zuletzt aktualisiert am: 7. Juni 2021
Wenn Sie frisch einen Verein oder ein Unternehmen gegründet haben, müssen Sie sich reichlich Gedanken machen. Datenschutz ist da nur eines unter vielen Themen. Bei all den vielen Dingen, die die DSGVO vorschreibt, stellt sich oft die Frage: „Womit fange ich beim Datenschutz an?“
Vorüberlegung: „Ohje, Datenschutz – Womit fange ich an?!“
Wenn Sie mehr als 19 Mitarbeiter beschäftigen (Studenten, Praktikanten und Ehrenamtlich inklusive), die personenbezogene Daten verarbeiten, bestellen Sie einen Datenschutzbeauftragten (DSB). Ehrenamtliche zählen auch. Der oder die DSB darf entweder ein externer Dienstleister sein oder ein interner Mitarbeiter. Wichtig ist, dass er oder sie fachkundig ist und zudem der Geschäftsführung nicht nahesteht (z.B. als Führungskraft selbst über Mittel und Zwecke der Verarbeitung personenbezogener Daten entscheidet und somit einen Interessenkonflikt hat, siehe hier). Interne Mitarbeiter genießen zudem einen besonderen Kündungsschutz
Den DSB melden Sie beim Landesdatenschutzbeauftragten an. Der/ die DSB hilft Ihnen bei der Umsetzung der folgenden Schritte. Denken Sie daran, den DSB immer frühzeitig einzubinden. Denn auch für Prozesse gilt der Grundsatz „privacy by design“.
Wenn Sie weniger als 20 Mitarbeiter haben, müssen Sie keinen DSB bestellen, aber sich dennoch an die Vorgaben der DSGVO und weiterer Vorschriften halten. Wenn Sie möchten, unterstütze ich Sie gern.
Schritt 1: das Verzeichnis für Verarbeitungstätigkeiten (VVT)
Vor jeder Verarbeitung muss man zunächst die Rechtsgrundlage klären (Grundsatz der Rechtmäßigkeit). Als Rechtsgrundlage kommen nach Artikel 6 DSGVO zum Beispiel Einwilligungen in Frage, aber auch vertragliche Verpflichtungen oder gesetzliche Verpflichtungen sind möglich. Zu den Fragen „Was sind personenbezogene Daten?“ sowie „Welche Rechtsgrundlagen gibt es?“, habe ich im Artikel „Datenschutz im Verein“ schon etwas geschrieben. Die Rechtsgrundlage ist die Grundlage. Ohne einen so genannten „Erlaubnistatbestand“ ist eine Verarbeitung personenbezogener Daten grundsätzlich verboten. („Verbot mit Erlaubnisvorbehalt“)
Als nächstes muss man überprüfen, ob es eine Übermittlung gibt (Diensteister) und daraus schließen, ob man beispielsweise eine Auftragsverarbeitungsvereinbarung (AVV) oder einen Vertrag zur gemeinsamen Verantwortung schließen muss.
Und schließlich muss man prüfen, ob Risiken für die Rechte und Freiheiten der Betroffenen bestehen etc. All dies machen Sie mit dem VVT. Das VVT ist sozusagen Ihre Schaltzentrale, mit der Sie alles im Überblick haben. Die Form des VVT ist nicht vorgegeben, es muss aber alle Prozesse enthalten, bei denen personenbezogene Daten verarbeitet werden. Gerade für Vereine und kleine Betriebe bietet sich eine simple Excel-Übersicht an.
Das VVT hat mehrere Funktionen:
- Zuallererst erfüllt es die Nachweispflicht. (vgl. Art. 5 DSGV – Grundsätze der Datenverarbeitung)
- Gleichzeitig ist es die Basis für die Information nach Artikel 12 ff DSGVO (z.B. die Datenschutzerklärung auf Ihrer Website) aber auch für für das Recht der Betroffenen auf Auskunft nach Artikel 15 DSGVO (vgl. Schritt 2).
- Außerdem haben Sie einen Überblick über Ihre Auftragsverarbeiter (bzw. wo Sie schon Verträge abgeschlossen haben)
- Sie sehen auf einen Blick, ob gegebenenfalls eine Datenschutzfolgeabschätzung nötig ist und
- welche besonderen Technisch-Organisatorischen Maßnahmen (TOM) nötig sind. Idealerweise gehören hierzu die Umsetzung der Betroffenenrechte (siehe Schritt 2)
Auf Basis des VVT können Sie also ganz leicht schon Verfahrensanweisungen und Richtlinien für Ihre Mitarbeiter erarbeiten. (Besonders für Vereine bietet sich die klare Verschriftlichung an. Zum einen sind Verfahrensanweisung sogenannte Technisch-Organisatorische Maßnahmen, zum anderen erleichtern sie den flüssigen Übergang, wenn neue Ehrenamtliche Aufgaben übernehmen.)
Übrigens: Haben Sie keine Angst vor dem Begriff „Prozesse“. Ein strukturiertes Arbeiten ist wirtschaftlich und hilft Ihnen, sich auf das Wesentliche zu konzentrieren. Für viele Unternehmen war die Einführung der DSGVO daher eine gute Gelegenheit, eingefahrene Strukturen zu überdenken und effizienter zu werden.
Schritt 2: Betroffenenrechte
Jetzt, wo Sie Ihre geplanten Prozesse (Verarbeitungstätigkeiten) kennen, müssen Sie sich um die Rechte der Betroffenen kümmern. Grundsätzlich gilt: Erst Betroffene informieren, dann Prozesse ändern. Und um es Vereinen noch leichter zu machen, eine Datenschutzerklärung zu erstellen, hat der LfDI BW übrigens einen Generator erstellt: https://www.baden-wuerttemberg.datenschutz.de/ds-gvo.clever/
Die wichtigsten Rechte der Betroffenen sind:
- Information
- Auskunft
- Widerspruch
- Löschung
- Korrektur
- Datenportabilität
- Beschwerde bei einer Datenschutzbehörde
Definieren Sie also Verfahren, wie Sie mit Betroffenenanfragen (v.a. Auskunft und Widerruf von Einwilligungen) umgehen. Bedenken Sie, dass Sie z.B. für eine Auskunft eine gesetzliche Frist von lediglich einem Monat haben!
Definieren Sie in diesem Zusammenhang gleichzeitig ein Verfahren zur Bearbeitung von Datenschutz-Vorfällen („Datenpannen“). Die gesetzliche Frist von 72 Stunden erlaubt es nicht, sich erst dann Gedanken um die Vorgehensweise zu machen, wenn der Vorfall schon geschehen ist.
Übrigens: Diese Prozessvorgaben (Verfahrens-/ Dienstanweisungen) gehören zu den Technisch-Organisatorischen Maßnahmen (TOM). Diese sind ein Teil der Datenschutzmanagementsystems.
Erstellen Sie Dokumente zur Information von Kunden und Mitarbeitern (Art. 13-Informationen) sowie Mitarbeiterverpflichtungen für den Datenschutz. Die Information nach Artikel 13 darf übrigens cross-medial erfolgen. Sie dürfen in einem Brief auf die Datenschutzerklärung auf Ihrer Website verweisen. Allerdings müssen die entsprechendne Infos dann dort auch zu finden sein und nicht nur die Information für die Datenverarbeitung auf Ihrer Website enthalten.
Achtung Kinder!
Kinder sind in Deutschland ab 7 Jahren beschränkt geschäftsfähig. Verträge schließen Sie daher in der Regel mit den Eltern. Die DSGVO sieht für „Dienste der Informationsgesellschaft“ (also Apps/ Webportale) ein Einwilligungsalter von 16 Jahren vor (vgl. datenschutzkonforme Einwilligung). Darunter können Kinder nicht rechtmäßig einwilligen. Sie benötigen also immer das Einverständnis der Eltern, wenn Sie beispielsweise Fotos veröffentlichen wollen. (Andernfalls verarbeiten Sie Daten Minderjähriger ohne Rechtsgrundlage.) Auch auf Whatsapp als Kommunikationskanal sollten Sie bei unter 16-Jährigen verzichten! Zudem bestehen für Kinder besondere Rechte beim Widerruf.
Schritt 3: Datenschutzschulungen für Mitarbeiter
Die nächste TOM ist der Bereich Schulung/ Sensibilisierung. Diesen Punkt sollten Sie nicht unterschätzen.
Die größte Gefahr für Datenschutzverstöße sind tatsächlich die Mitarbeiter – meist unbewusst. Wenn Ihre Mitarbeiter/ Ehrenamtlichen nicht wissen, wie sie sich korrekt verhalten müssen, passieren zwangsläufig Fehler. Gleichzeitig helfen geschulte Mitarbeiter dabei, Fehler in Prozessen zu erkennen und nach Lösungen zu suchen. Sie müssen also nicht alles allein machen.
In diesem Zusammenhang können Sie auch gleich noch die Verpflichtung auf den Datenschutz bei Ihren Mitarbeitern abholen, falls Sie dies noch nicht bei der Einstellung getan haben. Auch Einwilligungen, z.B. für die Veröffentlichung von Mitarbeiterbildern im Internet, können jetzt eingeholt werden. (Hinweis: Verpflichten Sie Ihre Mitarbeiter immer getrennt vom Arbeitsvertrag auf den Datenschutz und die Verschwiegenheit. Diese Verträge gelten dann auch nach Beendigung des Arbeitsverhältnisses weiter.) Zum Thema „Einwilligung im Arbeitsverhältnis lesen Sie mehr im Artikel datenschutzkonforme Einwilligung.
Überlegen Sie, ob Sie einen Intranet-Bereich für den Datenschutz etablieren, in dem Sie Schulungsmaterial, Vorlagen, FAQ, Handbücher, Richtlinien etc. für Ihre Mitarbeiter bereitstellen. (vergleiche Datenschutzmanagementsystem)
Schritt 4: Website
Warum erst jetzt? Ganz einfach: Die anderen Dinge sind wichtiger – auch, wenn man sie von außen nicht sofort sieht. Gleichzeitig können Sie jetzt bequem Ihre Website nutzen, um Informationen nach Art. 13 bereitszustellen (vgl. Verzeichnis für Verarbeitungstätigkeiten)
https://jogwitz.de/last-minute-check-ist-ihre-website-dsgvo-konform/
Alternativ können Sie Ihre Website von einer Agentur erstellen lassen. Das Erstellen eines Impressums und einer DSGVO-konformen Datenschutzerklärung (DSE) gehört i.d.R. zum Leistungsumfang dazu. Bedenken Sie jedoch, dass die DSE der Agentur sich i.d.R. nur auf die Website (und nicht auf Ihre allgemeinen Geschäftsproszesse) bezieht. Diese müssten Sie ergänzen. (Das Tolle daran: Dafür benötigen Sie keinen Juristen, denn die Information soll verständlich sein 😉 Schreiben Sie also offen und klar, was Sie tun.)
Vergessen Sie nicht, Einwilligungen für Cookies (vor allem solche zum Tracking der Nutzer, wie Google Analytics oder Facebook pixels) einzuholen.
Wenn Sie Social-Media-Portale nutzen und „teilen“-Buttons verwenden, sollten Sie dies ebenfalls in der Datenschutzerklärung anführen. Aktuell ist der Einsatz von Facebook-Fanpages allerdings nicht DSGVO-konform möglich.
Schritt 5: das DSMS
Jetzt können Sie anfangen, das Datenschutzmanagmentsystem (DSMS) zu etablieren. Überprüfen Sie in diesem Zusammenhang noch einmal, ob Sie Richtlinien für Passwörter und E-Mail-Nutzung haben, ob Sie z.B. von Ihren Mitarbeitern die Einwilligung haben für die Bildveröffentlichung zu Marketingzwecken oder ob Sie die Datenschutzfolgeabschätzung zur Videoüberwachung haben, etc.
Sie sehen: Die Eingangsfrage „Ohje, Datenschutz – womit fange ich an?“ ist gar nicht so schwer… Allerdings kostet die Umsetzung in der Tat Zeit. Also arbeiten Sie im Team. Setzen Sie den Datenschutz gemeinsam auf Ihre Agenda, damit sich jeder damit identifiziert.
Obligatorischer Hinweis: Dieser Artikel ist keine Rechtsberatung.
Bildquellen
- traffic: Pixabay - 200Degrees