verzeichnis der Verarbeitungstätigkeiten nach DSGVO . . . . . . . . . . . 61 

Nachwort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 

Autoreninformation . . . . . . . . . . . . . . . . . . . . . . . . . 72 

© Ina Gutsch

5 

Nichts ist so beständig, wie der Wandel. 

Heraklit 

Vorwort 

Der 25. 5. 2018 ist der große Stichtag für alle Selbständigen und Unternehmer. Ab diesem Tag ist die 

bereits 2016 in Kraft getretene Datenschutz-Grundverordnung (EU-DSGVO) EU-weit verbindlich. 

Das bedeutet, dass jeder Selbständige sich intensiv mit seiner eigenen Datenverarbeitung auseinandersetzen 

darf und muss, soweit er nicht drastische Bußgelder riskieren will. 

Einzelunternehmer sind genauso betroffen, wie Handwerker und Künstler, Ärzte und Heilpraktiker, 

Vereine und Stiftungen sowie mittlere und große Betriebe. Also jeder, der selbständig ist, ein Unternehmen 

führt oder eine Organisation leitet. 

Wer sich bisher noch nicht um das Thema Datenschutz im eigenen Unternehmen gekümmert hat, 

auf den kommt jetzt am meisten Arbeit zu. Wer seine Strukturen im Unternehmen bereits dokumentiert 

oder zumindest strukturiert hat, dem wird es etwas leichter fallen. 

In jedem Fall sollten Sie einige Wochen Arbeit einplanen, um allen Anforderungen gerecht werden zu 

können. Das bedeutet: je eher Sie anfangen, umso besser. 

Da die Thematik für die meisten Selbständigen Neuland ist, habe ich zusammen mit der Rechtsanwältin 

Dr. Anette Oberhauser diesen praxisorientierten branchenneutralen Ratgeber zusammengestellt. 

Auch andere Organisationen bieten Ratgeber an. Viele dieser Informationen sind jedoch von Rechtsanwälten 

geschrieben worden und für Kleinunternehmer oft schwer verständlich. 

Unser Anspruch ist es, dass die Informationen praxisnah und leicht verständlich sind sowie alle 

wesentlichen Informationen enthalten, um ein eigenes Datenschutz-Konzept für einen Betrieb 

ohne Mitarbeiter erstellen zu können. Für Betriebe mit Mitarbeitern stellt der Leitfaden eine leicht 

verständliche Grundlage und Orientierungshilfe dar, die mit Hilfe der angegebenen weiterführenden 

Links und professioneller Unterstützung umgesetzt werden sollte. 

Bitte arbeiten Sie in Ihrem eigenen Interesse alle Teile gewissenhaft durch und holen Sie sich Auskunft 

über diejenigen betrieblichen Bereiche, in denen Sie sich nicht auskennen. 

Das können z. B. technische Aspekte der Website sein oder das Thema Aufbewahrungsfristen. 

In jedem Fall sollte Ihr fertiges Datenschutz-Konzept fachmännisch geprüft werden. 

Berufskammern wie z. B. IHK sowie die DEKRA und der TÜV benennen hierzu geprüfte 

Datenschutz-Fachkräfte. 

Ich wünsche Ihnen ein erfolgreiches Umsetzen Ihres DSGVO-Datenschutz-Konzeptes! 

Ina Gutsch 

P.S.: Der leichteren Lesbarkeit halber bezeichnen wir Personengruppen in einer neutralen Form 

(Mitarbeiter, Datenschutzbeauftragter etc.), wobei wir immer sowohl die weibliche als auch die 

männliche Personengruppe meinen. 

© Ina Gutsch

7 

Kapitel I 

Einführung und Übersichten 

Einführung 

Was genau ist die DSGVO? 

Die EU-Datenschutz-Grundverordnung (EU-DSGVO) ist eine EU-Verordnung. Diese Vorschrift ist seit 

25. 5. 2016 in Kraft und ist ab 25. 5. 2018 für alle Unternehmen in der ganzen EU verbindlich. 

