1. Startseite
  2. Unternehmen
  3. Dienstleister

  4. DSGVO-Zusammenfassung: Datenschutzerklärung und Co in letzter Minute

Datenschutz in letzter MinuteDas sind die wichtigsten Punkte der DSGVO

Wer die Datenschutzgrundverordnung bisher ignoriert hat, muss sich jetzt ins Zeug legen. Ein Unternehmensberater erklärt die wichtigsten Punkte.Wenke Wensing 23.05.2018 - 18:00 Uhr

Fünf Buchstaben, 99 Gesetzesartikel - ein großer Haufen Arbeit zeichnet die Datenschutzgrundverordnung aus. Wer sich bis zum 25. Mai nicht mit der DSGVO beschäftigt hat, läuft Gefahr, Bußgelder von bis zu vier Prozent des Jahresumsatzes zahlen zu müssen und abgemahnt oder gar verklagt zu werden. Jedes Unternehmen, jeder Selbständige und jede Organisation, die Daten von EU-Bürgern verarbeiten, könnte davon betroffen sein. Und die Sorge ist groß: Die Verordnung verlangt, die Daten nach bestem Wissen und Gewissen zu schützen. Was das genau heißt, ist in den 99 Artikeln oft schwammig formuliert.

Die gute Nachricht lautet: „Es ist kein Ding der Unmöglichkeit, sich abzusichern“, sagt der Unternehmensberater Steffen Grabowski. „Aber auf den letzte Drücker wird es stressig.“ Grabowski berät Unternehmen, in allen Fragen zur DSGVO und hat einen Ratgeber mit den wichtigsten Informationen veröffentlicht. Gemeinsam mit WirtschaftsWoche Online, gibt er einen Überblick über die wichtigsten Passagen der DSGVO und erklärt, was sie in der Praxis bedeuten können. Wer in letzter Minute tiefer in die Materie eintauchen muss - und eine gezielte Analyse für das eigene Unternehmen braucht, sollte jedoch darüber nachdenken, einen Experten zur persönlichen Beratung hinzuziehen.

1. Grundsätze für die Verarbeitung personenbezogener Daten
Darum geht es: Verarbeiten Unternehmen Kontaktdaten, Kontoinformationen oder sonstige Daten von Kunden, Mitarbeitern oder Nutzern, müssen sie diese schützen. Zur Verarbeitung zählt bereits das Speichern von E-Mail-Adressen.
Das sagt die DSGVO: „Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessen Sicherheit [...] gewährleistet.“ (Artikel 5)
Das sagt der Experte: „Sie sollten sichergehen, dass Ihre Website geschützt ist und Fremde nicht auf Daten zugreifen können, die Nutzer auf Ihrer Seite eingeben. Dabei hilft beispielsweise eine SSL-Verschlüsselung. Sie stellt sicher, dass sensible Daten nur verschlüsselt von einem Computer zum anderen übertragen werden. Ein grünes Schloss oben links in der Suchleiste verrät, ob die Website darüber verfügt. Die Speicherung von personenbezogenen Daten sollte ebenso stets verschlüsselt erfolgen. Wer Tools wie beispielsweise Google Analytics nutzt, sollte die IP-Adressen der Nutzer anonymisieren. Dabei kann Ihnen am besten der IT-Fachmann helfen, der Ihre Website eingerichtet hat.“´

DSGVO

Schlägt nun die Stunde der Abmahnanwälte?

