Datenschutz – womit fange ich an?

Wenn Sie frisch einen Verein oder ein Unternehmen gegründet haben, müssen Sie sich reichlich Gedanken machen. Datenschutz ist da nur eines unter vielen Themen. Bei all den vielen Dingen, die die DSGVO vorschreibt, stellt sich oft die Frage: “Womit fange ich beim Datenschutz an?”

Vorüberlegung

Wenn Sie mehr als 19 Mitarbeiter beschäftigen (Studenten, Praktikanten und Ehrenamtlich inklusive), die personenbezogene Daten verarbeiten, bestellen Sie einen Datenschutzbeauftragten (DSB). Ehrenamtliche zählen auch. Den DSB melden Sie beim Landesdatenschutzbeauftragten an. Der DSB hilft Ihnen bei der Umsetzung der folgenden Schritte. Denken Sie daran, den DSB immer frühzeitig einzubinden. Auch für Prozesse gilt der Grundsatz “privacy by design”.

Wenn Sie weniger als 20 Mitarbeiter haben, müssen Sie keinen DSB bestellen, aber sich dennoch an die Vorgaben der DSGVO und weiterer Vorschriften halten. Wenn Sie möchten, unterstütze ich Sie gern.  

Schritt 1: das Verzeichnis für Verarbeitungstätigkeiten (VVT)

Vor jeder Verarbeitung muss man zunächst die Rechtsgrundlage klären (Grundsatz der Rechtmäßigkeit). Als Rechtsgrundlage kommen nach Artikel 6 DSGVO zum Beispiel Einwilligungen in Frage, aber auch vertragliche Verpflichtungen oder gesetzliche Verpflichtungen sind möglich. Zu den Fragen “Was sind personenbezogene Daten?” sowie “Welche Rechtsgrundlagen gibt es?”, habe ich im Artikel “Datenschutz im Verein” schon etwas geschrieben.

Als nächstes muss man überprüfen, ob es eine Übermittlung gibt und daraus schließen, ob man beispielsweise eine Auftragsverarbeitungsvereinbarung (AVV) oder einen Vertrag zur gemeinsamen Verantwortung schließen muss.

Und schließlich muss man prüfen, ob Risiken bestehen etc. All dies machen Sie mit dem VVT. Das VVT ist sozusagen unsere Schaltzentrale, mit der wir alles im Überblick haben. Die Form des VVT ist nicht vorgegeben, es muss aber alle Prozesse enthalten, bei denen personenbezogene Daten verarbeitet werden. Gerade für Vereine und kleine Betriebe bietet sich eine simple Excel-Übersicht an.

Das VVT hat mehrere Funktionen:

  • Zuallererst erfüllt es die Nachweispflicht. (vgl. Art. 5 DSGV – Grundsätze der Datenverarbeitung)
  • Gleichzeitig ist es die Basis für die Information nach Artikel 12 ff DSGVO (z.B. die Datenschutzerklärung auf Ihrer Website) aber auch für für das Recht der Betroffenen auf Auskunft nach Artikel 15 DSGVO (vgl. Schritt 2).
  • Außerdem haben Sie einen Überblick über Ihre Auftragsverarbeiter (bzw. wo Sie schon Verträge abgeschlossen haben)
  • Sie sehen auf einen Blick, ob eine Datenschutzfolgeabschätzung nötig ist und
  • welche besonderen Technisch-Organisatorischen Maßnahmen (TOM) nötig sind. Idealerweise gehören hierzu die Umsetzung der Betroffenenrechte (siehe Schritt 2)

Auf Basis des VVT können Sie also ganz leicht schon Verfahrensanweisungen und Richtlinien für Ihre Mitarbeiter erarbeiten. (Besonders für Vereine bietet sich die klare Verschriftlichung an. Zum einen sind Verfahrensanweisung sogenannte Technisch-Organisatorische Maßnahmen, zum anderen erleichtern sie den flüssigen Übergang, wenn neue Ehrenamtliche Aufgaben übernehmen.)

Übrigens: Haben Sie keine Angst vor dem Begriff “Prozesse”. Ein strukturiertes Arbeiten ist wirtschaftlich und hilft Ihnen, sich auf das Wesentliche zu konzentrieren. Für viele Unternehmen war die Einführung der DSGVO daher eine gute Gelegenheit, eingefahrene Strukturen zu überdenken und effizienter zu werden.


Schritt 2: Betroffenenrechte

Jetzt, wo Sie Ihre geplanten Prozesse (Verarbeitungstätigkeiten) kennen, müssen Sie sich um die Rechte der Betroffenen kümmern. Grundsätzlich gilt: Erst Betroffene informieren, dann Prozesse ändern.

Die wichtigsten Rechte der Betroffenen sind:

  • Information
  • Auskunft
  • Widerspruch
  • Löschung
  • Korrektur
  • Datenportabilität
  • Beschwerde bei einer Datenschutzbehörde

Definieren Sie also Verfahren, wie Sie mit Betroffenenanfragen (v.a. Auskunft, …) umgehen. Bedenken Sie, dass Sie z.B. für eine Auskunft eine gesetzliche Frist von lediglich einem Monat haben! 