Zweck dieser Vorschrift ist die Regelung des Datenschutzrechtes, also der Umgang mit personenbezogenen 

Daten in Betrieben, also auch bei Selbständigen bzw. bei Einzelunternehmern. 

Auf diese Weise wird das Datenschutzrecht europaweit vereinheitlicht. 

Die DSGVO gilt auch für Unternehmen außerhalb der EU, soweit dort personenbezogene Daten 

von EU-Bürgern verarbeitet werden. So müssen sich auch außereuropäische Anbieter von Onlinediensten 

oder sozialen Netzwerken an die Regeln halten. 

Die bisherigen Vorschriften des deutschen Bundesdatenschutzgesetzes (BDSG) gelten teilweise weiterhin, 

manche wurden ersatzlos gestrichen, andere angepasst. Für die Umsetzung der DSGVO ist also 

auch das BDSG relevant sowie einige andere Regelungen, auf die wir noch zu sprechen kommen. 

In welcher Weise bin ich / ist mein Unternehmen betroffen? 

„Die neue Verordnung betrifft doch bestimmt nur Online-Shops und Großunternehmen!?“ Das wäre 

schön. Die DSGVO betrifft jedoch JEDES Unternehmen, das Daten elektronisch verarbeitet. Dazu 

gehören u. a. die eigene Website mit Cookies, Kontaktformular oder Newsletter, das Versenden von 

Werbemails, Nutzung von Facebook und WhatsApp, das Annehmen und Speichern von E-Mails u. v. m. 

Rechtsgrundlagen und weiterführende Links / Informationen 

• Ergänzend zur DSGVO gilt weiterhin das BDSG, das der neuen EU-Verordnung angepasst 

wurde. Link zur DSGVO und zum BDSG: 

www.dsgvo-gesetz.de 

• Umfangreiche Übersichten direkt von der Datenschutzbehörde 

www.baden-wuerttemberg.datenschutz.de (=> Orientierungshilfen und Merkblätter) 

• Bundesweite Übersicht der Datenschutzbehörden 

www.datenschutzwiki.de / Aufsichtsbehörden_und_Landesdatenschutzbeauftragte 

• IHK München: DSGVO-Fragenbogen / Checkliste 

www.lda.bayern.de/media/dsgvo_fragebogen.pdf 

• Gesellschaft für Datenschutz und Datensicherheit, GDD 

verschiedene Informationen und Musterdokumente, z.B. für Unternehmen mit Mitarbeitern 

www.gdd.de/gdd-arbeitshilfen/praxishilfen-ds-gvo/praxishilfen-ds-gvo 

• Daschug – Datenschutz- und Mittelstandsberatung 

www.datenschutz-grundverordnung.eu 

• Umfangreiches Info- und Arbeitsmaterial, kostenlos und kostenpflichtig 

www.wirtschaftswissen.de (=> DSGVO) 

© Ina Gutsch

8 Kapitel I · Einführung und Übersichten 

Checkliste: In welchen Bereichen ist mein Unternehmen betroffen? 

Mit dieser Checkliste können Sie stichpunktartig überprüfen, welche Bereiche Ihres Unternehmens 

von den Vorschriften der DSGVO betroffen sind. 

Die DSGVO trifft auf mich / mein Unternehmen zu, wenn z. B. 

q ich oder mein(e) Mitarbeiter Mails von Interessenten oder Kunden erhalte / n oder an diese versende 

/ n oder 

q ich in meinem Unternehmen EC-Kartenzahlung anbiete oder 

q in meinem Betrieb oder auf (m)einem PC Daten von Interessenten oder Kunden elektronisch gespeichert 

werden oder 

q wenn ich die Daten von Interessenten oder Kunden elektronisch im System eines externen Unternehmens 

speichere / speichern und / oder verarbeite / verarbeiten lasse oder 

q ich eine Website betreibe / betreiben lasse, in der Kundendaten erfasst werden, z. B. über ein Kontaktformular 

oder eine Anmeldung zum Newsletter oder 

q ich einen Online-Shop betreibe oder 

q ich Daten meiner Interessenten oder Kunden zur Weiterverarbeitung an ein anderes Unternehmen 

weitergebe, z. B. zum Versenden von Post, zur Erstellung von (Ab-) Rechnungen, bei der 

