Business coach man writes on the whiteboard the text: How to start. Creative idea and motivation
How to start – Datenschutz im Unternehmen Teil 1

How to start – Datenschutz im Unternehmen Teil 1

Hey there!

Es ist Zeit, über Datenschutz im Unternehmen zu reden. Schließlich befinden wir uns im digitalen Zeitalter, in dem Daten für Unternehmen von unschätzbarem Wert sind. Deshalb ist es besonders wichtig, dass wir unsere Daten und die unserer Kunden schützen.

Aber hey, keine Sorge, wir sind hier, um Euch zu helfen! Also schnallt Euch an, während wir gemeinsam erkunden, wie Ihr den Datenschutz in Eurem Unternehmen einführen könnt.

Da 10 Punkte zuviel für einen einzelnen Beitrag wären, gibts jetzt für Euch Teil 1. Teil 2 folgt in Kürze.

 

1. Website – So macht Ihr Eure Website fit für die DSGVO

1.1 Website datenschutzkonform gestalten:

Verschlüsselung ist der Schlüssel! Für eine sichere Verbindung zwischen Webbrowser und Server benötigt Ihr ein SSL-Zertifikat. Ihr erkennt eine verschlüsselte Website daran, dass die Webadresse mit „https“ anstatt „http“ beginnt. Achtet auch auf das Schlosssymbol in der Browserleiste. Eine SSL-Verschlüsselung bietet nicht nur bessere Google-Rankings, sondern sorgt auch dafür, dass Besucher sicher auf Eurer Website surfen können. Besonders wichtig ist dies bei Websites mit Kreditkartentransaktionen, Logins oder Datentransfers. Die Aktivierung eines SSL-Zertifikats ist einfach und kann vom Websitehost durchgeführt werden. Falls Ihr ein SSL-Zertifikat benötigt, schaut doch mal auf der Website unseres Mutterunternehmens, der PSW GROUP, vorbei 👇

➡️ https://www.psw-group.de/

1.2 Cookie-Banner aktivieren:

Ihr kennt sie wahrscheinlich schon – die Cookie-Banner auf Websites. Cookies sind kleine Informationshappen, die beim Besuch einer Website gespeichert werden. Sie erleichtern die Eingabe von Login-Daten auf Websites, die immer wieder aufgerufen werden! Laut Datenschutzgrundverordnung (DSGVO) benötigt jeder Webseitenbetreiber die Zustimmung des Nutzers, Cookies zu speichern. Daher wird die Einwilligung häufig zu Beginn des Besuchs in Bannern abgefragt.

Ein effektiver Cookie-Banner ist benutzerfreundlich, leicht verständlich und leicht auffindbar.

Er enthält

  • klare Informationen über die Verwendung von Cookies
  • bietet einfache Optionen zur Zustimmung oder Ablehnung
  • die Verbindung zu Drittanbietern wird unterbunden, bis die Zustimmung erteilt wird.

Selbst wenn der Nutzer ablehnt, sollte er weiterhin auf der Website surfen können.

1.3 Achtet auf Social Media Plugins und eingebettete Videos:

Viele Webseiten nutzen Plugins und Videos sozialer Medien. Für personalisierte Werbung werden oft unbemerkt persönliche Daten gesammelt! Während Facebook Pixel verboten ist, sind Social Media Plugins erlaubt.

Die magische Lösung zur rechtssicheren Einbindung von Social Media Plugins: Die Zwei-Klick-Lösung! Klingt schon vielversprechend, oder? Ziel ist es, dem Nutzer die Kontrolle über seine Daten zu geben, so dass der Nutzer in der Lage ist, seine Daten selbst zu verwalten und die Kontrolle darüber zu haben.

Bei der Zwei-Klick-Lösung sind die Social Media Buttons zunächst deaktiviert, also grau und unscheinbar. Erst wenn der Nutzer bewusst darauf klickt, werden sie aktiviert und erstrahlen in bunten Farben. Das Aktivieren der Buttons ermöglicht dann das Laden von externen Inhalten und die Datenübermittlung an die Plattformbetreiber.

Nun der spannende Teil!

Die Datenübermittlung erfolgt erst, wenn der Nutzer ein zweites Mal auf den Button klickt. Zum Beispiel, um ein ‚Gefällt mir‘ zu hinterlassen. Der Nutzer hat somit die volle Kontrolle und entscheidet selbst, ob er seine persönlichen Daten weitergeben möchte oder nicht. Auf diese Weise wird sichergestellt, dass keine Daten ohne Zustimmung des Nutzers an die sozialen Netzwerke übertragen werden.

