Was du am Ziel deiner DSGVO-Reise wirklich brauchst

Zwei Dinge brauchst du am Ende deiner DSGVO-Reise:
Eine Datenschutzerklärung und ein Verarbeitungsverzeichnis.

Klingt einfach. Wenn du aber trotzdem noch ein wenig Struktur brauchen kannst, dann lies einfach weiter.

Ich bin ausgebildete Datenschutzexpertin, aber keine Juristin.
Ich möchte mit dir meine Erfahrungen und Informationen zu diesem Thema teilen – vor allem, weil auf deiner Website schnell festzustellen ist, ob du dich mit der DSGVO beschäftigt hast oder nicht.
Ich möchte festhalten, dass ich auf eine juristisch korrekte Ausdrucksweise zugunsten der Verständlichkeit verzichte.

1) Für den Auftritt nach außen brauchst du eine Datenschutzerklärung

Streng genommen brauchst du 2 Datenschutzerklärungen: Eine, die für den Besuch deiner Homepage gilt und eine, die für deine “normale” Geschäftstätigkeit gilt.
Beide müssen sich natürlich mit deinem Verarbeitungsverzeichnis (genauer gesagt: mit den dort definierten Daten und Aufbewahrungsfristen) decken.

Wenn du dich jetzt fragst, warum du das brauchst:
Das hängt mit den Informationspflichten zusammen, die dich bei jeder Datenverarbeitung treffen.

Kurz zur Erinnerung: Du musst alle Betroffenen, von denen du Daten verarbeitest, darüber informieren:

• welche Daten du speicherst
• zu welchem Zweck du sie speicherst
• warum du Daten speichern darfst
• woher du die Daten hast

Du musst also sicherstellen, dass deine Kunden und Geschäftspartner über deinen Umgang mit ihren Daten informiert sind und sich diese Information leicht besorgen können.

Die pragmatischste Vorgehensweise wird wohl sein, wenn du deine Datenschutzerklärung auf deiner Homepage veröffentlichst und von überall darauf verweist.
Mit “überall” ist gemeint:

• Verweise in deinen AGBs und allen Verträgen darauf
• Verlinke in deiner Mailsignatur darauf
• Erweitere deine Kontaktformulare (z.B. auf deiner Homepage), sowie deine Newsletter-Formulare um eine Checkbox, die deine Kunden explizit anklicken müssen
  Ungefähr so: “Ich habe die Datenschutzbestimmungen zur Kenntnis genommen”

Es ist aber ebenso möglich, die Datenschutzerklärung in deinem Geschäftslokal auszuhängen oder den jeweiligen AGBs, Verträgen, etc. beizulegen.

2) Für den Auftritt bei der Datenschutzbehörde brauchst du ein Verarbeitungsverzeichnis

Über das Verarbeitungsverzeichnis habe ich in Tipp #4 schon ausführlich informiert. Hier kommst du zum Blogartikel “DSGVO Tipps #4”

Deine interne Dokumentation, die du im Falle des Falles der Datenschutzbehörde vorlegen musst, sollte folgendes enthalten:

Leg einen Ordner “DSGVO Umsetzung” in deinen Betriebsunterlagen an.
Darin befinden sich:

1. