1 Jahr DSGVO – Haben Sie an alles gedacht?

von | Mai 28, 2019

1 Jahr DSGVO – Haben Sie an alles gedacht?

Vor gut einem Jahr ist die DSGVO in Kraft getreten und hat viele Unternehmen in Panik versetzt. Nach wenigen Wochen war der erste  Schock bereits verflogen und das Thema Datenschutz ist in vielen Köpfen in Vergessenheit geraten. Die Aufsichtsbehörden, welche die Bußgelder verhängen, fangen jedoch jetzt erst an genauer hinzusehen. Das Thema Datenschutz schleifen zu lassen, kann für Sie heute teuer werden – die DSGVO sieht Bußgelder bis zu 20 Mio. EUR vor.
Am Anfang des neuen Gesetzes war vieles unklar, vor allem die praktische Umsetzung warf viele Fragen auf. Jetzt nach gut einem Jahr sind viele Fragen geklärt.

Wir ziehen Bilanz nach einem Jahr DSGVO und zeigen Ihnen hier die wichtigsten Problemstellungen und wie Sie am besten damit umgehen. So können Sie Ihr Unternehmen vor Abmahnungen und Bußgeldern schützen und letztendlich mehr für den Datenschutz Ihrer Kunden und Mitarbeiter tun.

Die DSGVO gilt für jedes Unternehmen

Jedes Unternehmen verarbeitet in irgendeiner Art und Weise personenbezogene Daten. Das heißt die DSGVO gilt für jedes Unternehmen. Wie intensiv die Auswirkung auf das Unternehmen sind und wie groß die sich daraus ergebenden Verpflichtungen sind, hängen von der Unternehmensgröße ab.

Die Gefahren für Unternehmen

Bußgelder, die von den Aufsichtsbehörden verhängt werden, können bis zu 20 Millionen Euro oder 4% des gesamten Jahresumsatzes eines Unternehmens betragen. In Deutschland wurden bis jetzt (Stand Mai 2019) gegen 75 Unternehmen (meist mittelständische Unternehmen) Bußgelder verhängt. Ein Vielfaches mehr an Prüfverfahren wurden bereits eingeleitet, die nicht oder noch nicht zu Bußgelder geführt haben. Jedes Prüfverfahren bedeutet einen hohen Kosten- und Arbeitsaufwand für das betroffene Unternehmen. Dazu sind noch Abmahnungen aufgrund von Verstößen gegen die DSGVO von Konkurrenten möglich. Und auch die betroffenen Personen selbst können Schadensersatzansprüche gegen Unternehmen stellen, die ihre Daten in Gefahr gebracht haben.

Das Minimum

Um diese Gefahren klein zu halten, sollten mindestens folgende Bereiche Ihres Unternehmens perfekt in Sachen Datenschutz aufgestellt sein:

1. Die Datenschutzerklärungen

Datenschutzerklärungen benötigen Sie auf Ihren Webseiten und immer dann wenn Sie Daten von Personen verarbeiten. Die Datenschutzerklärung auf Ihrer Webseite ist immer einsehbar und gerade deshalb ein leichtes Opfer für Abmahnungen. Aber auch die anderen Datenschutzerklärungen gehen raus in die Öffentlichkeit. Wie viele Datenschutzerklärungen Sie benötigen, hängt von der Anzahl Ihrer Datenverarbeitungs-Prozesse ab. Als Minimum sollten Sie zumindest eine separate Datenschutzerklärungen für Ihre Webseite, den allgemeinen Kunden- / Partnerkontakt und den Bewerbungsprozess vorhalten. Selbstverständlich lässt sich dies auch zu einer großen Datenschutzerklärung zusammenfassen. Wichtig ist es, immer und überall wenn personenbezogene Daten verarbeitet werden, auf die jeweilige Datenschutzerklärung hinzuweisen! Nutzen Sie hierfür Signaturen in Ihren E-Mails, Fußzeilen in Geschäftsbriefen und Info-Felder in Ihren Social Media-Kanälen. Verlinken Sie von dort auf Ihre Datenschutzerklärungen.

Für einfache Webseiten ohne besondere Erweiterungen finden Sie im Netz Generatoren. Sollten bei Ihnen etwas ausgefallenere Datenverarbeitungsvorgänge stattfinden, ist professionelle Hilfe nötig.

2. SSL-Verschlüsselung

Nach der DSGVO müssen die Daten, die über Kontaktformulare und Verkaufsseiten (z.B. Webshops und E-Commerce) eingegeben werden, verschlüsselt sein. Man erkennt Webseiten mit Verschlüsselung am „https“ vor dem www und dem grünen Schlosssymbol im Browser. Sinnvoll ist es, die ganze Website als jedes Kontaktformular einzeln zu verschlüsseln.

3. Double-Opt-In-Verfahren

Wenn Sie Newsletter per E-Mail an Nicht-Bestandskunden versenden, benötigen Sie die Einwilligung der Empfänger. Hierfür muss das sogenannte Double-Opt-In-Verfahren (DOI) genutzt werden, in dem der Empfänger noch einmal bestätigt, den Newsletter erhalten zu möchten. Bestandskunden können Newsletter unter bestimmten Bedingungen auch ohne ein Double-Opt-In-Verfahren erhalten. Lesen Sie hierzu weitergehend unseren Artikel zum Marketingrecht. In jedem Fall sollten Sie daran denken, den Link zu Ihrer Datenschutzerklärung im Newsletter unterzubringen.

4. Hinweis im Datenschutz zu Drittanbietern wie Nutzer-Tracking, Cookies, externe Anbieter

Oft sind auf Webseiten Schnittstellen zu dritten Unternehmen integriert. Das können beispielsweise Google Analytics, Social Media-PlugIns von Facebook, Twitter & Co. oder der Youtube-Videoplayer sein. Oft reicht es, passend zu diesen Anbietern einen Hinweis in Ihrer Datenschutzerklärung einzubinden. Jedoch ist nicht garantiert, dass jede Datenverarbeitung über externe Anbieter rechtskonform ist. Hier bietet sich im Zweifelsfall die Überprüfung durch einen Datenschutzexperten an.

5. Auftragsverarbeitungsverträge

Wenn externe Unternehmen Daten für Sie verarbeiten oder Sie dies für andere tun, muss zwischen den beteiligten Parteien ein sogenannter Auftragsverarbeitungsvertrag geschlossen werden. Dazu gehören unter anderem Webhoster, bei dem Sie Ihre Webseite speichern, E-Mail-Provider, Anbieter von Newsletter-Software, Analyse-Anbieter wie Google Analytics, Webdesigner/ Webagenturen, die Zugriff auf die Daten von Kunden haben. Achtung! Beide Seiten sind für den Abschluss eines Auftragsverarbeitungsvertrages verantwortlich!

Weitergehende Maßnahmen

Die DSGVO verlangt weiterhin auch die Schulung von Mitarbeitern zum Thema Datenschutz. Auch fallen für Unternehmen umfangreiche Dokumentationspflichten an.

Sind die fünf oben genannten Punkte für Unternehmen ohne besondere Datenverarbeitungsvorgänge auch alleine noch zu bewältigen braucht es spätestens bei den Dokumentationspflichten und Schulungen Rat von Experten. Eine Möglichkeit ist es, selbst im Unternehmen Datenschutzexperten auszubilden und eigene Datenschutzbeauftragte zu bestellen. Alternativ kann es durchaus sinnvoll sein, externe Datenschutzexperten mit ins Boot zu holen – auch nur für einzelne Projekte – für welche im Unternehmen nicht die Fachkenntnisse oder die personellen Ressourcen verfügbar sind.

Der offensichtlichste Fall ist hier ein externer Datenschutzbeauftragter, der das Unternehmen dauerhaft unterstützt, berät und die Datenschutzdokumente pflegt. Einen Datenschutzbeauftragten müssen Sie bestellen, wenn sich bei Ihnen zehn oder mehr Mitarbeiter in Ihrer täglichen Arbeit mit personenbezogenen Daten befassen. Auf Projektbasis ist es in der Regel sinnvoll, die externen Kräfte für Schulungen der Mitarbeiter, Datenschutz-Audits, dem Erstellen von Datenschutz-Leitlinien oder im Vorfeld von neuen Datenverarbeitungsvorgängen ins Unternehmen zu holen.

Wir von juni.com und juni.pro bieten ein umfangreiches Leistungsportfolio rund um das Thema Datenschutz und IT-Sicherheit an. Gerne nehmen wir uns für Sie die Zeit für eine kostenlose Erstberatung. Hierbei lernen Sie uns kennen und und wir analysieren zusammen mit Ihnen, wo wir Sie und Ihr Unternehmen unterstützen können. Schreiben Sie uns einfach eine E-Mail an info@juni.com oder rufen Sie unter 069 5077 5780 an! (Die kostenlose Beratung umfasst eine telefonische oder persönliche Erstberatung von bis zu drei Stunden. Dieses Angebot richtet sich nur an Unternehmenskunden.)