Beachtet jedoch, dass in der Datenschutzerklärung auf die Weitergabe von Nutzerdaten an Dritte durch die Plugins hingewiesen wird.

1.4 Kontrolliert Eure Kontaktformulare:

Kontaktformulare sind heute auf vielen Websites zu finden. Dabei ist es wichtig, dass die Nutzer der Datenschutzerklärung zustimmen, bevor sie personenbezogene Daten angeben. Eine kleine Box zum Ankreuzen ist ideal, aber vergesst nicht, sie leer zu lassen. Fragt nur nach den erforderlichen Daten (das kann in der Regel nur die E-Mail-Adresse und ggf. der Name sein) und markiert diese als Pflichtfelder. Kombiniert mit einem SSL-Zertifikat können persönliche Daten sicher übertragen werden. Achtet auch darauf, dass das Kontaktformular im Verzeichnis der Verarbeitungstätigkeiten (mehr dazu unter Punkt 6) aufgeführt ist.

1.5 Aktualisiert Eure Datenschutzerklärung:

Eine Datenschutzerklärung muss auf jeder Website vorhanden sein, die personenbezogene Daten verarbeitet. Sie sollte von jeder Unterseite aus zugänglich sein, beispielsweise über die Fußzeile.

Die Datenschutzerklärung sollte klar, verständlich und leicht zugänglich sein.

Sie sollte Informationen zu folgenden Punkten enthalten:

  • Art der gesammelten Daten
  • Zwecke der Datenverarbeitung
  • Rechtsgrundlage für die Verarbeitung
  • Datenübertragung an Dritte
  • Speicherdauer der Daten

Es empfiehlt sich, die Datenschutzerklärung regelmäßig zu überprüfen und zu aktualisieren. Auf diese Weise wird sichergestellt, dass sie den aktuellen rechtlichen und technischen Anforderungen entspricht.

1.6 Überprüft Euren Newsletter:

Wenn Ihr auf Eurer Website einen Newsletter anbietet, schließt einen Auftragsverarbeitungsvertrag  mit dem Anbieter (wenn dies extern geschieht)  ab. Beschreibt im Anmeldeformular den Zweck des Newsletters und verlinkt eure Datenschutzerklärung. Verwendet das Double-Opt-In-Verfahren, bei dem Nutzer ihre E-Mail-Adresse durch einen Bestätigungslink verifizieren müssen.

1.7 Checkt Google Analytics und andere Statistik-Tools:

Wenn Ihr ein Statistik-Tool wie Google Analytics verwendet: Achtet darauf, dass dies in der Datenschutzerklärung erwähnt wird. Gebt den Nutzern die Möglichkeit, sich vom Tracking auszuschließen. Achtet darauf, dass IP-Adressen anonymisiert werden. Schließt auch einen Zusatz zur Datenverarbeitung mit Google ab. Die beste Lösung wäre jedoch, ein datenschutzfreundlicheres Tool zu verwenden, wie zum Beispiel Matomo.

Bindet außerdem Google Fonds (Schriftarten von Google) lokal ein. So vermeidet Ihr Abmahnungen!

Wenn Ihr checken wollt, ob Eure Website datenschutzkonform ist, dann schaut doch mal in unseren anderen Blogbeitrag rein. Wir stellen Euch ein paar kostenlose Tools vor, mit denen Ihr Eure Website selbst testen könnt 😉 👇

How to… check your website? Kostenlose Tools zum Website-Check

2. Follow the Rules! – Leit- und Richtlinien im Unternehmen

Bei der Umsetzung der Vorgaben der DSGVO ist eine strukturierte Vorgehensweise im Umgang mit den Aufsichtsbehörden erforderlich. Es sollte erkennbar sein, dass die gesetzlich vorgeschriebenen Datenschutzmaßnahmen geplant, umgesetzt und regelmäßig bewertet sowie gegebenenfalls angepasst werden.

Leitlinien beschreiben in groben Zügen die Ziele einer Organisation in Bezug auf den Datenschutz, während Richtlinien den Rahmen für die Umsetzung konkreter Maßnahmen zur Erreichung dieser Ziele vorgeben.

