Der DSGVO-Countdown: Wie plane ich die nächsten 135 Tage? (Teil 2)

---

Um mit der DSGVO überhaupt beginnen zu können, müssen sich alle betroffenen Unternehmen jedoch erst einmal einen Überblick verschaffen, welche Daten sie überhaupt in ihrem Unternehmen verarbeiten. In unserem ersten Teil zur Vorbereitung auf die DSGVO haben wir daher die Notwendigkeit eines Verfahrensverzeichnisses erläutert. Wer dazu noch keine Gelegenheit hatte, kann sich hier noch einmal belesen.

Zur Erinnerung - Schritt 1: Das Verfahrensverzeichnis

In jedem Unternehmen fallen massenhaft Datensätze an. Mit Mitarbeiter-, Unternehmens- und Kundendaten kommt eine riesige Summe zusammen, dessen sich die Verantwortlichen meist gar nicht bewusst sind. Da die DSGVO Einfluss auf den Umgang mit allen oder bestimmten Kategorien von Daten hat und dabei insbesondere dem Prinzip der Qualität vor Quantität eine entscheidende Rolle zukommen soll, müssen Händler eine Dateninventur durchführen.

Der erste – in Teil 1 erläuterte – Schritt lautet daher: Sichten Sie zunächst einmal, welche Daten Sie in Ihrem Unternehmen verarbeiten. Es ist im Übrigen für einige Unternehmen sogar eine Pflicht, ein solches Verzeichnis zu führen. Die nationalen Behörden können später zur Prüfung der Einhaltung des Datenschutzes Einsicht in das Verzeichnis verlangen und bei einem Versäumnis Bußgelder verhängen.

Wer mit dem ersten Schritt, dem Verfahrensverzeichnis fertig ist, kann sich den weiteren Maßnahmen zur Vorbereitung auf die DSGVO widmen und sich so den Start mit der neuen DSGVO erleichtern. Möglicherweise treffen Sie nicht alle nachfolgenden Schritte oder Aufgaben.

Schritt 2: Bewusstsein schaffen

Sie sollten als verantwortlicher Unternehmer sicherstellen, dass Sie oder andere Entscheidungsträger und Schlüsselpersonen in Ihrem Unternehmen sich bewusst sind, dass sich der Datenschutz – und damit wichtige Gesetze – ändern. Insbesondere wollen Behörden Datenschutzverstöße, die derzeit noch unbeachtet und trotzdem an der Tagesordnung sind, endlich verfolgt werden. Hohe Bußgelder oder Abmahnungen von Vereinen oder Verbänden bzw. von Konkurrenten können die Folge sein.

Unternehmen müssen für die Zukunft sicherstellen, dass nur notwendige Daten erhoben, gespeichert und sonst weiterverarbeitet werden. Ergo: keine Speicherung der Daten auf Vorrat mehr. Außerdem muss die Shop-Seite datenschutzfreundlich voreingestellt werden, insbesondere keine vorangehakten Checkboxen usw. enthalten.

Schritt 3: Informationen zum Datenschutz aktualisieren

Nahezu jede Webseite hat bereits jetzt eine Erklärung, die Auskunft zu Daten und Privatsphäre bietet, die sog. Datenschutzerklärung. Diese Datenschutzerklärung wird jedoch ab dem 25. Mai 2018 deutlich länger und ausführlicher werden. Zukünftig muss etwa auf die Kontaktdaten des Datenschutzbeauftragten oder auf neue Rechte der Webseitenbesucher hingewiesen werden. Die Datenschutzerklärungen müssen also bis Mai 2018 u.a. betreffend der neuen Informationspflichten durch Spezialisten angepasst werden. 

Händlerbund-Mitglieder erhalten selbstverständlich rechtzeitig eine auf die aktuellen Anforderungen abgestimmte Datenschutzerklärung.

Schritt 4: Betroffenenrechte in den Unternehmensprozess eingliedern

Weil es der Name schon sagt, Daten“schutz“grundverordnung, sollen die Betroffenen, also alle, deren Daten verarbeitet werden, auch mehr Auskunfts- und Schutzrechte haben. Neu ist insbesondere das Recht auf Datenübertragbarkeit. Da auch Verbraucher- und Datenschützer auf die neuen Rechte hinweisen werden, könnten die Betroffenen stärker in die Versuchung kommen, diese Rechte auch zu nutzen. Unternehmen fallen dann jedoch bei derartigen Anfragen aus allen Wolken. Nutzen Betroffene ihre neu hinzugewonnen Rechte, dann sollte jedes Unternehmen zumindest ein Stück weit darauf vorbereitet sein. Auch die neuen Auskunftspflichten sollten Händler nicht unvorbereitet treffen.

