Suche
Close this search box.
Logo der activeMind AG
  • Geschätzte Lesezeit: 6 Minuten

Die ersten 7 Schritte zur Datenschutz-Compliance

Inhalt

Die meisten Vorschriften von Datenschutz-Grundverordnung (DSGVO) und Bundesdatenschutzgesetz (BDSG) gelten für alle Unternehmen, unabhängig von der Größe. Mit diesen sieben Schritten schafft jeder eine gute Grundlage für Datenschutz-Compliance.

1. Verzeichnis von Verarbeitungstätigkeiten

Nach Art. 30 DSGVO muss jedes Unternehmen ein Verzeichnis von Verarbeitungstätigkeiten führen. Darin dokumentiert der Verantwortliche für jede Verarbeitungstätigkeit im Unternehmen, wie die personenbezogenen Daten verarbeitet werden.

Das Verzeichnis dient primär als Nachweis für eine rechtskonforme Datenverarbeitung. Verarbeitungstätigkeiten lassen sich in allen Unternehmensbereichen finden, wie zum Beispiel das Führen einer Personalakte, eine Krankheits- oder Urlaubsliste, die Lohnabrechnung, der Newsletter-Versand oder die Kundendatenverwaltung.

Die inhaltlichen Anforderungen an die das Verzeichnis ergeben sich aus Art. 30 Abs. 1 DSGVO. Die Verzeichnisse müssen unter anderem die folgenden Informationen beinhalten:

  • Informationen über das Unternehmen selbst
  • Zwecke der Datenverarbeitung
  • Kategorien der von der Datenerhebung Betroffenen
  • Fristen für die Datenlöschung
  • Informationen darüber, ob die Daten in ein Drittland übermittelt werden und welche Datenschutzgarantien dafür gegeben sind

Viele Unternehmen vernachlässigen diese gesetzliche Pflicht, indem sie kein oder nur ein unzureichendes Verzeichnis von Verarbeitungstätigkeiten führen. Verantwortliche setzen sich so der Gefahr eines hohen Bußgeldes aus. Nach Art. 84 Abs. 3 lit. a DSGVO können Verstöße mit bis zu 10.000.000 Euro oder 2 % des gesamten weltweit erzielten Jahresumsatzes geahndet werden.

Tipp: In diesem Schwerpunkt zum Verzeichnis von Verarbeitungstätigkeiten finden Sie ausführliche Anleitungen sowie kostenlose Vorlagen.

2. Auftragsverarbeitungs-Verträge

Die meisten Unternehmen nutzen externe Dienstleister, beispielsweise für die Entsorgung von Papierabfällen, zur Wartung ihrer IT-Systeme oder zur Nutzung von Rechenkapazität. Oftmals findet dabei auch eine Verarbeitung personenbezogener Daten durch den Dienstleister statt. In diesem Fall wird er meist zum Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO. Das auftraggebende Unternehmen bleibt für die Einhaltung des Datenschutzes verantwortlich und der Dienstleister verarbeitet die Daten auf Weisung des Unternehmens.

Das Gesetz schreibt hierfür einen Vertrag vor, der zwischen den Parteien geschlossen wird – einen Auftragsverarbeitungs-Vertrag (AVV). Dieser muss bestimmte Mindestanforderungen erfüllen, die sich aus dem Gesetz ergeben (Art. 28, 32 DSGVO).

Hierbei haben viele Unternehmen jedoch Schwierigkeiten, weshalb Verträge vielfach fehlen oder die abgeschlossenen Verträge oft nicht dem gesetzlichen Standard entsprechen und Bußgelder drohen.

Tipp: In unserem Schwerpunkt zur Auftragsverarbeitung finden Sie unter anderem ein kostenloses, DSGVO-konformes Muster für einen Auftragsverarbeitungs-Vertrag.

3. Datenschutzbeauftragter

Für Unternehmen, die unter die Voraussetzungen des Art. 37 Abs. 1 DSGVO oder § 38 Abs. 1 BDSG fallen, besteht eine Pflicht zur Bestellung eines Datenschutzbeauftragten. Insbesondere Unternehmen, in denen in der Regel mindestes 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, müssen einen Datenschutzbeauftragten bestellen. Dieser muss innerhalb des Unternehmens vor allem die Einhaltung der Datenschutzvorschriften überwachen.

