Nachdem die erste Welle der „Panik“ um das Thema Datenschutz wieder langsam abebbt, möchte ich pünktlich zur Rückkehr aus dem Sommerurlaub noch einmal die fünf Maßnahmen beleuchten, die jede/r Unternehmer/in treffen und im besten Fall schon getroffen haben sollte. Genau, es sind nur fünf Maßnahmen und diese sind absolut zu schaffen! 🙂 Packen wir‘s an:

I. Verarbeitungsverzeichnis – schaffen Sie Transparenz!

Als Unternehmer/in sind Sie gesetzlich dazu verpflichtet, ein Verzeichnis über Ihre Verarbeitungstätigkeiten von personenbezogenen Daten zu führen. Dies hat für Sie den Vorteil, dass Sie ständige Klarheit und Transparenz für sich selbst darüber haben, an welchen Schnittstellen Sie es mit dem Thema Datenschutz zu tun haben. Und natürlich können Sie bei etwaigen Kontrollen der Aufsichtsbehörde in Zukunft stets zuverlässig darüber Auskunft erteilen (und erfüllen damit Ihre gesetzliche Pflicht).
Sie wissen nicht genau, wie so etwas aussehen sollte? Schauen Sie mal in die Musterexemplare auf den Seiten der verschiedenen Landesdatenschutzbeauftragten der Länder.

II. Auftragsverarbeitungsvertrag bei der Einbindung Externer – sichern Sie sich gut ab!

Sollten Sie beim Eintragen Ihrer Prozesse in das Verarbeitungsverzeichnis bemerken, dass Daten Ihrer Kunden, Geschäftspartner oder Mitarbeiter nicht nur von Ihnen, sondern auch von einem externen Dienstleister in Ihrem Auftrag für Sie (=Auftragsverarbeiter) verarbeitet werden, ist es an der Zeit, einen Auftragsverarbeitungsvertrag zu schließen. Dies hat für Sie den Vorteil, dass über Ihren üblichen Vertragsinhalt mit dem externen Dienstleister hinaus auch noch sein Umgang mit Ihren (Kunden)daten vertraglich geregelt wird. Dies ist deshalb für Sie von großem Interesse, da Sie für den ordnungsgemäßen Umgang mit Ihren Kundendaten durch den Externen haften!
Wie sieht das in der Praxis aus? Ein Auftragsverarbeitungsvertrag räumt Ihnen gewisse Kontrollrechte bei Ihrem externen Serviceerbringer ein, sodass Sie durch regelmäßige stichprobenartige Überprüfungen stets den Überblick über dessen Tun behalten.
Lesen Sie dazu mehr in meinem Sonderbeitrag zum Thema „Externe Dienstleiter außerhalb der EU: Was passiert, wenn meine Daten europäische Grenzen überschreiten?“

III. Datenschutzbeauftragter – kompetent beraten zu sein ist die halbe Miete!

Zu Beginn dieses Abschnitts dürfen Sie sich selbst eine Frage beantworten. Lautet die Antwort darauf „Nein“, gehen Sie einfach weiter zu Punkt IV. Lautet die Antwort „Ja“, sollten Sie einen Datenschutzbeauftragten engagieren- intern, indem Sie einen Mitarbeiter benennen und mit dieser Aufgabe betrauen oder extern, indem Sie einen kompetenten selbständigen Berater damit beauftragen.

Und nun zur Frage: „Sind in Ihrem Unternehmen mindestens 10 Mitarbeiter mit der automatisierten Verarbeitung von personenbezogenen Daten aller Art (von Kunden, Geschäftspartnern, Mitarbeitern) regelmäßig betraut?“

Lautet Ihre Antwort hier „Nein“, empfehle ich an dieser Stelle zu „IV.“ zu springen.

Lautet Ihre Antwort hier „Ja“, lesen Sie noch ein bisschen weiter:
Ein Datenschutzbeauftragter hat im Wesentlichen zwei Aufgaben. Zum Einen berät er das Unternehmen in allen datenschutzrechtlichen Angelegenheiten, zum Anderen schult er die Mitarbeiter des Unternehmens, um den Datenschutz flächendeckend sicherzustellen.
Da der Datenschutzbeauftragte zugleich eine beratende wie auch eine kontrollierende Funktion inne hat, sind folgende Personen nicht dafür geeignet: Geschäftsführer, IT-Administratoren, Personalleiter und Personen auf Führungsebene mit Verantwortung für die Datenverarbeitung. Kurz: Alle Personen, die mit der kontrollierenden Funktion im Interessenkonflikt stehen würden.
Eine Liste von kompetenten und zertifizierten externen Datenschutzbeauftragten finden Sie zudem auf der Homepage des Berufsverbands der Datenschutzbeauftragten in Deutschland, dem BvD.