Sie sollten Ihre Unternehmensabläufe überprüfen, um sicherzustellen, dass Sie im Falle einer Anfrage schnell und formgerecht reagieren können. Mehr dazu hier: Auskunftspflichten und Betroffenenrechte.

Schritt 5: Ausgelagerte Daten evaluieren

Viele Unternehmen führen ihre Datenverwaltung nicht komplett allein durch - ob bemerkt oder unbemerkt. Oft übernehmen externe Mailing-Dienstleister, Callcenter oder Cloud-Dienste die Verarbeitung sensibler Daten. Verträge mit solchen Subunternehmern, sog. Auftragsverarbeitungsverträge, des Unternehmers müssen überprüft werden und künftig auch neu gefasst werden. Prüfen Sie intern, wer außerhalb Ihres Unternehmens mit der Verwaltung von Kundendaten betraut wurde. Bestehen Verträge und welche Regelungen fehlen noch? Passen Sie daraufhin die bestehenden Verträge an.

Schritt 6: Zustimmungen und Einwilligungen überprüfen

Im Grundsatz benötigt jede Datenverarbeitung, also die Erhebung, Speicherung, Nutzung usw. persönlicher Daten eine Einwilligung. Das ist vielen Unternehmen überhaupt nicht bewusst, doch auch die DSGVO besagt, dass das Sammeln solcher Daten nur stattfinden darf, wenn

1. die betroffene Person ihre Einwilligung gegeben hat,
2. die Verarbeitung der Daten für die Erfüllung eines Vertrages erforderlich ist,
3. die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist,
4. die Verarbeitung erforderlich ist, um lebenswichtige Interessen der betreffenden Person zu schützen,
5. die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öf­fentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt,
6. die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortli­chen oder eines Dritten erforderlich ist.

In den wenigsten Fällen kommen die Varianten 2 bis 6 zum Tragen. Sie sollten daher überprüfen, wo Sie künftig eine Einwilligung einholen müssen. Lesenswert ist auch folgender Guide (in Englisch). Denken Sie insbesondere an Cookies oder Newsletter. 

Schritt 7: Datenschutzverletzungen melden

Auch wenn man sich mit dem Thema ungern auseinandersetzt, im Hinblick auf drohendende horrende Bußgelder sind auch Datenschutzverletzungen ein Thema. Sie sollten sicherstellen, dass Sie über die richtigen Verfahren verfügen, um einen Verstoß gegen die Datenschutzbestimmungen aufzudecken, zu melden und zu untersuchen. Mehr zum Thema Umgang mit Datenpanne gibt es hier.

Schritt 8: Einen Beauftragten für den Datenschutz bestimmen

Sie sollten sich überlegen, ob Sie verpflichtet sind, einen Datenschutzbeauftragten formell zu benennen. Auch wenn es für Ihr Unternehmen (noch) keine Pflicht gibt, gelten die Vorschriften der DSGVO und sonstiger Datenschutzbestimmungen für Unternehmen. Sie sollten daher jemanden festlegen, der die Verantwortung für die Einhaltung der Datenschutzbestimmungen übernimmt, und beurteilen, wo diese Rolle innerhalb der Struktur Ihres Unternehmens angesiedelt ist.

Wir hoffen, nach Durchlaufen dieser Prozess sind Sie warm geworden mit der DSGVO.

 

Die Themenreihe zur Datenschutzgrundverordnung (DSGVO)

Einführung

Teil 1: Newsletterversand

Teil 2: Informationspflichten

Teil 3: Auskunftspflichten

Teil 4: Betroffenenrechte

Teil 5: Umgang mit Datenpannen

Teil 6: Neuerungen beim Umgang mit Kundendaten

Teil 7: Übermittlung von Daten ins Ausland

Teil 8: Auftragsdatenverarbeitung

Teil 9: Der Einsatz von Cookies

Teil 10: Social Plugins

Teil 11: Der Datenschutzbeauftragte

Teil 12: Verfahrensverzeichnis, Vorabkontrolle und Folgenabschätzung

Teil 13: Aufsichtsbehörden

Teil 14: Befugnisse und Sanktionsmaßnahmen

Teil 15: Praxisteil - Maßnahmen zur Vorbereitung (Checkliste)

Teil 16: Glossar

 

Der DSGVO-Countdown: Wie plane ich die nächsten 157 Tage? (Teil 1)

Der DSGVO-Countdown: Wie plane ich die nächsten 135 Tage? (Teil 2)

 

Der Händlerbund hat Online-Händler zur DSGVO befragt. Die Infografik zeigt, wie Händler sich auf die DSGVO vorbereitet fühlen und was sich bisher bei der Umsetzung getan hat.