EC-Cash-Zahlung oder 

q mein Unternehmen in einem Online-Adressverzeichnis gelistet ist, das Anfragen für mich entgegennimmt 

oder 

q wenn Kollegen, Mitarbeiter oder andere Personen berechtigt oder unberechtigt Zugang zu elektronischen 

oder handschriftlichen Dokumenten oder anderen personenbezogenen Daten erhalten 

(könnten), die ich nutze oder 

q ich Apps oder Soziale Medien nutze, in denen ich mit Kunden oder Interessenten vernetzt bin 

und / oder Informationen mit ihnen austausche 

q und diese Art von Daten regelmäßig erfasst, genutzt oder verarbeitet wird. 

Folgende Fälle zählen bereits zur regelmäßigen Verarbeitung: 

Websites, die Daten sammeln (z. B. über ein Kontaktformular), CRM-Systeme (ein Datenspeichersystem, 

das für die Mailverarbeitung mittlerweile fast schon lebensnotwendig ist), ein Web-Shop, 

Lohnabrechnungssysteme etc., soweit diese Programme regelmäßig genutzt werden (= aktiv sind), 

also nicht nur gelegentlich. 

Wenn mindestens einer der genannten Punkte und der letzte Punkt zutreffen, findet die DSGVO 

auch auf Ihr Unternehmen Anwendung, unabhängig von der Größe des Betriebes und der Menge der 

Daten, die verarbeitet werden. 

Tipp: Wenn Sie eine Website nutzen, die Ihres Wissens nach keine Daten erhebt, klären Sie 

trotzdem (z. B. mit Ihrem Webmaster) ab, welche Faktoren im Sinne der DSGVO relevant 

sein könnten. Die Nutzung von Cookies gehört bereits dazu und auch der Einsatz von Proxies 

(das erklärt Ihnen Ihr Webmaster). 

Wichtig: In jedem Fall benötigen Sie auf Ihrer Website eine aktuelle Datenschutzerklärung, 

siehe Kapitel V, auch wenn keine personenbezogenen Daten verarbeitet werden. 

In diesem Fall geben Sie in der Datenschutzerklärung an „Diese Seite verwendet keine personenbezogenen 

Daten“. 

© Ina Gutsch

Kapitel I · Einführung und Übersichten 

9 

Umsetzung, Fristen und Bußgelder 

Die Umsetzung der neuen Verordnung ist leider nicht allein mit ein paar Angaben auf der Website 

getan. Hier geht es darum, ein umfassendes Datenschutz- und Datensicherheits-Konzept umzusetzen 

und in einem Datenschutz-Handbuch zu dokumentieren. 

Die DSGVO trat bereits am 25. 5. 2016 in Kraft. Die Übergangsfrist läuft am 24. Mai 2018 aus. 

Ab diesem Tag kann das Nicht-Vorliegen des Datenschutz-Handbuches als Ordnungswidrigkeit 

geahndet werden, mit empfindlichen Bußgeldern. Diese betragen 2 – 4 % des Jahresumsatzes 

oder bis zu 10 Millionen EUR, entsprechend der Schadenshöhe und dem Unrechtsgehalt. Der höhere 

Betrag wird dann angesetzt. 

Im Falle einer Prüfung gibt es üblicherweise eine sechswöchige Nachbesserungsfrist. Wenn man sich 

aber vorher nicht mit der Materie befasst hat, reicht diese Zeit kaum aus, um ein schlüssiges Datenschutz-Konzept 

zu erstellen. 

Deshalb raten wir, sich rechtzeitig mit dem Thema zu befassen und es vollständig umzusetzen. 