Definieren Sie in diesem Zusammenhang gleichzeitig ein Verfahren zur Bearbeitung von Datenschutz-Vorfällen (“Datenpannen”). Die gesetzliche Frist von 72 Stunden erlaubt es nicht, sich erst dann Gedanken um die Vorgehensweise zu machen, wenn der Vorfall schon geschehen ist.

Übrigens: Diese Prozessvorgaben (Verfahrens-/ Dienstanweisungen) gehören zu den Technisch-Organisatorischen Maßnahmen (TOM). Diese sind ein Teil der Datenschutzmanagementsystems.

Erstellen Sie Dokumente zur Information von Kunden und Mitarbeitern (Art. 13-Informationen) sowie Mitarbeiterverpflichtungen für den Datenschutz. Die Information nach Artikel 13 darf übrigens cross-medial erfolgen. Sie dürfen in einem Brief auf die Datenschutzerklärung auf Ihrer Website verweisen. Allerdings müssen die entsprechendne Infos dann dort auch zu finden sein und nicht nur die Information für die Datenverarbeitung auf Ihrer Website enthalten.


Schritt 3: Datenschutzschulungen für Mitarbeiter

Die nächste TOM ist der Bereich Schulung/ Sensibilisierung. Diese sollten Sie nicht unterschätzen.
Die größte Gefahr für Datenschutzverstöße sind tatsächlich die Mitarbeiter – leider oft genug unbewusst. Wenn Ihre Mitarbeiter/ Ehrenamtlichen nicht wissen, wie sie sich korrekt verhalten müssen, passieren zwangsläufig Fehler. Gleichzeitig helfen geschulte Mitarbeiter dabei, Fehler in Prozessen zu erkennen und nach Lösungen zu suchen. Sie müssen also nicht alles allein machen.

In diesem Zusammenhang können Sie auch gleich noch die Verpflichtung auf den Datenschutz bei Ihren Mitarbeitern abholen, falls Sie dies noch nicht bei der Einstellung getan haben. Auch Einwilligungen, z.B. für die Veröffentlichung von Mitarbeiterbildern im Internet, können jetzt eingeholt werden. (Hinweis: Verpflichten Sie Ihre Mitarbeiter immer getrennt vom Arbeitsvertrag auf den Datenschutz und die Verschwiegenheit. Diese Verträge gelten dann auch nach Beendigung des Arbeitsverhältnisses weiter.)

Überlegen Sie, ob Sie einen Intranet-Bereich für den Datenschutz etablieren, in dem Sie Schulungsmaterial, Vorlagen, FAQ, Handbücher, Richtlinien etc. für Ihre Mitarbeiter bereitstellen.


Schritt 4: Website

Warum erst jetzt? Ganz einfach: Die anderen Dinge sind wichtiger – auch, wenn man sie von außen nicht sofort sieht. Gleichzeitig können Sie jetzt bequem Ihre Website nutzen, um Informationen nach Art. 13 bereitszustellen (vgl. Verzeichnis für Verarbeitungstätigkeiten)

https://jogwitz.de/last-minute-check-ist-ihre-website-dsgvo-konform/

Alternativ können Sie Ihre Website von einer Agentur erstellen lassen. Das Erstellen eines Impressums und einer DSGVO-konformen Datenschutzerklärung (DSE) gehört i.d.R. zum Leistungsumfang dazu. Bedenken Sie jedoch, dass die DSE der Agentur sich i.d.R. nur auf die Website (und nicht auf Ihre allgemeinen Geschäftsproszesse) bezieht.

Vergessen Sie nicht, Einwilligungen für Cookies (vor allem solche zum Tracking der Nutzer, wie Google Analytics oder Facebook pixels) einzuholen.

Wenn Sie Social-Media-Portale nutzen und “teilen”-Buttons verwenden, sollten Sie dies ebenfalls in der Datenschutzerklärung anführen. Aktuell ist der Einsatz von Facebook-Fanpages allerdings nicht DSGVO-konform möglich. Sollten Sie sich dennoch aus Marketinggründen dafür entscheiden, empfehle ich eine schriftliche Risikobewertung durchzuführen und diese zu dokumentieren.


Schritt 5: das DSMS

Jetzt können Sie anfangen, das Datenschutzmanagmentsystem (DSMS) zu etablieren. Überprüfen Sie in diesem Zusammenhang noch einmal, ob Sie Richtlinien für Passwörter und E-Mail-Nutzung haben, ob Sie z.B. von Ihren Mitarbeitern die Einwilligung haben für die Bildveröffentlichung zu Marketingzwecken, ob Sie die Datenschutzfolgeabschätzung zur Videoüberwachung haben, etc.

Bei all diesen Schritten unterstütze ich Sie natürlich sehr gern. Auf Wunsch führe ich auch Inhouse-Schulungen für Führungskräfte/ Vorstände oder allgemeine Datenschutzschulungen für Mitarbeiter durch. Fragen Sie einfach an.

Obligatorischer Hinweis: Dieser Artikel ist keine Rechtsberatung.

Bildquellen

  • startup: pixabay StartupStockPhotos