Hinweis: Nur weil ein Unternehmen nicht zur Bestellung eines Datenschutzbeauftragen verpflichtet ist, ist es nicht davon entbunden, den Datenschutz einzuhalten. Deshalb empfiehlt es sich auch oft für Unternehmen, die nicht unter Art. 37 Abs. 1 DSGVO oder § 38 Abs. 1 BDSG fallen, einen entsprechenden Experten im Unternehmen mit dieser Aufgabe zu betrauen.

Die Tätigkeit des Datenschutzbeauftragten kann sehr anspruchsvoll sein. Sie erfordert, neben Organisationsvermögen, Zuverlässigkeit und datenschutzrechtlichen Kenntnissen auch technisches Wissen und einen geübten Umgang mit Informationstechnik. Ein Mitarbeiter, der diese Soft-Skills und Fachkunde nicht besitzt, ist nicht als Datenschutzbeauftragter zu empfehlen. Darüber hinaus darf auch kein Interessenskonflikt bestehen. Dementsprechend darf der Datenschutzbeauftragte weder Teil der Geschäftsführung noch der Führungspersonal von Personal- oder IT-Abteilung sein.  

Viele Unternehmen entscheiden sich deshalb gegen einen betrieblichen Datenschutzbeauftragten und für die Bestellung eines externen Datenschutzbeauftragten. Dadurch kann der Verantwortliche sicherstellen, dass die Aufgabe von einem kompetenten Experten übernommen wird und er seinen gesetzlichen Pflichten hinreichend nachkommt.

4. Lösch- und Archivierungskonzepte

Die DSGVO beinhaltet strenge Regelungen für die Speicherung personenbezogener Daten. Sie dürfen nur so lange gespeichert werden, wie es auch wirklich erforderlich ist. Die unbefugte Speicherung von personenbezogenen Daten kann einen schwerwiegenden Verstoß gegen die DSGVO darstellen und mit Bußgeldern belegt werden.

Zu beachten ist in diesem Zusammenhang jedoch, dass andere Gesetze zum Teil Aufbewahrungsfristen vorschreiben. Danach müssen Daten über einen gewissen Zeitraum gespeichert werden. Beispiele dafür lassen sich im Handelsgesetzbuch (HGB) oder in der Abgabenordnung (AO) finden.

Für Unternehmen kann es folglich schwierig sein, den Überblick über ihre gesetzlichen Verpflichtungen zur Löschung beziehungsweise Aufbewahrung zu behalten. Daher sollte jedes Unternehmen über ein Lösch- und Archivierungskonzept verfügen, das die einschlägigen Fristen festhält.

5. Informationspflichten

Spätestens mit Erhebung personenbezogener Daten müssen Betroffene über die Verarbeitung informiert werden (Art. 13 Abs. 1 DSGVO). Dies gilt gegenüber sämtlichen Betroffenen und unabhängig davon, um was für eine Verarbeitung es sich konkret handelt.

Es besteht beispielsweise eine Informationspflicht bei der Einstellung neuer Mitarbeiter, bei der Datenverarbeitung auf der Website oder bei einer Videoüberwachung im Eingangsbereich. Die Information kann dann zum Beispiel als Informationsschreiben, als Datenschutzerklärung auf der Unternehmenswebsite oder als Aushang vor dem Eingang erfolgen.

Im Rahmen dessen muss der Verantwortliche die Informationen nach Maßgabe des Art. 13 DSGVO bereitstellen. Dazu gehören insbesondere:

  • Informationen über den Verantwortlichen und dessen Datenschutzbeauftragten,
  • die Zwecke der Datenverarbeitung,
  • etwaige Empfänger der Daten,
  • Informationen über einen etwaigen Drittlandtransfer und geeignete Garantien,
  • zusätzliche Informationen, die für eine faire und transparente Verarbeitung erforderlich sind (z.B. Rechtsgrundlage, Speicherdauer, Betroffenenrechte, Freiwilligkeit der Datenbereitstellung).

Zur Erfüllung Ihrer Informationspflichten, stellen wir Ihnen mehrere kostenlose Generatoren bereit:

6. Beachtung von Betroffenenrechten

Einigen Unternehmen ist nicht bewusst, dass die Betroffenen jederzeit Auskunft des Verantwortlichen u. a. über Art, Umfang und Zweck sowie eine mögliche Weitergabe der Daten an Dritte verlangen können (Art. 15 DSGVO). Darüber hinaus regelt die DSGVO in den Art. 16 – 21 DSGVO diverse Betroffenenrechte:

Tipp: Im Schwerpunkt zu den DSGVO-Betroffenenrechten finden Sie zahlreiche Anleitungen und Vorlagen, etwa unseren Ratgeber zum Umgang mit Anfragen von Betroffenen.

7. Verpflichtung auf das Datengeheimnis

Den mit Datenverarbeitung betrauten Beschäftigten ist es verboten, personenbezogene Daten zu anderen als den erforderlichen Zwecken zu erheben, zu verarbeiten und zu nutzen. Deshalb ist bereits bei der Einstellung von Mitarbeitenden darauf zu achten, dass diese auf das Datengeheimnis verpflichtet werden. Andernfalls sollte dies unverzüglich nachgeholt werden.

Tipp: Nutzen Sie dafür einfach unsere Vorlage für eine Verpflichtungserklärung nach DSGVO.

Fazit: Betrieblicher Datenschutz ist kein Hindernis

Wenn Sie in Ihrem Unternehmen die genannten sieben Schritte wie beschrieben umsetzen, dürften Sie in Sachen Datenschutz bereits gut aufgestellt sein. Um die datenschutzrechtliche Konformität in Ihrem Unternehmen gänzlich sicherzustellen, empfehlen wir die Errichtung eines Datenschutz-Managementsystems (DSMS) und die Rücksprache mit einem Datenschutzexperten.

Datenschutz optimieren

Buchen Sie unsere Experten als externen Datenschutzbeauftragten und stärken Sie Ihre Compliance mit der DSGVO!
Verfügbarkeit prüfen

Weiterlesen

  • Datenschutz, Konzerndatenschutz

Ausschreibungen im Datenschutz

Probleme bei Ausschreibungen zum Datenschutzrecht – und wie Sie bessere Angebote von Dienstleistern bekommen, ohne in die Kostenfalle zu tappen.
  • Datenschutz

Fünf Jahre DSGVO – ein kritischer Rück- und Ausblick

Wie halten es Verantwortliche mit der Datenschutz-Grundverordnung wirklich? Was tragen Datenschutzberater dazu bei und welche Rolle spielen Aufsichtsbehörden, Gerichte und Verbraucherschützer?
  • Cookies, Datenschutz

Online-Tracking-Tools DSGVO-konform auswählen und einsetzen (Anleitung)

Worauf sollten Websitebetreiber bei Auswahl und Betrieb von Tracking-Tools achten? Ein Überblick zu den wichtigsten Datenschutz-Anforderungen von DSGVO und TTDSG.
  • Datenschutz

Datenschutz-Managementsystem im Unternehmen

So errichten, betreiben und verbessern Sie ein DSMS in Ihrem Unternehmen - Datenschutz nach dem erprobten PDCA-Modell in vier praktischen Schritten.
  • Datenschutz

Dürfen Personalausweise kopiert, gescannt oder als Pfand einbehalten werden?

Das frühere Verbot von Ausweiskopien gilt so zwar nicht mehr, aber die Vorschriften zur Ablichtung und Datenverarbeitung von Personaldokumenten machen strenge Vorgaben.
  • Beschäftigtendatenschutz, Datenschutz

E-Mails rechtssicher und datenschutzkonform archivieren

Unternehmen, die E-Mails rechtssicher und datenschutzkonform archivieren wollen, stehen vor einer mittleren Herausforderung. Denn die Aufbewahrungspflichten für E-Mails sind nicht in einem eigenen Gesetz geregelt, sondern ergeben sich aus unterschiedlichsten Rechtsquellen, die teils gegenläufige Ziele verfolgen. Während der Gesetzgeber beispielsweise aus steuerrechtlichen Gesichtspunkten ein Interesse an einer längerfristigen Aufbewahrung hat, stellt die EU-Datenschutz-Grundverordnung (DSGVO) das Gebot der Speicherbegrenzung auf. Je nach Sachverhalt ergeben sich daher verschiedene Fristen, die (auch technisch) in Einklang zu bringen sind.
Ist Ihre KI schon sicher und datenschutz­konform?

Webinar zur
ISO 42001

22. Januar 2025 (11-12 Uhr)

Jetzt anmelden!

Sichern Sie sich das Wissen unserer Experten!​

Abonnieren Sie unseren Newsletter:

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.