DSGVO-Handbuch_Leseprobe
Der praktische Leitfaden für Selbständige und kleine Betriebe zur neuen Datenschutz Grundverordnung DSGVO - Leseprobe
Der praktische Leitfaden für Selbständige und kleine Betriebe zur neuen Datenschutz Grundverordnung DSGVO - Leseprobe
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Datenschutz<br />
Grundverordnung<br />
<strong>DSGVO</strong><br />
Verbindlich<br />
ab 25. Mai<br />
2018<br />
Praktischer Leitfaden für Selbständige<br />
und kleine Betriebe
Datenschutz<br />
Grundverordnung<br />
<strong>DSGVO</strong><br />
Praktischer Leitfaden für Selbständige<br />
und kleine Betriebe<br />
Ina Gutsch
Dieser Ratgeber ist eine praktische Anleitung zum Umsetzen des in der <strong>DSGVO</strong> geforderten Datenschutz-Konzeptes.<br />
Der Inhalt stellt keine juristische Beratung dar und ersetzt nicht den Rechtsanwalt oder Datenschutzbeauftragten.<br />
Das auf dieser Basis erstellte Datenschutz-<strong>Handbuch</strong> inkl. des Verzeichnisses der Verarbeitungstätigkeiten sollte<br />
abschließend von einem Datenschutzbeauftragten oder einem Rechtsanwalt überprüft und ggf. korrigiert werden.<br />
© Copyright 2018 – Alle Inhalte sind urheberrechtlich geschützt.<br />
Alle Rechte, einschließlich der Vervielfältigung, Veröffentlichung, Bearbeitung und Übersetzung, bleiben der<br />
Verfasserin Ina Gutsch vorbehalten.<br />
Wer gegen das Urheberrecht verstößt (z. B. Texte unerlaubt kopiert), macht sich gemäß §§ 106 ff UrhG strafbar.<br />
Bibliografische Information der Deutschen Nationalbibliothek:<br />
Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie,<br />
detaillierte bibliografische Daten sind im Internet über http://dnb.dnb.de abrufbar.<br />
Herstellung und Verlag<br />
BoD – Books on Demand, Norderstedt<br />
ISBN: 978-3-75281-251-0
3<br />
Inhalt<br />
Vorwort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5<br />
I<br />
II<br />
Einführung und Übersichten<br />
Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7<br />
Rechtsgrundlagen und weiterführende Links / Informationen . . . . . . . . . . 7<br />
Checkliste: In welchen Bereichen ist mein Unternehmen betroffen? . . . . . . . 8<br />
Umsetzung, Fristen und Bußgelder . . . . . . . . . . . . . . . . . . . 9<br />
Praktische Umsetzung – Schritt für Schritt . . . . . . . . . . . . . . . . . 9<br />
Step-by-Step – technisch-organisatorische Übersicht . . . . . . . . . . . . . 11<br />
Grundlegende Informationen zur <strong>DSGVO</strong> und Anleitung zur Erstellung des<br />
Datenschutz-Konzeptes inkl. Verzeichnis der Verarbeitungstätigkeiten . . . . . . 12<br />
Das Ziel der <strong>DSGVO</strong> . . . . . . . . . . . . . . . . . . . . . . . . . 12<br />
Welche Daten sind betroffen? . . . . . . . . . . . . . . . . . . . . . . 13<br />
Wer ist verantwortlich? . . . . . . . . . . . . . . . . . . . . . . . . 13<br />
Benennung eines Datenschutzbeauftragten oder einer verantwortlichen Person –<br />
<strong>DSGVO</strong> Art. 37 . . . . . . . . . . . . . . . . . . . . . . . . . . . 14<br />
Grundsätze der <strong>DSGVO</strong> nach Art. 5 . . . . . . . . . . . . . . . . . . . 14<br />
Was genau sind personenbezogene Daten, <strong>DSGVO</strong> Art. 4 . . . . . . . . . . . 15<br />
Betroffenenrechte nach <strong>DSGVO</strong>, Art. 15 – 22 . . . . . . . . . . . . . . . . 16<br />
Was tun bei einer Datenpanne / Datenverlust? <strong>DSGVO</strong> Art. 65 17<br />
Erstellung eines Datenschutz-Konzeptes (DSK) und dessen Dokumentation in Form<br />
des Verzeichnisses der Verarbeitungstätigkeiten (VVT) nach <strong>DSGVO</strong> Art. 30 . . . . 19<br />
Wer muss ein Verzeichnis der Verarbeitungstätigkeiten führen? . . . . . . . . . 19<br />
Anleitung zur Erstellung des Verzeichnisses der Verarbeitungstätigkeiten (VVT) . . . 22<br />
Erläuterung des VVT . . . . . . . . . . . . . . . . . . . . . . . . . 23<br />
a) Grundangaben 23<br />
b) Das Verzeichnis der Verarbeitungstätigkeiten, <strong>DSGVO</strong> Art. 30 24<br />
Verzeichnis der Verarbeitungstätigkeiten – Tabellenform . . . . . . . 31<br />
c) Technische und organisatorische Maßnahmen (TOM) . . . . . . . . . . 32<br />
d) Datenschutz-Folgenabschätzung 36<br />
Detaillierte Erläuterungen und weitere Informationen zur Erstellung des<br />
Datenschutz-Konzeptes . . . . . . . . . . . . . . . . . . . . . . . 36<br />
Das Löschkonzept . . . . . . . . . . . . . . . . . . . . . . . . . . 36<br />
Installierte Software und serverbasierte Software, intern und extern . . . . . . . 38<br />
Datenweitergabe an Dritte = externe serverbasierte Software . . . . . . . . 38<br />
Inhalte des Vertrages für die Datenweitergabe an Dritte . . . . . . . . . . 38<br />
Erläuterungen zur Datenschutz-Folgenabschätzung (DSFA), <strong>DSGVO</strong> Art. 35 . . . . 39<br />
Kriterien für das mittlere Risiko . . . . . . . . . . . . . . . . . . . . 39<br />
Kriterien für das hohe Risiko . . . . . . . . . . . . . . . . . . . . . 40<br />
Formulierung des Betriebsrisikos . . . . . . . . . . . . . . . . . . . 41<br />
Hinweise zur Erstellung der DSFA (bei mittlerem Risiko) . . . . . . . . . . 41<br />
© Ina Gutsch
4<br />
Ergänzende Themen . . . . . . . . . . . . . . . . . . . . . . . . . 42<br />
Webmaster . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42<br />
Speichern und Löschen von Mails . . . . . . . . . . . . . . . . . . . . 42<br />
Nutzung einer Datencloud . . . . . . . . . . . . . . . . . . . . . . . 42<br />
Messenger und soziale Medien . . . . . . . . . . . . . . . . . . . . . 42<br />
Umgang mit Fotos . . . . . . . . . . . . . . . . . . . . . . . . . . 43<br />
Erläuterung „sensible Daten“ . . . . . . . . . . . . . . . . . . . . . 43<br />
Die Ausnahmen von dieser Regelung nach Art. 9 Abs. 2) der <strong>DSGVO</strong><br />
Weiterführende Informationen, v. a. für Betriebe mit Mitarbeitern . . . . . . . 44<br />
III Ergänzende Themen und besondere Situationen im Betrieb . . . . . . . . . 45<br />
a) Beschäftigung von Arbeitnehmern . . . . . . . . . . . . . . . . . . 45<br />
b) Nutzung von Registrierkasse / n und EC-Cash-Geräten . . . . . . . . . . . 46<br />
c) Videoüberwachung . . . . . . . . . . . . . . . . . . . . . . . . 47<br />
d) Durchführung von Gewinnspielen . . . . . . . . . . . . . . . . . . . 48<br />
e) Annahme elektronischer Bewerbungen 49<br />
f) Online-Shops . . . . . . . . . . . . . . . . . . . . . . . . . . 49<br />
g) Kundenkarten . . . . . . . . . . . . . . . . . . . . . . . . . . 49<br />
h) Telefonmitschnitte . . . . . . . . . . . . . . . . . . . . . . . . 50<br />
i) Quellen von weiterführenden Downloads und Informationen, kostenfrei und<br />
kostenpflichtig . . . . . . . . . . . . . . . . . . . . . . . . . . 50<br />
IV Benötigte Angaben auf der Website . . . . . . . . . . . . . . . . . . . 51<br />
V E-Mailverarbeitung und Newsletterversand . . . . . . . . . . . . . . . . 53<br />
Umgang mit eingegangenen und versendeten Mails . . . . . . . . . . . . . 53<br />
Ergänzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56<br />
Verschlüsselung von Mails 56<br />
WLAN-Server oder Geräte 56<br />
Das Löschen von Daten . . . . . . . . . . . . . . . . . . . . . . . . 56<br />
Tipps zum Umgang mit der Datenspeicherung, insbesondere bei Mail- und<br />
News letterwerbung . . . . . . . . . . . . . . . . . . . . . . . . . 57<br />
Einholung einer Einwilligung, z. B. für elektronische Werbung, wie den<br />
Newsletterversand . . . . . . . . . . . . . . . . . . . . . . . . . . 57<br />
Beispiele für Verarbeitungstätigkeiten, für die eine Einwilligung eingeholt werden<br />
muss – mit tabellarischer Übersicht 58<br />
Beispiel für eine Datenmaske, mit der der Versand eines Newsletters angefordert<br />
werden soll . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60<br />
VI Verzeichnis der Verarbeitungstätigkeiten nach <strong>DSGVO</strong> . . . . . . . . . . . 61<br />