Hier ein Überblick, welche Leit- und Richtlinien wichtig sind:

  • Leitlinie zu Datenschutz und Informationssicherheit
  • Richtlinie zum Datenschutz (für Beschäftigte)
  • Richtlinie zur Umsetzung von Datenschutzmaßnahmen
  • Richtlinie für die Umsetzung von Betroffenenrechten
  • IT-Richtlinie für Nutzer
  • Richtlinie für verwendete Speicherorte
  • Richtlinie für die Nutzung mobiler IT-Systeme
  • Richtlinie für die Nutzung mobiler Datenträger
  • Richtlinie Regelungen für Lieferanten und sonstige Auftragnehmer
  • Richtlinie für Störungen und Ausfälle
  • Richtlinie für Sicherheitsvorfälle
  • Notfallplan

Die Erstellung von Leit- und Richtlinien ist das A und O, um das Datenschutzmanagement zu dokumentieren. Dabei geben Leitlinien, als „Herzstück“, die gesetzten Datenschutzziele der Unternehmensführung vor. Sie machen die Bedeutung des Datenschutzes für das Unternehmen deutlich und verpflichten die Belegschaft auf die Einhaltung der Datenschutzvorgaben. Die auf die Leitlinien aufbauenden Richtlinien setzen den Rahmen für die tatsächlichen Umsetzungsmaßnahmen.

3. Online-Tools & externe Dienstleister – Was müsst Ihr beachten?

Einfacher Zugriff auf neue Onlinedienste und Tools macht es verlockend, diese ohne große Überlegungen einzusetzen. Eine vernachlässigte Datenschutzüberprüfung kann jedoch zu Bußgeldern führen. Es ist wichtig, darauf zu achten.

Um Strafen zu vermeiden, könnt Ihr vor der Nutzung neuer Dienste eine Datenschutzprüfung durchführen. Hier sind einige Tipps dafür:

Prüfen und Protokollieren oder Bußgeld riskieren – so lautet die Devise. Datenschutz ist komplex und die Rechtslage oft unklar. Datenschützer würden gerne Plattformen wie Facebook, WhatsApp, Microsoft Teams, Dropbox, Google Analytics oder AWS verbieten. Doch ein Verbot ist nicht einfach ohne die Zustimmung der Gerichte möglich.

Trotz dieser Unklarheiten sollte die Datenschutzprüfung nicht vernachlässigt werden. Im Gegenteil, es besteht eine Pflicht zur Vorprüfung und Dokumentation (gemäß § 5 Abs. 1 und 2, Art. 25 Abs. 1 und 32 Abs. 1 DSGVO). Auch wenn die Rechtslage unsicher ist und sich eine Prüfung als fehlerhaft herausstellen sollte, wird die Wahrscheinlichkeit einer Bußgeldstrafe geringer sein als bei einer Unterlassung der Prüfung.

Datenschutzprüfung

Die folgenden Fragen sollen Euch helfen, die Überprüfung von Dienstleistern einfacher zu machen und um nachweisen zu können, dass Ihr dem Datenschutz die nötige Aufmerksamkeit schenkt. Im Mittelpunkt steht dabei die Prüfung, ob der Einsatz des Dienstleisters wirklich notwendig ist.

3.1 Verarbeitet der Dienstleister Daten von Personen?

Daten sind Informationen, die Rückschlüsse auf eine bestimmte Person zulassen. Das betrifft nicht nur Klardaten wie Namen oder E-Mail-Adressen, sondern auch pseudonyme Kennzeichen wie IP-Adressen oder IDs, die zusammen mit anderen Informationen auf eine Person hinweisen können.

Wenn die Antwort „nein“ ist, ist keine weitere Prüfung nötig.

Wenn die Antwort „ja“ ist, erklärt bitte, welche Arten von Daten (z.B. Name, Adresse, Kontaktinformationen, inhaltliche Informationen, Verhaltensdaten) verarbeitet werden.

3.2 Warum wird der Dienst benötigt?

(z.B. mit Kunden kommunizieren, vertragliche Verpflichtungen erfüllen, Marketingaktivitäten)

3.3 Kann der Zweck auch ohne den Dienst erreicht werden?

Wenn nicht, warum nicht? (z.B. fehlende Fachkenntnisse, höhere technische Sicherheit, Benutzerfreundlichkeit usw.)

3.4 Bietet der Dienst einen Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO oder eine Vereinbarung zur gemeinsamen Verantwortlichkeit gemäß Art. 26 DSGVO an?

(Im Falle der Auslagerung von Teilen der Datenverarbeitung an Dritte (Auftragsverarbeiter) ist gemäß Art. 28 Abs. 3 DSGVO der Abschluss eines Vertrags oder eines anderen Rechtsakts mit dem Auftragsverarbeiter erforderlich.)

Wenn ja, Verlinkung und Speicherung der Dokumente bzw. Abschluss der notwendigen Verträge.

Wenn Ihr es nicht wisst, fragt beim Dienst nach.

3.5 Verarbeitet der Dienst personenbezogene Daten außerhalb der EU (in sogenannten Drittländern), hat er seinen Sitz außerhalb der EU oder arbeitet er mit Unterauftragnehmern zusammen, die in Drittländern tätig sind?

Wenn ja, gibt es keine Alternativen in der EU?

Wenn ja, nennen Sie mögliche Alternativen und warum diese ungeeignet sind (z.B. höhere Kosten, geringere Zielgruppenreichweite, etc.).

Für den Fall, dass keine geeigneten Alternativen zur Verfügung stehen, ist das Datenschutzniveau im Drittland gewährleistet? (Die DSGVO verbietet die Übermittlung von Daten in Drittländer, wenn das Datenschutzniveau nicht gewährleistet ist oder bestimmte Ausnahmen vorliegen):

  • Angemessenheitsbeschluss – Die EU-Kommission hat einige Länder als angemessen im Datenschutz eingestuft, wie die Schweiz, Neuseeland, Andorra, Argentinien, die Färöer, Guernsey, Japan und im Wesentlichen Kanada und Israel. Für die USA gibt es seit Juli 2023 das sogenannte TransAtlantic Data Privacy Framework. US-Anbieter können sich seitdem unter dem Framework (DPF) zertifizieren lassen.
  • Standard Contractual Clauses (SCC) – Diese Standardvertragsklauseln verpflichten den Vertragspartner dazu, das europäische Datenschutzniveau einzuhalten. Sie erlauben die Übermittlung von Daten aber nur, wenn das Datenschutzniveau tatsächlich gewährleistet ist. Das bedeutet, dass Ihr vor allem Anbieter aus Drittländern ohne Angemessenheitsbeschluss fragen müsst, wie sie die von Euch verarbeiteten Daten schützen.
  • Binding Corporate Rules – Unternehmen können auch eigene verbindliche Datenschutzregeln festlegen. Diese Alternative ist jedoch selten, da eine externe Zertifizierung oder Prüfung erforderlich wäre, um Daten in Drittländer zu übertragen (ähnlich wie bei den Standardvertragsklauseln).
  • Erforderliche Datenübermittlungen – Wenn die Übermittlung oder Verarbeitung der Daten in Drittländern erforderlich und für die Betroffenen erkennbar ist, darf sie erfolgen (z.B. wenn eine Reise in die USA gebucht oder eine E-Mail in die USA gesendet wird).
  • Einwilligungen – Als letzte Möglichkeit bleiben praktisch nur die Einwilligungen der betroffenen Personen. Diese sind jedoch umständlich und können leicht an mangelnder Transparenz, ausdrücklicher Zustimmung oder fehlender Freiwilligkeit scheitern (z.B. bei Arbeitnehmern gemäß Art. 26 DSGVO) oder aufgrund fehlender Einwilligungsfähigkeit (in Deutschland ab 16 Jahren, in Österreich ab 14 Jahren gemäß Art. 8 Abs. 3 DSGVO). Außerdem müsst Ihr die Einwilligenden auch über die Risiken informieren, was dramatisch klingen kann.

3.6 Bietet der Dienst Einstellungs- oder Auswahlmöglichkeiten, um die Datenverarbeitung einzuschränken und sicherer zu machen?

Wenn ja, welche Optionen gibt es und warum sollten diese nicht gewählt werden?

Bei Diensten aus Drittländern:

  • Datenverarbeitung auf Servern in der EU
  • Anonymisierung von Daten (z.B. Kürzung von IP-Adressen)
  • Festlegung kurzer Aufbewahrungsfristen
  • Verwendung von Verschlüsselungsmethoden
  • Zwei-Faktor-Authentifizierung
  • etc.

 

4. Informationspflichten – Was müsst Ihr wem mitteilen?

 

Die umfangreichen Informationspflichten für Verantwortliche sind ein wichtiger Bestandteil der DSGVO. Gemäß Artikel 13 und 14 DSGVO müssen Betroffene bei der Datenerhebung „über zwölf verschiedene Informationen“ informiert werden. Diese Informationspflicht gilt sogar dann, wenn die Daten nicht direkt bei der betroffenen Person erhoben werden, sondern von einer anderen Stelle kommen. Es gibt jedoch Ausnahmen, zum Beispiel wenn die betroffene Person bereits über die Informationen verfügt oder es unzumutbar ist, die Informationspflicht umzusetzen.