von Thorsten Firlus


2. Rechtmäßigkeit der Verarbeitung
Darum geht’s: Wer personenbezogene Daten verarbeitet ohne den Betroffenen zu fragen, begibt sich auf dünnes Eis. Optimalerweise liegt die Einverständniserklärung zur Datenverarbeitung schriftlich vor.
Das sagt die DSGVO: „Die betroffene Person hat ihre Einwilligung zu der Verarbeitung [...] gegeben.“ (Artikel 6) „Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags [...] von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.“ (Artikel 7)
Das sagt der Experte: „Viele Unternehmen bieten auf ihrer Website an, dass Besucher der Seite einen Newsletter bestellen können. Streng genommen benötigt das Unternehmen dafür nur die E-Mail-Adresse des Nutzers. Verpflichtet das Unternehmen aber auch zu Angaben über Name, Alter oder Geschlecht, geht das zu weit“, sagt Grabowski. Bei allem, was über die Notwendigkeit hinausgehe, müsse der Nutzer die Möglichkeit haben, Angaben zu verweigern, ohne dass ihm der Dienst verwehrt wird. Ähnliches gilt für die Nutzung von Cookies. Cookies werden genutzt, um mit einer Website verbundene Informationen kurzzeitig auf dem Computer zu speichern und dem Server auf Anfrage wieder zu übermitteln. Viele Websites verlangen, dass Nutzer den Cookies zustimmen. Tun sie das nicht, ist die Seite nicht benutzbar. „Mit der DSGVO muss es Besuchern einer Seite möglich sein, Cookies zu deaktivieren und die Seite trotzdem zu nutzen“, sagt Grabowski.

Privatsphäre

Sie hinterlassen jeden Tag eine riesige Datenspur

3. Auskunftsrecht
Darum geht’s: Wer seine Daten abgibt, hat ab dem 25. Mai das Recht, zu erfahren, was mit den Daten geschehen ist. Wurden sie beispielsweise an Partnerunternehmen weitergeleitet, muss der Nutzer das auf Anfrage erfahren.
Das sagt die DSGVO: „Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten.“ (Artikel 15)
Das sagt der Experte: „Unternehmen müssen Kopien der von ihnen verarbeiteten personenbezogenen Daten innerhalb von vier Wochen herausgeben. Jedes Unternehmen sollte Musterauskünfte bereithalten und optimalerweise ein Programm benutzen, das die Datenverarbeitung protokolliert“, sagt Grabowski. Was dort drinstehen muss, ist im Artikel 15 der DSGVO verständlich aufgelistet.

4. Informationspflicht
Darum geht’s: Bevor ein Unternehmen Daten wie beispielsweise Kontaktdaten in einem Online-Formular erhebt, muss er den Nutzer darüber informieren, wofür die Daten verwendet werden.
Das sagt die DSGVO: „Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen [...], die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.“ (Artikel 12)
Das sagt der Experte: „Unternehmen sollten eine Datenschutzerklärung anfertigen und diese auf der Website platzieren“, sagt Grabowski. Vorlagen und Anwälte, die solche erstellen, gebe ist im Internet zuhauf. Muster für Ihre Website, Facebook, Twitter und Co finden Sie hier. „In die Datenschutzerklärung gehört alles rein, was das Unternehmen mit Daten tut. Auch, was sie mit Kontaktdaten von Kunden, die sie über soziale Medien kontaktieren, passiert“, sagt Grabowski. Dienste wie Google Maps müssen auch in der Datenschutzerklärung auftauchen. „Das ist so, weil Google zumindest meine IP-Adresse erhält, wenn ich die Seite nutze, die den Dienst verwendet“, sagt Grabowski. Auf den Seiten von Unternehmen in Sozialen Medien sollte ein Link auffindbar sein, der zur Datenschutzerklärung auf der Website führt. „Auf einer Facebook-Seite muss der Link innerhalb von zwei Klicks auffindbar sein. Also fügen Sie ihn am besten in das Kästchen ,Infos‘ ein“, erklärt Grabowski.

Deutschlands Ärzte und die DSGVO

Daten- statt Patientenpflege

von Wenke Wensing



5. Benennung eines Datenschutzbeauftragten
Darum geht’s: Ein Datenschutzbeauftragter ist dafür zuständig, Protokolle über verwendete Daten auf dem neuesten Stand zu halten und sicherzugehen, dass das Unternehmen jederzeit DSGVO-konform arbeitet.
Das sagt die DSGVO: „Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen.“ (Artikel 37)
Das sagt der Experte: Wenn in der Regel mindestens zehn Personen regelmäßig mit der Verarbeitung von personenbezogenen Daten zu tun haben, muss ein Unternehmen einen Datenschutzbeauftragten berufen. „Dieser kann auch von extern kommen“, sagt Grabowski. Außerdem muss diese Person fachlich geeignet sein und unabhängig und objektiv arbeiten können. „Der Inhaber des Unternehmens kann also kein Datenschutzbeauftragter werden“, merkt der Unternehmensberater an. Damit ein Mitarbeiter als fachlich geeignet gilt, sollte er eine Schulung belegen. Diese werden beispielsweise durch die Industrie- und Handelskammern durchgeführt. „Arbeitgeber sind verpflichtet, die Aus-und Weiterbildung des Datenschutzbeauftragten zu fördern und die Kosten zu übernehmen“, sagt Grabowski. „Die Kosten liegen bei circa 1500 Euro“, fügt er hinzu.
Der Berufsverband der Datenschutzbeauftragten Deutschlands hat Anforderungen an einen Datenschutzbeauftragten formuliert. Verbindliche Standards gibt es nicht. Ist ein Datenschutzbeauftragter ausgewählt und ausgebildet, muss der Arbeitgeber ihn der Datenschutzbehörde melden. Ein Musterformular finden Sie hier unter „Anhang 1“. „Die Meldung an die Behörde muss noch bis zum 25. Mai erfolgen“, sagt Grabowski. Kontaktdaten des Datenschutzbeauftragten müssen zusätzlich auf der Internetseite des Unternehmens leicht auffindbar sein und in der Datenschutzerklärung genannt werden.

Kurz & knapp: Die Grundsätze der DSGVO
"Datensparsamkeit" ist die Devise der DSGVO. Das heißt, Unternehmen dürfen nur jene Daten ihrer Kunden oder Nutzer abfragen, die für den betreffenden Zweck auch benötigt werden. Dementsprechend müssen auch die Standard-Einstellungen bei der Anmeldung neuer Nutzer oder Kunden gestaltet sein.
Anbieter von Dienstleistungen oder Waren müssen die Sicherheit der erhobenen Kundendaten gewährleisten. Das kann bedeuten, dass Unternehmen diese Informationen verschlüsseln müssen.
Persönliche Daten von Kunden oder Nutzern dürfen nur dann ins außereuropäische Ausland übermittelt werden, wenn die EU-Kommission den betreffenden Staaten ein "angemessenes Schutzniveau" bescheinigt hat. Ist das nicht der Fall, muss der Absender der Daten "geeignete Garantien" für deren Sicherheit abgeben.
Beim Wechsel zu einem anderen Anbieter haben Kunden und Nutzer ein Anrecht darauf, ihre Daten mitzunehmen. Das Unternehmen muss die Daten dann übertragen.
Datenschutzbehörden haben das Recht, das Löschen bestimmter Daten anzuordnen.
Unternehmen drohen bei Verstößen gegen die neuen Regeln hohe Strafen - sie können sich auf bis zu vier Prozent des Jahresumsatzes belaufen. Verstöße gegen die DSGVO müssen Unternehmen innerhalb einer Frist von 72 Stunden den Behörden melden.
Die DSGVO gilt nicht nur für in der EU ansässige Unternehmen. Kriterium für die Anwendung ist das sogenannte Marktort-Prinzip. Das heißt: Anbieter, die sich an Konsumenten in der EU wenden, unterliegen den europäischen Datenschutzregeln, auch wenn der Konzern seinen Hauptsitz etwa in den USA hat.
Für außereuropäische Unternehmen sind die Datenschutzbehörden jenes EU-Landes zuständig, in dem die Unternehmen ihren Hauptsitz haben. So sind etwa die irischen Datenschützer für Facebook zuständig, weil der US-Konzern seine Europa-Zentrale in Dublin hat. Stellen deutsche Datenschützer also bei Facebook einen Verstoß gegen die DSGVO fest, dann kontaktieren sie nicht das Unternehmen direkt. Stattdessen schalten sie die irischen Kollegen ein, die den Fall prüfen und sich dann gegebenenfalls an Facebook wenden.
Bei Unstimmigkeiten zwischen nationalen Datenschutzbehörden wird der Europäische Datenschutz-Ausschuss eingeschaltet, der am 25. Mai seine Arbeit aufnimmt. In diesem Gremium hat jedes EU-Mitglied eine Stimme.

6. Sicherheit der Verarbeitung
Darum geht’s: Unternehmen sind dazu verpflichtet sicherzustellen, dass Daten von Kunden oder Mitarbeitern nicht von Unbefugten eingesehen werden können.
Das sagt die DSGVO: „Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“ (Artikel 32)
Das sagt der Experte: „Auf drei bis vier Seiten sollten Unternehmen aufschreiben, welche Schutzmaßnahmen sie ergreifen“, erklärt Grabowski. Dazu kann gehören, dass das Unternehmen den Virenschutz immer auf dem aktuellsten Stand hält, die Daten auf Computern, USB-Sticks, Festplatten, Tablets und andere Geräte verschlüsselt und Unbefugte keinen Zugang zu den Büros des Unternehmens haben. Auch die Pseudonymisierung von Daten gehört dazu. Das bedeutet, dass Daten zwar weitergeleitet oder verarbeitet werden, aber diese keiner konkreten Person mehr zugeordnet werden können.


7. Verzeichnis von Verarbeitungstätigkeiten
Darum geht’s: Unternehmen müssen sich die Frage stellen, was sie mit Daten tun und zu welchem Zweck sie das tun. Nutzen sie die Daten beispielsweise, um Rechnungen zu schreiben oder um telefonisch Termine zu vereinbaren, gehören diese Tätigkeiten in Verzeichnis.
Das sagt die DSGVO: „Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen.“ (Artikel 30)
Das sagt der Experte: Faktisch nahezu jedes Unternehmen muss ein Verarbeitungsverzeichnis anlegen. „Dieses Verzeichnis wird bei einer Prüfung durch die Datenschutzbehörde zuerst eingesehen“, sagt Grabowski. Das Verzeichnis beginnt mit den allgemeinen Angaben zum Unternehmen: Kontaktdaten, Datenschutzbeauftragter, Sitz, Adresse, Beschreibung des Unternehmens. Es folgen alle Prozesse, die mit personenbezogenen Daten zu tun haben und deren Beschreibung: Welche Daten werden für welchen Prozess verwendet? Sind die Betroffenen Kunden, Mitarbeiter, Lieferanten? Werden die Daten analog oder digital verarbeitet? Welche Rechtfertigung hat die Verarbeitung der Daten? „Letzteres kann beispielsweise sein, dass ein Unternehmen die Adresse eines Kunden speichert, um eine Rechnung zu versenden“, erklärt Grabowski. Weitere Angaben sind die Maßnahmen, die ein Unternehmen zum Schutz der Daten ergreift und Angaben darüber, wer intern und extern auf die Daten Zugriff hat. „Zu den Schutzmaßnahmen gehört unter anderem, dass Akten verschlossen gelagert werden und Daten verschlüsselt werden“, sagt Grabowski. Der letzte Punkt, der in das Verarbeitungsverzeichnis gehört ist, ob eine Datenschutzfolgenabschätzung notwendig ist.

8. Datenschutzfolgenabschätzung
Darum geht’s: Was passiert, wenn Daten verloren gehen oder unberechtigt in dritte Hände gelangen? Diese Frage müssen Unternehmen sich stellen, wenn sie mit durch die DSGVO besonders geschützten Daten arbeiten. In der Datenschutzfolgenabschätzung muss stehen, welche Folgen der Datenverlust für die Betroffenen Personen haben kann und welche anderen Risiken durch die Verarbeitung für die betroffenen Personen bestehen und wie ihnen begegnet wird.
Das sagt die DSGVO: „Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.“ (Artikel 35)
Das sagt der Experte:
Eine Datenschutzfolgenabschätzung ist dann notwendig, wenn sehr sensible Daten verwendet werden. „Das können Gesundheitsdaten sein, aber auch eine Bilder aus einer systematischen Videoüberwachung“, sagt Grabowski. Auch Meinungsforschung gehöre dazu. Die Folgenabschätzung muss eine Beschreibung der geplanten Verarbeitungsprozesse, den Zweck der Verarbeitung und eine Bewertung der Notwendigkeit der Datenverarbeitung enthalten. Hinzu kommt, das Risiko, das durch ein Datenleck entstehen kann, einzuschätzen und entsprechende Schutzmaßnahmen vorzunehmen. Für die Folgenabschätzung empfehle er, einen Experten hinzuzuziehen. „Die schlampig zu machen, kann schwerwiegende Folgen haben“, sagt der Unternehmensberater.

9. Auftragsverarbeiter
Darum geht’s: Leiten Unternehmen Daten an andere Unternehmen weiter, müssen sie einen Auftragsverarbeitungsvertrag schließen, der festhält, dass beide Unternehmen - egal aus welchen Länden - sich an die DSGVO halten.
Das sagt die DSGVO: „Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“ (Artikel 28)
Das sagt der Experte: Ein Auftragsverarbeitungsvertrag muss mit Unternehmen geschlossen werden, an die Daten weitergeleitet werden oder jene Zugriff auf diese haben. „Für den Vertrag finden Sie im Internet viele Muster“, sagt Grabowski. Einen Beispielvertrag finden Sie hier. Der Auftragsverarbeitungsvertrag regelt, wie die Kooperationspartner Daten verwenden und dass sie die Daten DSGVO-konform behandeln. Auch mit Diensten wie Google Analytics oder ihrem Webhosting-Anbieter müssen Unternehmen solche Verträge haben. Wie Sie so einen Vertrag mit Google Analytics abschließen, steht hier erklärt.
Verlassen die Daten dabei die EU, wird es noch ein wenig komplizierter. Handelt es sich zum Beispiel um ein Unternehmen in den USA (beispielsweise Google), kann unter www.privacyshield.gov geprüft werden, ob es entsprechend zertifiziert ist und eine Übermittlung zulässig ist.

Zur Startseite Nachricht an die Redaktion
Mehr zum Thema
Deepfakes
EU erhöht Druck auf Musks X wegen KI-Bildern von Kindern
Handelspolitik
Das Mercosur-Abkommen ist auf der Zielgeraden
von Daniel Goffart
Dax über 25.000 Punkte
Fünf Gründe, warum die Dax-Rally noch nicht vorbei sein muss
von Anton Riedl
BörsenTag
Der überraschende Aufstieg von Alphabet zur heißesten KI-Aktie
von Philipp Frohn
CES 2026
Die wichtigsten Trends der Tech-Show in Las Vegas
Wirtschaft von oben
Das sind die Ölquellen, auf die es Trump in Venezuela abgesehen hat
von Thomas Stölzel
Arbeitsmarkt
Achtung, die Alphas kommen!
von Anabel Schröter
KI-Regulierung
EU soll gegen sexualisierte KI-Fotos von Elon Musks Grok vorgehen
Unsere Partner
Anzeige
Stellenmarkt
Die besten Jobs auf Handelsblatt.com
Anzeige
Homeday
Homeday ermittelt Ihren Immobilienwert
Anzeige
IT BOLTWISE
Fachmagazin in Deutschland mit Fokus auf Künstliche Intelligenz und Robotik
Anzeige
Remind.me
Jedes Jahr mehrere hundert Euro Stromkosten sparen – so geht’s
Anzeige
Presseportal
Lesen Sie die News führender Unternehmen!
Anzeige
Bellevue Ferienhaus
Exklusive Urlaubsdomizile zu Top-Preisen
Anzeige
Übersicht
Ratgeber, Rechner, Empfehlungen, Angebotsvergleiche
Anzeige
Finanzvergleich
Die besten Produkte im Überblick
Anzeige
Gutscheine
Mit unseren Gutscheincodes bares Geld sparen
Anzeige
Weiterbildung
Jetzt informieren! Alles rund um das Thema Bildung auf einen Blick