IV. Datenschutzerklärung- Ihr Aushängeschild nach Außen!

Oft werde ich in meiner Tätigkeit als Beraterin für Datenschutz gefragt „Hand auf‘s Herz, wer liest denn schon das Kleingedruckte von Anfang bis Ende?“.
Ich formuliere das Kleingedruckte auf Wunsch für meine Kunden, dabei können Details große Unterschiede machen. Warum das so wichtig ist?
Eine Datenschutzerklärung informiert Ihre Kunden, Geschäftspartner und Mitarbeiter darüber, wie ernst Sie es mit dem Thema Schutz der Daten anderer Menschen meinen. Inhaltlich sollte eine Datenschutzerklärung Informationen darüber enthalten wann, auf welche Art und Weise, wieso und für wie lange Sie personenbezogene Daten speichern oder in anderer Form verarbeiten, daneben auch welche Rechte die Personen haben, die davon betroffen sind. Signalisieren Sie nach Außen, dass Sie rechtskonform arbeiten, man wird es Ihnen danken und Ihnen dafür Vertrauen entgegenbringen.

Wirksam wird die Datenschutzerklärung, wenn sie einmal geschrieben ist, dann ganz allein dadurch, dass die betroffene Person die Möglichkeit der Kenntnisnahme hat. Dazu können sie diese auf Ihrer Homepage veröffentlichen, wenn Ihr üblicher Geschäftsverkehr auf elektronischem Wege verläuft und Ihre Homepage einbezieht. Sollte sich der übliche Geschäftsverkehr nur auf den Postverkehr beschränken, lassen Sie Ihrem Gegenüber Ihre Datenschutzerklärung ein Mal auf diesem Wege zukommen.

V. Last but not least: Rechtsgrundlagen für die Datenverarbeitung

Überprüfen Sie Ihre Verträge noch einmal unter datenschutzrechtlichen Gesichtspunkten!
Sind für Ihr Tätigwerden die erforderlichen Voraussetzungen erfüllt? Das Datenschutzrecht nach der europäischen Datenschutzgrundverordnung, die auch maßgeblich das Bundesdatenschutzgesetz in seiner neuesten Fassung beeinflusst hat, ist ein „Verbot mit Erlaubnisvorbehalt“.

Danach ist jegliche Datenverarbeitung grundsätzlich verboten, es sei denn eine von zwei Ausnahmen greift.

Ausnahme Nr. 1: Die betroffene Person hat in die Datenverarbeitung eingewilligt.
Ausnahme Nr. 2: Das Gesetz erlaubt die Datenverarbeitung. (Die verschiedenen Erlaubnistatsbestände nennt Art. 6 EU-DSGVO).

Daher sollten Sie sich nun hinsichtlich Ihrer bestehenden Verträge und Geschäftsbeziehungen fragen, ob Sie für all Ihre Datenverarbeitungstätigkeiten eine gültige Rechtsgrundlage durch Gesetz oder durch schon erteilte Einwilligungen haben oder ob Sie noch Einwilligungen einholen müssen.
An die Wirksamkeit einer Einwilligung sind besondere Voraussetzungen gestellt- lesen Sie dazu mehr in meinem Beitrag „Voraussetzungen einer wirksamen Einwilligung in die Datenverarbeitung“.

(VI. Datenschutzfolgenabschätzung)

Eine Datenschutzfolgenabschätzung gehört meines Erachtens nicht mehr zum „kleinen Einmaleins im Datenschutz“, sondern vielmehr zum großen. Eine solche soll die Gefahren für die Rechte und Schutzgüter des Einzelnen im Falle einer Datenpanne (=Datenschutzverletzung) in der Zukunft prognostizieren. Dies dient dazu, schon vorab im Unternehmen oder in der Behörde Prozesse aufsetzen und Handlungsstrategien zurechtlegen zu können und diese ggf. auch der Aufsichtsbehörde vorlegen zu können. Eine Rechtsfolgenabschätzung ist jedoch nur im Umgang mit besonders sensiblen Daten angezeigt. Dies ist zum Beispiel bei personenbezogenen Daten über strafrechtliche Verurteilungen oder eine Straftat der Fall.

Ich wünsche Ihnen bei der Umsetzung viel Erfolg, aber vor allem Spaß! Denn Datenschutz geht uns alle an.

(Dieser Artikel erhebt keinen Anspruch auf Vollständigkeit oder Richtigkeit und ist lediglich als Anregung gedacht, sorgsam mit dem Thema Datenschutz umzugehen. Er ersetzt auch nicht die individuelle Beratung durch eine/n kompetente/n Datenschutzberater/in- oder beauftragte/n).