Hamburg Startups Blog
Du bist hier: / / / Unsere Checkliste zur Datenschutz-Grundverordnung

Unsere Checkliste zur Datenschutz-Grundverordnung

/in , /von

Am 25. Mai 2018 tritt die neue Datenschutz-Grundverordnung (DSGVO) in Kraft. Mit ihr müssen sich  alle Unternehmen auseinandersetzen, die Daten verarbeiten – also auch Startups. Wir haben eine Checkliste mit den wichtigsten Punkten zusammengestellt.

Datenschutz ist selbstverständlich kein Thema, das erst in diesem Jahr akut wird. Schließlich gilt schon lange das Bundesdatenschutzgesetz (BDSG). Verstöße dagegen wurden allerdings bisher nicht mit letzter Konsequenz verfolgt und geahndet. Das wird sich ändern mit der DSGVO, die das BGSV ersetzt und alle Daten von Personen betrifft, die in der EU beheimatet sind. Da nützt es also auch nichts, seinen Firmensitz in die Karibik zu verlegen. Dementsprechend werden auch einige US-Konzerne Probleme bekommen, die den europäischen Vorstellungen von Datenschutz nicht entsprechen.

Die DSGVO „enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.“ Verstöße können tatsächlich mit einem Bußgeld in Höhe von bis zu 20 Millionen Euro (oder 4 Prozent des Jahresumsatzes) bestraft werden. Außerdem wird die Möglichkeit bestehen, Eingaben wegen vermeintlicher Verfehlungen bei Datenschutzbehörden zu machen. Missgünstige Personen und Unternehmen könnten da richtig Ärger machen. Oder auch nicht, denn selbstverständlich schützt eine gute Vorbereitung vor bösen Überraschungen. Damit das klappt, haben wir hier die wichtigsten Bestimmungen und die dazugehörigen Maßnahmen zusammengefasst.

Bestellung eines Datenschutzbeauftragten

Um den Anforderungen der DSGVO gerecht zu werden, empfiehlt sich auf jeden Fall die Ernennung eines Datenschutzbeauftragten. Die ist sowieso Pflicht,wenn sich in einem Unternehmen mindestens zehn Personen mit der Verarbeitung von Daten beschäftigen. Sollten diese im Rahmen einer Datenschutz-Folgeabschätzung als besonders sensibel eingestuft, gewerbsmäßig gehandelt oder zu Zwecken der Markt- und Meinungsforschung verwendet werden, ist in jedem Fall ein Datenschutzbeauftragter erforderlich. Die Kontaktdaten dieser Person müssen veröffentlicht und der zuständigen Aufsichtsbehörde gemeldet werden. Möglich sind sowohl interne als auch externe Lösungen. Bei der internen Variante darf es nicht zu Interessenkonflikten kommen, weshalb die Geschäftsführung, IT- oder Personalleiter ungeeignet sind. Schließlich haben Datenschutzbeauftragte als Aufgaben unter anderem die Unterrichtung und Beratung der Verantwortlichen und die Überwachung der Einhaltung der Verordnung. Bei einer externen Person sind Interessenkonflikte naturgemäß nicht zu befürchten. Allerdings ist hier auf die Qualifikation zu achten, eine offizielle Zertifizierung gibt es nicht.

Erstellung eines Verzeichnis von Verarbeitungstätigkeiten

Wer genau verarbeitet eigentlich welche Daten zu welchen Zweck? Eine Frage, die bei vielen Unternehmen sowieso mal wieder geklärt werden sollte. Dank der DSGVO wird sie nun zur Pflichtaufgabe. Ohne Einschränkung gilt das für Unternehmen mit mindestens 250 Mitarbeitern, aber es gibt diverse Ausnahmen, etwa, wenn Verarbeitung nicht nur gelegentlich erfolgt. Soll heißen: Alle regelmäßig stattfindenden Datenverarbeitungsprozesse müssen in einem Verzeichnis dokumentiert werden. Folgende Angaben sind erforderlich:

  • Name und Anschrift der datenverarbeitenden Stelle
  • Leiter der verantwortlichen Stelle
  • Zweckbestimmung der Datenerhebung, -nutzung und -verarbeitung
  • Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten
  • Empfänger
  • Regelfristen zur Löschung
  • Geplante Übermittlung in Drittstaaten außerhalb der EU
  • Allgemeine Beschreibung der vorgesehenen Datensicherungsvorkehrungen
  • Angabe der zugriffsberechtigten Personen

Ergreifen von technischen und organisatorischen Maßnahmen (TOM)

Eine besondere Rolle spielen die technischen und organisatorischen Maßnahmen (TOM), die ein Unternehmen ergreift, um der Datenschutz-Grundverorrdnung gerecht zu werden. Sie gehören ebenfalls aufgelistet und betreffen folgende Bereiche:

  • Zutrittskontrolle. Damit ist tatsächlich der körperliche Zutritt in real existierende Räume gemeint. Die dürfen Unbefugten selbstverständlich nicht zugänglich sein.
  • Zugangskontrolle. Hier geht es um den Zugang zu Datenverarbeitungssystemen, also um Passwörter und ähnliches.
  • Zugriffskontrolle. Nicht jeder Mitarbeiter eines Unternehmens darf Zugriff auf alle Daten und Verarbeitungsprozesse haben.
  • Weitergabekontrolle. Hier wird geregelt, wie Daten DSGVO-konform übertragen werden.
  • Eingabekontrolle. Die Nachvollziehbarkeit der Datenverwaltung und -pflege ist zu gewährleisten.
  • Auftragskontrolle. Wie wird mit Daten umgegangen, die für eine Auftragsabwicklung erforderlich sind? Darum geht es bei diesem Punkt.
  • Verfügbarkeitskontrolle. Datenschutz einmal etwas anders. In diesem Fall dreht es sich um Backups, Virenschutz und andere Maßnahmen, um Daten unversehrt zu bewahren.
  • Trennungskontrolle. Daten, die zu unterschiedlichen Zwecken erhoben wurden, sind auch getrennt zu verarbeiten.

Durchführung einer Datenschutz-Folgeabschätzung

So steht es wortwörtlich in der Datenschutz-Grundverordnung: „Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.“ Eine Pflicht zur Veröffentlichung der Folgeabschätzung besteht nicht.

Sicherstellung der Rechte der Betroffenen

Die DSGVO sichert Personen, deren Daten verarbeitet werden, weitreichende Rechte zu. Auf der rechtlich sicheren Seite steht man nur, wenn eine Person ausdrücklich ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat. Zusätzlich müssen Unternehmen unter anderem folgende Regelungen beachten:

  • Informationspflicht. Verkürzt heißt es in der Datenschutz-Grundverordnung: „Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen …und alle Mitteilungen …, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.“ Vereinfacht gesagt: Verbraucher dürfen jederzeit nachfragen, wer, was, wann mit ihren Daten anstellt. Das regelt entsprechend das Auskunftsrecht.
  • Recht auf Berichtigung. Falsche Daten nützen niemandem, also sollte das Recht auf deren Berichtigung kein Problem darstellen.
  • Recht auf Löschung. Betroffene Personen können jederzeit die Löschung ihrer Daten verlangen. Das gilt besonders dann, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Wer nicht gleich die vollständige Löschung verlangt, kann zumindest auf das Recht auf Einschränkung der Verarbeitung pochen. In beiden Fällen sowie bei Berichtigung besteht eine Mitteilungspflicht des Verantwortlichen. Und dann existiert noch auch ein Widerspruchsrecht. Privatpersonen haben also eine Reihe von Möglichkeiten, die Nutzung ihrer Daten zu beschränken oder unterbinden.
  • Für Verbraucher besonders interessant ist das Recht auf Datenübertragbarkeit, das zum Beispiel einen Anbieterwechsel erleichtert. Für die betroffenen Unternehmen kann das im Einzelfall einiges Kopfzerbrechen bereiten, schließlich sind IT-Systeme oft nicht kompatibel.

Auftragsverarbeitung durch Dritte vertraglich regeln

Gerade in kleinen Unternehmen und Startups können oft nicht alle Datenverarbeitungsprozesse intern abgewickelt werden. Hier kommen externe Dienstleister ins Spiel. In der DSGVO steht dazu: „Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments …, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind.“ Man spricht dabei von einem Auftragsverarbeitungs-Vertrag (AVV).

Und jetzt: kein Grund zur Panik!

Die in diesem Artikel beschriebenen Regelungen betreffen einerseits nicht alle Unternehmen gleichermaßen, stellen aber auch nur einen Ausschnitt der 99 Artikel umfassenden Verordnung dar. So kann und will dieser Text auch keine fundierte Rechtsberatung ersetzen. Unsere Tipps: Schaut Euch die Datenschutz-Grundverordnung genau an. Nutzt jede Gelegenheit Fachvorträge zu besuchen. Holt Euch Rat von Experten, auch wenn Fachanwälte momentan fast ausgebucht und schwer zu bekommen sind. Und vor allem: Geratet nicht in Panik. Logischerweise gibt es noch keine Präzedenzfälle, die ahnen lassen, wie hart die DSGVO tatsächlich zuschlagen wird. Niemand wird auf Anhieb alle Voraussetzungen zu 100 Prozent erfüllen, und sicherlich werden nicht nur deshalb nicht gleich reihenweise drakonische Strafen verhängt. Wer sich seriös mit dem Regelwerk auseinandersetzt und nach bestem Wissen und Gewissen handelt, muss keine schlaflosen Nächte verbringen. Nur Warten, das geht nicht mehr. Der 25. Mai rückt schließlich unaufhaltsam näher.

Eine erstklassige Adresse für alle Fragen rund um die Datenschutz-Grundverordnung ist die Anwaltskanzlei Diercks. Nina Diercks ist eine ausgewiesene Kennerin der Materie. Alle wichtigen Infos zu findet Ihr in unserem Expertenprofil.

Das könnte Dich auch interessieren
Mit Miraminds kinderleicht Software-Anleitungen erstellen
Algen – ein Nahrungsmittel mit ZukunftWechselpilot verspricht die günstigsten Energietarife

Hamburg Startups Newsletter

Du möchtest mehr über Hamburger Startups, Events und andere News aus der Hamburger Gründerszene erfahren? Dann ist unser Newsletter genau richtig für Dich!