Der Zeitpunkt, zu dem die Informationen mitgeteilt werden müssen, hängt davon ab, wo die personenbezogenen Daten erhoben werden:

  • Wenn die Daten bei der betroffenen Person selbst erhoben werden, müssen die Informationen zum Zeitpunkt der Erhebung gegeben werden. Das bedeutet, dass die Informationen vor der Datenerhebung mitgeteilt werden müssen.
  • Werden die Daten von einer anderen Stelle erhoben, sind die Informationen schnellstmöglich, spätestens innerhalb eines Monats, mitzuteilen.

In der Praxis können die meisten Informationspflichten mit Hilfe von drei Standardformularen erfüllt werden:

  1. Datenschutzhinweise vor Vertragsschluss: Hier werden die Betroffenen über die Verarbeitung ihrer Daten informiert, die für einen Vertragsabschluss notwendig ist. Diese Informationen solltet Ihr dem Kunden vor Vertragsabschluss und vor der Datenerhebung (z.B. durch das Ausfüllen eines Formulars) mitteilen.
  1. Datenschutzerklärung auf der Website: Durch eine Datenschutzerklärung auf Eurer Website informiert Ihr Besucher über die Verarbeitung ihrer personenbezogenen Daten beim Besuch Eurer Website. Die Datenschutzerklärung sollte von jeder Unterseite Eurer Website aus mit einem Klick erreichbar sein, zum Beispiel durch einen Link im Footer.
  1. Informationsschreiben für Mitarbeiter: Da nicht nur Kundendaten, sondern auch Mitarbeiterdaten verarbeitet werden, müssen die Mitarbeiter über die Datenverarbeitung informiert werden.

Die Informationsschreiben sollten klar und verständlich verfasst sein, gemäß Artikel 12 Absatz 1 der DSGVO.

Es genügt, dass die Betroffenen die Informationen zur Kenntnis nehmen. Eine ausdrückliche Einwilligung ist nicht erforderlich. Es ist jedoch sinnvoll, zumindest von Kunden und Mitarbeitern eine Bestätigung über die Kenntnisnahme einzuholen, um dies zu dokumentieren. Dies kann beispielsweise durch ein leeres Formularfeld oder eine gesonderte Erklärung erfolgen.

5. Datenschutzbeauftragter – Braucht man überhaupt einen?

Ein Datenschutzbeauftragter kann eine wichtige Rolle spielen, um sicherzustellen, dass Euer Unternehmen die DSGVO-Vorschriften einhält.

5.1 Pflicht zur Ernennung eines Datenschutzbeauftragten

Ihr müsst einen Datenschutzbeauftragten ernennen, wenn einer der folgenden Punkte auf Euer Unternehmen zutrifft:

  • Die Haupttätigkeit Eures Unternehmens ist die Überwachung von Daten in großem Umfang und regelmäßig von betroffenen Personen.
  • Die Haupttätigkeit Eures Unternehmens besteht in der Verarbeitung von sensiblen Daten in großem Umfang in Übereinstimmung mit den Anforderungen der DSGVO.
  • In Eurem Unternehmen sind mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt.
  • In Eurem Unternehmen werden Datenverarbeitungen durchgeführt, die einer Datenschutzfolgenabschätzung gemäß Artikel 35 der DSGVO unterliegen.
  • Euer Unternehmen verarbeitet personenbezogene Daten für geschäftsmäßige Datenübermittlung oder Markt- und Meinungsforschung.

5.2 Persönliche Qualifikationen eines Datenschutzbeauftragten

Ein Datenschutzbeauftragter muss über ausreichendes Fachwissen im Datenschutzrecht verfügen. Es kann entweder eine externe Person sein oder ein Mitarbeiter Eures Unternehmens, solange dieser keine Interessenkonflikte hat.

5.3 Rolle des Datenschutzbeauftragten

Bei der Ernennung eines Datenschutzbeauftragten ist dieser mit den erforderlichen Ressourcen auszustatten und bei der Erfüllung seiner Aufgaben zu unterstützen. Ihr dürft ihm keine Anweisungen im Bereich des Datenschutzes geben. Der Datenschutzbeauftragte berät Euch bei der Umsetzung der DSGVO und überwacht deren Einhaltung. Er arbeitet auch mit der Aufsichtsbehörde zusammen.

Wenn Ihr einen Datenschutzbeauftragten ernannt habt, müsst Ihr ihn bei der für Euch zuständigen Aufsichtsbehörde anmelden.

 

Seid gespannt auf den zweiten Teil 😉

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert