Der IVD appelliert deshalb an alle Unternehmer, die DSGVO ordentlich umzusetzen und zu prüfen, ob die bislang getroffenen Maßnahmen genügen. Die folgende Checkliste mit sieben wichtigen Punkten zur Umsetzung der DSGVO soll helfen und den Unternehmern Sicherheit geben.
Top-7-Checkliste DSGVO
1. Datenerhebung auf der Website
Wenn auf der Website personenbezogene Daten erhoben werden (mittels eines Kontaktformulars, Social-Media-Plugins, wie Facebook o. ä.), sollten mehrere Anpassungen vorgenommen werden: In der Website sollte zur Sicherheit ein SSL-Zertifikat integriert werden (https://). SSL dient der Verschlüsselung von Daten, die zwischen Server und Computer transportiert werden.
Außerdem muss auf der Website eine Datenschutzerklärung eingebunden sein (§ 13 Telemediengesetz). Wird nicht auf eine Datenschutzerklärung hingewiesen, kann dies von Verbraucherschutz- und Wettbewerbsverbänden abgemahnt werden.
Ob Abmahnungen von Mitbewerbern zulässig sind, ist noch nicht abschließend in der Rechtsprechung geklärt. Zudem sollten die Web- bzw. Kontaktformulare geprüft werden, ob die darin geforderten Daten notwendig sind.
2. IT-Sicherheit
Neben der Website sollte auch die übrige IT sicher sein. Im Regelfall sind insbesondere bei kleineren Unternehmen, die keine besonderen Daten, wie zum Beispiel Gesundheitsdaten verarbeiten, Standardmaßnahmen ausreichend. Dazu gehören u. a. aktuelle Betriebssysteme und Anwendungen, Passwortschutz, regelmäßige Backups, Virenscanner und Benutzerrechte.
Für den Schutz nicht elektronisch gespeicherter Daten sollte auch ein Aktenvernichter vorhanden sein. Tipp: Erstellen Sie eine Übersicht, welche technischen Maßnahmen Sie ergriffen haben, um Transparenz im eigenen Unternehmen herzustellen und um auf eine Überprüfung durch den Landesdatenschutzbeauftragten entsprechend vorbereitet zu sein.
3. Verzeichnis über Verarbeitungstätigkeit
Erstellen Sie ein Verzeichnis über Verarbeitungstätigkeiten. Hierin ist abstrakt darzulegen, inwiefern und welche personenbezogenen Daten wofür verarbeitet werden. Die Verzeichnisse müssen der Behörde auf Nachfrage vorgelegt werden können.
Kunden haben hierauf keinen Anspruch. Tipp: Erstellen Sie für jede Tätigkeit (z. B. Umgang mit Kunden, Dienstleistern, Bewerbern und Personal) ein eigenes Verzeichnis, um die Übersichtlichkeit zu wahren. Muster finden sich im Internet.
4. Datenerhebung nur noch aufgrund einer Rechtsgrundlage
Oftmals liest man, dass eine Datenerhebung nur aufgrund einer Einwilligung des Betroffenen möglich ist. Das stimmt nur teilweise. Denn es gibt noch weitere Rechtsgrundlagen, auf denen eine Datenerhebung zulässig ist.
Nach Art. 6 Abs. 1 lit. b) DSGVO ist die Verarbeitung personenbezogener Daten für die Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen rechtmäßig. Dies ist beispielsweise dann der Fall, wenn die Datenverarbeitung aufgrund einer Interessentenanfrage erfolgt.
5. Transparenz herstellen
Neue Kunden müssen darüber informiert werden, welche Daten wofür gespeichert werden. Dies erfolgt in einer abstrakten Darstellung. Der Erhalt des Informationsblattes muss nicht gegengezeichnet werden.
Erfolgen die Informationen nicht, hat dies keine zivilrechtlichen Auswirkung auf den möglichen Vertrag. Tipp: Im Internet finden sich Musterinformationsblätter. Sicherer ist es, einen Experten mit der Erstellung zu beauftragen. Die Kosten sind moderat.
6. Erforderlichkeit eines Datenschutzbeauftragten prüfen
Ein Datenschutzbeauftragter ist erforderlich, wenn 10 oder mehr Personen ständig mit der automatisierten Datenverarbeitung befasst sind. Es kann ein in- oder externer Datenschutzbeauftragter benannt werden. Fällt die Wahl auf einen internen, sollten folgende Voraussetzungen erfüllt sein:
Eine gewisse berufliche Qualifikation, das Fachwissen auf dem Gebiet des Datenschutzes und der Datenschutzpraxis, die Fähigkeiten zur Erfüllung der gesetzlich definierten Aufgaben und Interessenkonfliktfreiheit.
7. Newslettermarketing
Haben Sie einen Newsletter, sollte dieser nicht ohne vorherige Einwilligung versendet werden. Folgende Voraussetzungen sollten Sie erfüllen:
Die Einwilligung muss durch eine ausdrückliche Handlung des Adressaten (bewusst und eindeutig) erfolgen (z. B. mittels Opt-In Checkbox oder Bestellbutton).
Die Einwilligung des Adressaten muss protokolliert werden (Logfiles). Zusätzlich könnte zur Beweissicherung das double Opt-In-Verfahren verwendet werden (Opt-In Bestellung + Opt-In mittels Bestätigungsmail, dass Newsletter bestellt werden soll). Der Inhalt der Einwilligungserklärung muss jederzeit für den Adressaten abrufbar sein (Datenschutzerklärung).
Zudem muss der Adressat nach § 13 Abs. 3 TMG vor Erklärung seiner Einwilligung auf die jederzeitige Widerrufsmöglichkeit (Abbestellmöglichkeit) hingewiesen werden.