Nachwort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71<br />
Autoreninformation . . . . . . . . . . . . . . . . . . . . . . . . . 72<br />
© Ina Gutsch
5<br />
Nichts ist so beständig, wie der Wandel.<br />
Heraklit<br />
Vorwort<br />
Der 25. 5. 2018 ist der große Stichtag für alle Selbständigen und Unternehmer. Ab diesem Tag ist die<br />
bereits 2016 in Kraft getretene Datenschutz-Grundverordnung (EU-<strong>DSGVO</strong>) EU-weit verbindlich.<br />
Das bedeutet, dass jeder Selbständige sich intensiv mit seiner eigenen Datenverarbeitung auseinandersetzen<br />
darf und muss, soweit er nicht drastische Bußgelder riskieren will.<br />
Einzelunternehmer sind genauso betroffen, wie Handwerker und Künstler, Ärzte und Heilpraktiker,<br />
Vereine und Stiftungen sowie mittlere und große Betriebe. Also jeder, der selbständig ist, ein Unternehmen<br />
führt oder eine Organisation leitet.<br />
Wer sich bisher noch nicht um das Thema Datenschutz im eigenen Unternehmen gekümmert hat,<br />
auf den kommt jetzt am meisten Arbeit zu. Wer seine Strukturen im Unternehmen bereits dokumentiert<br />
oder zumindest strukturiert hat, dem wird es etwas leichter fallen.<br />
In jedem Fall sollten Sie einige Wochen Arbeit einplanen, um allen Anforderungen gerecht werden zu<br />
können. Das bedeutet: je eher Sie anfangen, umso besser.<br />
Da die Thematik für die meisten Selbständigen Neuland ist, habe ich zusammen mit der Rechtsanwältin<br />
Dr. Anette Oberhauser diesen praxisorientierten branchenneutralen Ratgeber zusammengestellt.<br />
Auch andere Organisationen bieten Ratgeber an. Viele dieser Informationen sind jedoch von Rechtsanwälten<br />
geschrieben worden und für Kleinunternehmer oft schwer verständlich.<br />
Unser Anspruch ist es, dass die Informationen praxisnah und leicht verständlich sind sowie alle<br />
wesentlichen Informationen enthalten, um ein eigenes Datenschutz-Konzept für einen Betrieb<br />
ohne Mitarbeiter erstellen zu können. Für Betriebe mit Mitarbeitern stellt der Leitfaden eine leicht<br />
verständliche Grundlage und Orientierungshilfe dar, die mit Hilfe der angegebenen weiterführenden<br />
Links und professioneller Unterstützung umgesetzt werden sollte.<br />
Bitte arbeiten Sie in Ihrem eigenen Interesse alle Teile gewissenhaft durch und holen Sie sich Auskunft<br />
über diejenigen betrieblichen Bereiche, in denen Sie sich nicht auskennen.<br />
Das können z. B. technische Aspekte der Website sein oder das Thema Aufbewahrungsfristen.<br />
In jedem Fall sollte Ihr fertiges Datenschutz-Konzept fachmännisch geprüft werden.<br />
Berufskammern wie z. B. IHK sowie die DEKRA und der TÜV benennen hierzu geprüfte<br />
Datenschutz-Fachkräfte.<br />
Ich wünsche Ihnen ein erfolgreiches Umsetzen Ihres <strong>DSGVO</strong>-Datenschutz-Konzeptes!<br />
Ina Gutsch<br />
P.S.: Der leichteren Lesbarkeit halber bezeichnen wir Personengruppen in einer neutralen Form<br />
(Mitarbeiter, Datenschutzbeauftragter etc.), wobei wir immer sowohl die weibliche als auch die<br />
männliche Personengruppe meinen.<br />
© Ina Gutsch
7<br />
Kapitel I<br />
Einführung und Übersichten<br />
Einführung<br />
Was genau ist die <strong>DSGVO</strong>?<br />
Die EU-Datenschutz-Grundverordnung (EU-<strong>DSGVO</strong>) ist eine EU-Verordnung. Diese Vorschrift ist seit<br />
25. 5. 2016 in Kraft und ist ab 25. 5. 2018 für alle Unternehmen in der ganzen EU verbindlich.<br />
Zweck dieser Vorschrift ist die Regelung des Datenschutzrechtes, also der Umgang mit personenbezogenen<br />
Daten in Betrieben, also auch bei Selbständigen bzw. bei Einzelunternehmern.<br />
Auf diese Weise wird das Datenschutzrecht europaweit vereinheitlicht.<br />
Die <strong>DSGVO</strong> gilt auch für Unternehmen außerhalb der EU, soweit dort personenbezogene Daten<br />
von EU-Bürgern verarbeitet werden. So müssen sich auch außereuropäische Anbieter von Onlinediensten<br />
oder sozialen Netzwerken an die Regeln halten.<br />
Die bisherigen Vorschriften des deutschen Bundesdatenschutzgesetzes (BDSG) gelten teilweise weiterhin,<br />
manche wurden ersatzlos gestrichen, andere angepasst. Für die Umsetzung der <strong>DSGVO</strong> ist also<br />
auch das BDSG relevant sowie einige andere Regelungen, auf die wir noch zu sprechen kommen.<br />
In welcher Weise bin ich / ist mein Unternehmen betroffen?<br />
„Die neue Verordnung betrifft doch bestimmt nur Online-Shops und Großunternehmen!?“ Das wäre<br />
schön. Die <strong>DSGVO</strong> betrifft jedoch JEDES Unternehmen, das Daten elektronisch verarbeitet. Dazu<br />
gehören u. a. die eigene Website mit Cookies, Kontaktformular oder Newsletter, das Versenden von<br />
Werbemails, Nutzung von Facebook und WhatsApp, das Annehmen und Speichern von E-Mails u. v. m.<br />
Rechtsgrundlagen und weiterführende Links / Informationen<br />
• Ergänzend zur <strong>DSGVO</strong> gilt weiterhin das BDSG, das der neuen EU-Verordnung angepasst<br />
wurde. Link zur <strong>DSGVO</strong> und zum BDSG:<br />
www.dsgvo-gesetz.de<br />
• Umfangreiche Übersichten direkt von der Datenschutzbehörde<br />
www.baden-wuerttemberg.datenschutz.de (=> Orientierungshilfen und Merkblätter)<br />
• Bundesweite Übersicht der Datenschutzbehörden<br />
www.datenschutzwiki.de / Aufsichtsbehörden_und_Landesdatenschutzbeauftragte<br />
• IHK München: <strong>DSGVO</strong>-Fragenbogen / Checkliste<br />
www.lda.bayern.de/media/dsgvo_fragebogen.pdf<br />
• Gesellschaft für Datenschutz und Datensicherheit, GDD<br />
verschiedene Informationen und Musterdokumente, z.B. für Unternehmen mit Mitarbeitern<br />
www.gdd.de/gdd-arbeitshilfen/praxishilfen-ds-gvo/praxishilfen-ds-gvo<br />
• Daschug – Datenschutz- und Mittelstandsberatung<br />
www.datenschutz-grundverordnung.eu<br />
• Umfangreiches Info- und Arbeitsmaterial, kostenlos und kostenpflichtig<br />
www.wirtschaftswissen.de (=> <strong>DSGVO</strong>)<br />
© Ina Gutsch
8 Kapitel I · Einführung und Übersichten<br />
Checkliste: In welchen Bereichen ist mein Unternehmen betroffen?<br />
Mit dieser Checkliste können Sie stichpunktartig überprüfen, welche Bereiche Ihres Unternehmens<br />
von den Vorschriften der <strong>DSGVO</strong> betroffen sind.<br />
Die <strong>DSGVO</strong> trifft auf mich / mein Unternehmen zu, wenn z. B.<br />
q ich oder mein(e) Mitarbeiter Mails von Interessenten oder Kunden erhalte / n oder an diese versende<br />
/ n oder<br />
q ich in meinem Unternehmen EC-Kartenzahlung anbiete oder<br />
q in meinem Betrieb oder auf (m)einem PC Daten von Interessenten oder Kunden elektronisch gespeichert<br />
werden oder<br />
q wenn ich die Daten von Interessenten oder Kunden elektronisch im System eines externen Unternehmens<br />
speichere / speichern und / oder verarbeite / verarbeiten lasse oder<br />
q ich eine Website betreibe / betreiben lasse, in der Kundendaten erfasst werden, z. B. über ein Kontaktformular<br />
oder eine Anmeldung zum Newsletter oder<br />
q ich einen Online-Shop betreibe oder<br />
q ich Daten meiner Interessenten oder Kunden zur Weiterverarbeitung an ein anderes Unternehmen<br />
weitergebe, z. B. zum Versenden von Post, zur Erstellung von (Ab-) Rechnungen, bei der<br />
EC-Cash-Zahlung oder<br />
q mein Unternehmen in einem Online-Adressverzeichnis gelistet ist, das Anfragen für mich entgegennimmt<br />
oder<br />
q wenn Kollegen, Mitarbeiter oder andere Personen berechtigt oder unberechtigt Zugang zu elektronischen<br />
oder handschriftlichen Dokumenten oder anderen personenbezogenen Daten erhalten<br />
(könnten), die ich nutze oder<br />
q ich Apps oder Soziale Medien nutze, in denen ich mit Kunden oder Interessenten vernetzt bin<br />
und / oder Informationen mit ihnen austausche<br />
q und diese Art von Daten regelmäßig erfasst, genutzt oder verarbeitet wird.<br />
Folgende Fälle zählen bereits zur regelmäßigen Verarbeitung:<br />
Websites, die Daten sammeln (z. B. über ein Kontaktformular), CRM-Systeme (ein Datenspeichersystem,<br />
das für die Mailverarbeitung mittlerweile fast schon lebensnotwendig ist), ein Web-Shop,<br />
Lohnabrechnungssysteme etc., soweit diese Programme regelmäßig genutzt werden (= aktiv sind),<br />
also nicht nur gelegentlich.<br />
Wenn mindestens einer der genannten Punkte und der letzte Punkt zutreffen, findet die <strong>DSGVO</strong><br />
auch auf Ihr Unternehmen Anwendung, unabhängig von der Größe des Betriebes und der Menge der<br />
Daten, die verarbeitet werden.<br />
Tipp: Wenn Sie eine Website nutzen, die Ihres Wissens nach keine Daten erhebt, klären Sie<br />
trotzdem (z. B. mit Ihrem Webmaster) ab, welche Faktoren im Sinne der <strong>DSGVO</strong> relevant<br />
sein könnten. Die Nutzung von Cookies gehört bereits dazu und auch der Einsatz von Proxies<br />
(das erklärt Ihnen Ihr Webmaster).<br />
Wichtig: In jedem Fall benötigen Sie auf Ihrer Website eine aktuelle Datenschutzerklärung,<br />
siehe Kapitel V, auch wenn keine personenbezogenen Daten verarbeitet werden.<br />
In diesem Fall geben Sie in der Datenschutzerklärung an „Diese Seite verwendet keine personenbezogenen<br />
Daten“.<br />
© Ina Gutsch
Kapitel I · Einführung und Übersichten<br />
9<br />
Umsetzung, Fristen und Bußgelder<br />
Die Umsetzung der neuen Verordnung ist leider nicht allein mit ein paar Angaben auf der Website<br />
getan. Hier geht es darum, ein umfassendes Datenschutz- und Datensicherheits-Konzept umzusetzen<br />
und in einem Datenschutz-<strong>Handbuch</strong> zu dokumentieren.<br />
Die <strong>DSGVO</strong> trat bereits am 25. 5. 2016 in Kraft. Die Übergangsfrist läuft am 24. Mai 2018 aus.<br />
Ab diesem Tag kann das Nicht-Vorliegen des Datenschutz-<strong>Handbuch</strong>es als Ordnungswidrigkeit<br />
geahndet werden, mit empfindlichen Bußgeldern. Diese betragen 2 – 4 % des Jahresumsatzes<br />
oder bis zu 10 Millionen EUR, entsprechend der Schadenshöhe und dem Unrechtsgehalt. Der höhere<br />
Betrag wird dann angesetzt.<br />
Im Falle einer Prüfung gibt es üblicherweise eine sechswöchige Nachbesserungsfrist. Wenn man sich<br />
aber vorher nicht mit der Materie befasst hat, reicht diese Zeit kaum aus, um ein schlüssiges Datenschutz-Konzept<br />
zu erstellen.<br />
Deshalb raten wir, sich rechtzeitig mit dem Thema zu befassen und es vollständig umzusetzen.<br />
Einige wenige Erleichterungen gibt es für Unternehmen unter 250 Mitarbeitern, soweit keine<br />
Ausnahmen bestehen. Dies ist allerdings eher selten der Fall. Siehe Kapitel II.<br />
Praktische Umsetzung – Schritt für Schritt<br />
q Bevor Sie „richtig“ loslegen, schaffen Sie am besten einen auffälligen Ordner an, in dem Sie<br />
alle benötigten Informationen und zusammengestellten Daten sammeln. Das wird Ihr Datenschutz-<strong>Handbuch</strong>.<br />
Wenngleich Sie auch Daten online sammeln und nutzen werden, müssen alle<br />
relevanten Daten schriftlich vorliegen. Hierzu gehören unter anderem schriftliche Einverständniserklärungen<br />
Ihrer Kunden und Interessenten (z. B. von Messen oder Marketingaktionen) sowie<br />
Verträge mit Dritten (Auftragsdatenverarbeitern).<br />
Der zentrale Teil Ihres Datenschutz-<strong>Handbuch</strong>es ist das Verzeichnis der Verarbeitungstätigkeiten<br />
(VVT). Siehe Kapitel II, „Grundlegende Informationen zur <strong>DSGVO</strong> und Anleitung“.<br />
q Als erste konkrete Maßnahme empfehlen wir, die erforderlichen Angaben nach der <strong>DSGVO</strong> auf der<br />
Website einzupflegen. Dann sehen etwaige Prüfer, dass Sie sich mit der Materie auseinandergesetzt<br />
haben. Siehe Kapitel IV, „Benötigte Angaben auf der Website“.<br />
q Parallel dazu sollten Sie alle Informationen beschaffen, die Sie für die Erstellung des betrieblichen<br />
Datenschutz-Konzeptes benötigen. Dazu wird ggf. der IT Beauftrage oder der (externe) Webmaster<br />
benötigt. Auch die Schulung eines Mitarbeiters zum Datenschutzbeauftragten kann erforderlich sein.<br />
Siehe Kapitel II, „Grundlegende Informationen zur <strong>DSGVO</strong> und Anleitung“.<br />
q Aus diesen Daten wird dann das individuelle Datenschutz-Konzept des Unternehmens in Form des<br />
„Datenschutz-<strong>Handbuch</strong>es“ zusammen gestellt, das alle relevanten Informationen enthält, insbesondere<br />
das „Verzeichnis der Verarbeitungstätigkeiten“, VVT.<br />
Zum VVT steht Ihnen ein Muster zur Verfügung, das als Vorlage genutzt werden darf und soll. Siehe<br />
Kapitel VI, „Muster-Verzeichnis der Verarbeitungstätigkeiten“.<br />
q Ergänzend erhalten Sie mit diesem Leitfaden Informationen zu besonderen Bedingungen, wie<br />
Registrierkassen, EC-Cash-Geräte, Videoüberwachung, Mitarbeiter etc. Wenn diese Punkte auf Ihr<br />
Unternehmen zutreffen, müssen sie ebenfalls (jeweils) beachtet und in das Datenschutz-Konzept<br />
eingebunden werden. Siehe Kapitel III, „Ergänzende Themen“.<br />
q Parallel dazu prüfen Sie bitte, welche Software Sie zur Datenverarbeitung nutzen, wie z. B. eine<br />
Kunden- und Auftragsverwaltung, ein Mailsystem, ein Terminbuchungssystem, ein Steuersystem, ein<br />
Abrechnungssystem mit einem externen Unternehmen etc.<br />
© Ina Gutsch
10 Kapitel I · Einführung und Übersichten<br />
Klären Sie ab, ob Ihre Software die neuen Bedingungen der <strong>DSGVO</strong> rechtzeitig zum 25. 5. 2018 erfüllen<br />
wird und stellen Sie ggf. auf eine neue <strong>DSGVO</strong>-konforme Software um.<br />
Siehe Kapitel II, „Grundlegende Informationen <strong>DSGVO</strong> und Anleitung“.<br />
q Wenn Sie Daten auf dem Server eines Softwareanbieters verarbeiten oder verarbeiten lassen, z. B.<br />
zur Erstellung und zum Versenden eines Newsletters, schließen Sie einen <strong>DSGVO</strong>-konformen Vertrag<br />
über die vereinbarten Leistungen. Falls die Bedingungen der <strong>DSGVO</strong> von Ihrem Anbieter nicht erfüllt<br />
werden, suchen Sie (rechtzeitig) Ersatz!<br />
Siehe Kapitel II, „Grundlegende Informationen zur <strong>DSGVO</strong> und Anleitung“.<br />
q Wenn Sie bisher noch kein Kundenverwaltungsprogramm haben, ist das (mit) das Wichtigste, das wir<br />
Ihnen empfehlen, damit Sie Ihren Dokumentationspflichten problemlos nachkommen können. Darin<br />
kann / sollte auch gleich die Mailverwaltung integriert sein. Softwareempfehlungen geben wir Ihnen<br />
in den jeweiligen Informationsübersichten mit.<br />
q Setzen Sie nach und nach auch alle weiteren Punkte um, die im Leitfaden beschrieben sind. Hierbei<br />
hilft die Übersicht im Anschluss „Step-by-Step“.<br />
q Wenn in Ihrem Unternehmen mit sensiblen Daten gearbeitet wird (z. B. Ärzte, Heilpraktiker, Physiotherapeuten<br />
und andere Gesundheitsfachberufe), sind Sie zu einer umfassenderen Dokumentation<br />
verpflichtet, als es mit diesem Ratgeber abgedeckt werden kann.<br />
Im Prinzip gibt es kaum andere Vorschriften als bei Unternehmen ohne Verarbeitung sensibler Daten.<br />
Die Dokumentation (im Rahmen des Datenschutz-<strong>Handbuch</strong>es) sollte allerdings genauer erfolgen<br />
und alle entsprechenden Abläufe präzise abbilden. Lassen Sie sich hierzu bitte beraten und beachten<br />
Sie die entsprechenden Hinweise, v. a. in Kapitel II.<br />
q Die hier vermittelten Informationen dienen v. a. der Orientierung und kollegialen Unterstützung. Um<br />
das Konzept zu optimieren und maximale rechtliche Sicherheit zu erlangen, sollte es im Anschluss<br />
von einem Fachanwalt oder einem Datenschutzbeauftragten geprüft werden, soweit Sie nicht bereits<br />
bei der Erstellung fachkundige Hilfe in Anspruch genommen haben. Berufskammern wie die IHK<br />
sowie die DEKRA und der TÜV benennen beispielsweise entsprechende (externe) Datenschutzbeauftragte,<br />
die diese Funktion übernehmen.<br />
Die abschließende Überprüfung ist auch deshalb wichtig, weil der Leitfaden trotz der Zusammenarbeit<br />
mit einer Fachanwältin nicht vollständig sein kann und es auch Ungenauigkeiten und<br />
Fehler geben kann.<br />
Statt einer selbst veranlassten Überprüfung des Konzeptes warten manche einfach ab, ob eine<br />
behördliche Prüfung kommt, um dann bei Bedarf nachzubessern. Das funktioniert aber nur, wenn<br />
man bereits ein gut ausgearbeitetes Datenschutz-Konzept hat. Denn zur Erstellung eines (neuen)<br />
Konzeptes reichen die sechs Wochen Nachbesserungsfrist zumeist nicht aus. Deshalb raten wir, von<br />
vornherein einen Fachmann zur Überprüfung hinzuzuziehen.<br />
Wichtig: Im Falle relevanter Verstöße gegen die <strong>DSGVO</strong> schützt die Nachbesserungsfrist<br />
nicht vor Bußgeldern oder weiteren Strafen! Je mehr datenschutz-relevante Risiken es in<br />
Ihrem Unternehmen gibt, umso wichtiger ist deshalb die professionelle Überprüfung Ihres<br />
Datenschutz-Konzeptes!<br />
© Ina Gutsch
Kapitel I · Einführung und Übersichten<br />
11<br />
Step-by-Step – technisch-organisatorische Übersicht<br />
Hier finden Sie die wichtigsten technisch-organisatorischen Themen, die zu beachten und umzusetzen<br />
sind. Die entsprechenden Hintergründe sind nachfolgend entsprechend erläutert.<br />
Allgemeine Punkte, für alle Betriebe:<br />
q Aktualisieren Sie Ihre (Online-) Datenschutzerklärung mit Hilfe eines entsprechenden Generators. Geben<br />
Sie im Impressum an, wer bei Ihnen für den Datenschutz verantwortlich ist. (Link in Kapitel IV)<br />
q Prüfen Sie alle (Daten-) Verarbeitungsprozesse Ihres Unternehmens (anhand der beschriebenen<br />
Grundlagen) auf Korrektheit und Zulässigkeit. (Kapitel II, III, IV, V)<br />
q Erstellen Sie Ihr Datenschutz-Konzept, wie im Leitfaden beschrieben. (Kapitel II, III, VI)<br />
q Prüfen Sie, ob Ihr Unternehmen alle Anforderungen an die technisch-organisatorische Sicherheit der<br />
personenbezogenen Daten erfüllt bzw. „rüsten Sie nach“. (Kapitel II, III, IV, V)<br />
q Wenn Sie mit sensiblen Daten zu tun haben (siehe Definition in Kapitel II), sind Sie nach Art. 37 c) <strong>DSGVO</strong><br />
evtl. dazu verpflichtet, einen externen Datenschutzbeauftragten (DSB) zu beauftragen oder einen internen<br />
Mitarbeiter zu benennen und zu schulen. Prüfen Sie, ob Sie eine Datenschutz-Folgenabschätzung<br />
benötigen und holen Sie sich ggf. dafür fach liche Unterstützung. (Anleitung in Kapitel II)<br />
q Prüfen Sie, ggf. mit Hilfe Ihres Datenschutzbeauftragten, ob alle genutzten Datenübermittlungsprozesse<br />
zulässig sind und alle notwendigen Auftragsdatenverarbeitungsverträge vor liegen. Passen<br />
Sie ggf. die Prozesse den neuen Vorschriften an. (Kapitel II, III, IV, V)<br />
q Überwachen Sie fortlaufend, ob Ihre Datenschutzprozesse ausreichend (hoch) sind und (noch) den<br />
gesetzlichen Anforderungen entsprechen. (Kapitel II, V, VI)<br />
Wichtig: Änderungen sind sofort einzupflegen. Darüber hinaus sollte mindestens einmal jährlich eine<br />
(Selbst-) Überprüfung („Selbstaudit“) des Datenschutz-Konzeptes erfolgen.<br />
Spezielle Punkte für Betriebe mit Mitarbeitern:<br />
q Wenn Sie mind. 10 Mitarbeiter haben, die auf personenbezogene Daten zugreifen, benennen Sie<br />
einen Datenschutzbeauftragten, lassen diesen schulen, (siehe Links zu weiterführenden Angeboten)<br />
und melden diesen bei der Datenschutzbehörde. Alternativ können Sie einen externen Datenschutzbeauftragten<br />
für diese Aufgabe in Anspruch nehmen. (Siehe auch Kapitel II)<br />
q Lassen Sie auch Ihre Mitarbeiter professionell zum Thema Datenschutz nach <strong>DSGVO</strong> und seiner<br />
praktischen Umsetzung bei den jeweiligen Tätigkeitsbereichen schulen, ggf. mittels Infobroschüren.<br />
(Siehe auch Links zum Bestellen von Schulungsunterlagen).<br />
q Lassen Sie alle Ihre Mitarbeiter, die mit personenbezogenen Daten zu tun haben, eine entsprechende<br />
Vertraulichkeitserklärung unterschreiben. (Siehe auch Kapitel III)<br />
q Lassen Sie von Ihren Mitarbeitern alle datenschutzrechtlichen Vorfälle (schriftlich) dokumentieren,<br />
also alles, was nicht ordnungsgemäß läuft. Dies betrifft vor allem die betriebseigenen Verarbeitungsprozesse,<br />
relevante Datenschutzvorfälle intern und extern sowie (An-) Weisungen gegenüber den von<br />
Ihnen beauftragten datenverarbeitenden Unternehmen.<br />
q Bei größeren Unternehmen: Richten Sie ein (Online-) Beschwerdemanagement ein für die Bearbeitung<br />
von Betroffenenrechten. Der wichtigste Schritt hierzu ist, online die Stelle und / oder den<br />
Ansprechpartner für Beschwerden anzugeben. Der Ablauf des Beschwerdemanagements muss dann<br />
intern geregelt und dokumentiert werden.<br />
© Ina Gutsch
<strong>DSGVO</strong> – Datenschutz-Grundverordnung<br />
Praktischer Leitfaden für Selbständige und kleine Betriebe<br />
Mit dem 25. 5. 2018 beginnt eine neue Ära. Für Unternehmen ist es nun wichtig, den Datenschutz<br />
nicht nur zu beachten, sondern ihn auch differenziert zu dokumentieren.<br />
Das gilt für alle Unternehmer, vom selbständigen Handwerker, Heilpraktiker oder Künstler bis zum<br />
Großunternehmen.<br />
Im Kern geht es hier um personenbezogene Daten, die elektronisch verarbeitet werden. Spätestens<br />
aber, wenn auch sensible Daten ins Spiel kommen, wie z. B. Gesundheitsdaten, oder eine systematische<br />
Erfassung der Daten vorgesehen ist, sind auch handschriftliche Aufzeichnungen betroffen.<br />
Bei der Verarbeitung der Daten müssen verschiedenste Daten-Sicherheitskriterien beachtet und die<br />
entsprechenden Betriebsabläufe in Bezug auf den Datenschutz beschrieben werden.<br />
Insbesondere für Selbständige und kleine Betriebe stellt diese Thematik eine ganz neue Herausforderung<br />
dar. Im Prinzip ist die Herangehensweise einfach. Dennoch muss man wissen, was zu<br />
tun ist und vor allem, wie.<br />
Mit diesem Leitfaden haben Sie einen Ratgeber zur Hand, der den Paragrafendschungel<br />
lichtet und Ihnen Schritt für Schritt aufzeigt, was zu tun ist. Das Ergebnis ist Ihr individuelles<br />
Datenschutz-Konzept.<br />
Inhalt<br />
• Rechtsgrundlagen und Ziele der <strong>DSGVO</strong><br />
• Checkliste: In welchen Bereichen ist mein Unternehmen betroffen<br />
• Wer ist verantwortlich<br />
• Welche Daten sind im Einzelnen betroffen<br />
• Übersicht: Praktische Umsetzung – Schritt für Schritt<br />
• Step-by-step – Die technisch-organisatorische Übersicht<br />
• Wer braucht einen Datenschutzbeauftragten<br />
• Wie benennt man einen Datenschutzbeauftragten<br />
• Was tun bei einer Datenpanne / Datenverlust<br />
• Anleitung zur Erstellung eines individuellen Datenschutz-Konzeptes inkl. Verzeichnis der<br />
Verarbeitungstätigkeiten<br />
• Die technisch-organisatorischen Sicherheitsmaßnahmen im Einzelnen<br />
• Definition eines Daten-Löschkonzeptes und eines Datensicherungskonzeptes<br />
• Die Voraussetzungen für die Datenweitergabe an Dritte<br />
• Der Vertrag über die Datenweitergabe an Dritte – Inhaltsübersicht<br />
• Die Datenschutz-Folgenabschätzung und die Bestimmung des Risikos<br />
• Tipps zum korrekten Umgang mit E-Mails, Speicher-Clouds und sozialen Medien<br />
• Voraussetzungen für die korrekte E-Mail- und Newsletterwerbung mit Mustertexten<br />
• Übersicht über ergänzende Themen, wie z. B. Beschäftigung von Mitarbeitern, Betreiben eines<br />
Onlineshops, Annahme elektronischer Bewerbungen, Ausgabe von Kundenkarten u. v. m.<br />
Diese detaillierte Anleitung ermöglicht es Selbständigen ohne Mitarbeiter ein eigenes Datenschutz-<br />
Konzept zu erstellen. Betriebe mit Mitarbeitern erhalten eine umfassende Arbeitsgrundlage,<br />
weiter führende Links zu erforderlichen Arbeitsmitteln und Hinweise zur Notwendigkeit eines<br />
Datenschutzbeauftragten. Eine fachkundige Überprüfung Ihres Datenschutz-Konzeptes sollte in<br />
jedem Fall den Abschluss bilden.<br />
ISBN 978-3-75281-251-0