Einige wenige Erleichterungen gibt es für Unternehmen unter 250 Mitarbeitern, soweit keine 

Ausnahmen bestehen. Dies ist allerdings eher selten der Fall. Siehe Kapitel II. 

Praktische Umsetzung – Schritt für Schritt 

q Bevor Sie „richtig“ loslegen, schaffen Sie am besten einen auffälligen Ordner an, in dem Sie 

alle benötigten Informationen und zusammengestellten Daten sammeln. Das wird Ihr Datenschutz-Handbuch. 

Wenngleich Sie auch Daten online sammeln und nutzen werden, müssen alle 

relevanten Daten schriftlich vorliegen. Hierzu gehören unter anderem schriftliche Einverständniserklärungen 

Ihrer Kunden und Interessenten (z. B. von Messen oder Marketingaktionen) sowie 

Verträge mit Dritten (Auftragsdatenverarbeitern). 

Der zentrale Teil Ihres Datenschutz-Handbuches ist das Verzeichnis der Verarbeitungstätigkeiten 

(VVT). Siehe Kapitel II, „Grundlegende Informationen zur DSGVO und Anleitung“. 

q Als erste konkrete Maßnahme empfehlen wir, die erforderlichen Angaben nach der DSGVO auf der 

Website einzupflegen. Dann sehen etwaige Prüfer, dass Sie sich mit der Materie auseinandergesetzt 

haben. Siehe Kapitel IV, „Benötigte Angaben auf der Website“. 

q Parallel dazu sollten Sie alle Informationen beschaffen, die Sie für die Erstellung des betrieblichen 

Datenschutz-Konzeptes benötigen. Dazu wird ggf. der IT Beauftrage oder der (externe) Webmaster 

benötigt. Auch die Schulung eines Mitarbeiters zum Datenschutzbeauftragten kann erforderlich sein. 

Siehe Kapitel II, „Grundlegende Informationen zur DSGVO und Anleitung“. 

q Aus diesen Daten wird dann das individuelle Datenschutz-Konzept des Unternehmens in Form des 

„Datenschutz-Handbuches“ zusammen gestellt, das alle relevanten Informationen enthält, insbesondere 

das „Verzeichnis der Verarbeitungstätigkeiten“, VVT. 

Zum VVT steht Ihnen ein Muster zur Verfügung, das als Vorlage genutzt werden darf und soll. Siehe 

Kapitel VI, „Muster-Verzeichnis der Verarbeitungstätigkeiten“. 

q Ergänzend erhalten Sie mit diesem Leitfaden Informationen zu besonderen Bedingungen, wie 

Registrierkassen, EC-Cash-Geräte, Videoüberwachung, Mitarbeiter etc. Wenn diese Punkte auf Ihr 

Unternehmen zutreffen, müssen sie ebenfalls (jeweils) beachtet und in das Datenschutz-Konzept 

eingebunden werden. Siehe Kapitel III, „Ergänzende Themen“. 

q Parallel dazu prüfen Sie bitte, welche Software Sie zur Datenverarbeitung nutzen, wie z. B. eine 

Kunden- und Auftragsverwaltung, ein Mailsystem, ein Terminbuchungssystem, ein Steuersystem, ein 

Abrechnungssystem mit einem externen Unternehmen etc. 

© Ina Gutsch

10 Kapitel I · Einführung und Übersichten 

Klären Sie ab, ob Ihre Software die neuen Bedingungen der DSGVO rechtzeitig zum 25. 5. 2018 erfüllen 

wird und stellen Sie ggf. auf eine neue DSGVO-konforme Software um. 

Siehe Kapitel II, „Grundlegende Informationen DSGVO und Anleitung“. 

q Wenn Sie Daten auf dem Server eines Softwareanbieters verarbeiten oder verarbeiten lassen, z. B. 

zur Erstellung und zum Versenden eines Newsletters, schließen Sie einen DSGVO-konformen Vertrag 

über die vereinbarten Leistungen. Falls die Bedingungen der DSGVO von Ihrem Anbieter nicht erfüllt 

werden, suchen Sie (rechtzeitig) Ersatz! 

Siehe Kapitel II, „Grundlegende Informationen zur DSGVO und Anleitung“. 

q Wenn Sie bisher noch kein Kundenverwaltungsprogramm haben, ist das (mit) das Wichtigste, das wir 

Ihnen empfehlen, damit Sie Ihren Dokumentationspflichten problemlos nachkommen können. Darin 

kann / sollte auch gleich die Mailverwaltung integriert sein. Softwareempfehlungen geben wir Ihnen 

in den jeweiligen Informationsübersichten mit. 

q Setzen Sie nach und nach auch alle weiteren Punkte um, die im Leitfaden beschrieben sind. Hierbei 

hilft die Übersicht im Anschluss „Step-by-Step“. 

q Wenn in Ihrem Unternehmen mit sensiblen Daten gearbeitet wird (z. B. Ärzte, Heilpraktiker, Physiotherapeuten 

und andere Gesundheitsfachberufe), sind Sie zu einer umfassenderen Dokumentation 

verpflichtet, als es mit diesem Ratgeber abgedeckt werden kann. 

Im Prinzip gibt es kaum andere Vorschriften als bei Unternehmen ohne Verarbeitung sensibler Daten. 

Die Dokumentation (im Rahmen des Datenschutz-Handbuches) sollte allerdings genauer erfolgen 

und alle entsprechenden Abläufe präzise abbilden. Lassen Sie sich hierzu bitte beraten und beachten 

Sie die entsprechenden Hinweise, v. a. in Kapitel II. 

q Die hier vermittelten Informationen dienen v. a. der Orientierung und kollegialen Unterstützung. Um 

das Konzept zu optimieren und maximale rechtliche Sicherheit zu erlangen, sollte es im Anschluss 

von einem Fachanwalt oder einem Datenschutzbeauftragten geprüft werden, soweit Sie nicht bereits 

bei der Erstellung fachkundige Hilfe in Anspruch genommen haben. Berufskammern wie die IHK 

sowie die DEKRA und der TÜV benennen beispielsweise entsprechende (externe) Datenschutzbeauftragte, 

die diese Funktion übernehmen. 

Die abschließende Überprüfung ist auch deshalb wichtig, weil der Leitfaden trotz der Zusammenarbeit 

mit einer Fachanwältin nicht vollständig sein kann und es auch Ungenauigkeiten und 

Fehler geben kann. 

Statt einer selbst veranlassten Überprüfung des Konzeptes warten manche einfach ab, ob eine 

behördliche Prüfung kommt, um dann bei Bedarf nachzubessern. Das funktioniert aber nur, wenn 

man bereits ein gut ausgearbeitetes Datenschutz-Konzept hat. Denn zur Erstellung eines (neuen) 

Konzeptes reichen die sechs Wochen Nachbesserungsfrist zumeist nicht aus. Deshalb raten wir, von 

vornherein einen Fachmann zur Überprüfung hinzuzuziehen. 

Wichtig: Im Falle relevanter Verstöße gegen die DSGVO schützt die Nachbesserungsfrist 

nicht vor Bußgeldern oder weiteren Strafen! Je mehr datenschutz-relevante Risiken es in 

Ihrem Unternehmen gibt, umso wichtiger ist deshalb die professionelle Überprüfung Ihres 

Datenschutz-Konzeptes! 

© Ina Gutsch

Kapitel I · Einführung und Übersichten 

11 

Step-by-Step – technisch-organisatorische Übersicht 

Hier finden Sie die wichtigsten technisch-organisatorischen Themen, die zu beachten und umzusetzen 

sind. Die entsprechenden Hintergründe sind nachfolgend entsprechend erläutert. 

Allgemeine Punkte, für alle Betriebe: 

q Aktualisieren Sie Ihre (Online-) Datenschutzerklärung mit Hilfe eines entsprechenden Generators. Geben 

Sie im Impressum an, wer bei Ihnen für den Datenschutz verantwortlich ist. (Link in Kapitel IV) 

q Prüfen Sie alle (Daten-) Verarbeitungsprozesse Ihres Unternehmens (anhand der beschriebenen 

Grundlagen) auf Korrektheit und Zulässigkeit. (Kapitel II, III, IV, V) 

q Erstellen Sie Ihr Datenschutz-Konzept, wie im Leitfaden beschrieben. (Kapitel II, III, VI) 

q Prüfen Sie, ob Ihr Unternehmen alle Anforderungen an die technisch-organisatorische Sicherheit der 

personenbezogenen Daten erfüllt bzw. „rüsten Sie nach“. (Kapitel II, III, IV, V) 

q Wenn Sie mit sensiblen Daten zu tun haben (siehe Definition in Kapitel II), sind Sie nach Art. 37 c) DSGVO 

evtl. dazu verpflichtet, einen externen Datenschutzbeauftragten (DSB) zu beauftragen oder einen internen 

Mitarbeiter zu benennen und zu schulen. Prüfen Sie, ob Sie eine Datenschutz-Folgenabschätzung 

benötigen und holen Sie sich ggf. dafür fach liche Unterstützung. (Anleitung in Kapitel II) 

q Prüfen Sie, ggf. mit Hilfe Ihres Datenschutzbeauftragten, ob alle genutzten Datenübermittlungsprozesse 

zulässig sind und alle notwendigen Auftragsdatenverarbeitungsverträge vor liegen. Passen 

Sie ggf. die Prozesse den neuen Vorschriften an. (Kapitel II, III, IV, V) 

q Überwachen Sie fortlaufend, ob Ihre Datenschutzprozesse ausreichend (hoch) sind und (noch) den 

gesetzlichen Anforderungen entsprechen. (Kapitel II, V, VI) 

Wichtig: Änderungen sind sofort einzupflegen. Darüber hinaus sollte mindestens einmal jährlich eine 

(Selbst-) Überprüfung („Selbstaudit“) des Datenschutz-Konzeptes erfolgen. 

Spezielle Punkte für Betriebe mit Mitarbeitern: 

q Wenn Sie mind. 10 Mitarbeiter haben, die auf personenbezogene Daten zugreifen, benennen Sie 

einen Datenschutzbeauftragten, lassen diesen schulen, (siehe Links zu weiterführenden Angeboten) 

und melden diesen bei der Datenschutzbehörde. Alternativ können Sie einen externen Datenschutzbeauftragten 

für diese Aufgabe in Anspruch nehmen. (Siehe auch Kapitel II) 

q Lassen Sie auch Ihre Mitarbeiter professionell zum Thema Datenschutz nach DSGVO und seiner 

praktischen Umsetzung bei den jeweiligen Tätigkeitsbereichen schulen, ggf. mittels Infobroschüren. 

(Siehe auch Links zum Bestellen von Schulungsunterlagen). 

q Lassen Sie alle Ihre Mitarbeiter, die mit personenbezogenen Daten zu tun haben, eine entsprechende 

Vertraulichkeitserklärung unterschreiben. (Siehe auch Kapitel III) 

q Lassen Sie von Ihren Mitarbeitern alle datenschutzrechtlichen Vorfälle (schriftlich) dokumentieren, 

also alles, was nicht ordnungsgemäß läuft. Dies betrifft vor allem die betriebseigenen Verarbeitungsprozesse, 

relevante Datenschutzvorfälle intern und extern sowie (An-) Weisungen gegenüber den von 

Ihnen beauftragten datenverarbeitenden Unternehmen. 

q Bei größeren Unternehmen: Richten Sie ein (Online-) Beschwerdemanagement ein für die Bearbeitung 

von Betroffenenrechten. Der wichtigste Schritt hierzu ist, online die Stelle und / oder den 

Ansprechpartner für Beschwerden anzugeben. Der Ablauf des Beschwerdemanagements muss dann 

intern geregelt und dokumentiert werden. 

© Ina Gutsch

DSGVO – Datenschutz-Grundverordnung 

Praktischer Leitfaden für Selbständige und kleine Betriebe 

Mit dem 25. 5. 2018 beginnt eine neue Ära. Für Unternehmen ist es nun wichtig, den Datenschutz 

nicht nur zu beachten, sondern ihn auch differenziert zu dokumentieren. 

Das gilt für alle Unternehmer, vom selbständigen Handwerker, Heilpraktiker oder Künstler bis zum 

Großunternehmen. 

Im Kern geht es hier um personenbezogene Daten, die elektronisch verarbeitet werden. Spätestens 

aber, wenn auch sensible Daten ins Spiel kommen, wie z. B. Gesundheitsdaten, oder eine systematische 

Erfassung der Daten vorgesehen ist, sind auch handschriftliche Aufzeichnungen betroffen. 

Bei der Verarbeitung der Daten müssen verschiedenste Daten-Sicherheitskriterien beachtet und die 

entsprechenden Betriebsabläufe in Bezug auf den Datenschutz beschrieben werden. 

Insbesondere für Selbständige und kleine Betriebe stellt diese Thematik eine ganz neue Herausforderung 

dar. Im Prinzip ist die Herangehensweise einfach. Dennoch muss man wissen, was zu 

tun ist und vor allem, wie. 

Mit diesem Leitfaden haben Sie einen Ratgeber zur Hand, der den Paragrafendschungel 

lichtet und Ihnen Schritt für Schritt aufzeigt, was zu tun ist. Das Ergebnis ist Ihr individuelles 

Datenschutz-Konzept. 

Inhalt 

• Rechtsgrundlagen und Ziele der DSGVO 

• Checkliste: In welchen Bereichen ist mein Unternehmen betroffen 

• Wer ist verantwortlich 

• Welche Daten sind im Einzelnen betroffen 

• Übersicht: Praktische Umsetzung – Schritt für Schritt 

• Step-by-step – Die technisch-organisatorische Übersicht 

• Wer braucht einen Datenschutzbeauftragten 

• Wie benennt man einen Datenschutzbeauftragten 

• Was tun bei einer Datenpanne / Datenverlust 

• Anleitung zur Erstellung eines individuellen Datenschutz-Konzeptes inkl. Verzeichnis der 

Verarbeitungstätigkeiten 

• Die technisch-organisatorischen Sicherheitsmaßnahmen im Einzelnen 

• Definition eines Daten-Löschkonzeptes und eines Datensicherungskonzeptes 

• Die Voraussetzungen für die Datenweitergabe an Dritte 

• Der Vertrag über die Datenweitergabe an Dritte – Inhaltsübersicht 

• Die Datenschutz-Folgenabschätzung und die Bestimmung des Risikos 

• Tipps zum korrekten Umgang mit E-Mails, Speicher-Clouds und sozialen Medien 

• Voraussetzungen für die korrekte E-Mail- und Newsletterwerbung mit Mustertexten 

• Übersicht über ergänzende Themen, wie z. B. Beschäftigung von Mitarbeitern, Betreiben eines 

Onlineshops, Annahme elektronischer Bewerbungen, Ausgabe von Kundenkarten u. v. m. 

Diese detaillierte Anleitung ermöglicht es Selbständigen ohne Mitarbeiter ein eigenes Datenschutz- 

Konzept zu erstellen. Betriebe mit Mitarbeitern erhalten eine umfassende Arbeitsgrundlage, 

weiter führende Links zu erforderlichen Arbeitsmitteln und Hinweise zur Notwendigkeit eines 

Datenschutzbeauftragten. Eine fachkundige Überprüfung Ihres Datenschutz-Konzeptes sollte in 

jedem Fall den Abschluss bilden. 

ISBN 978-3-75281-251-0

DSGVO-Handbuch_Leseprobe

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?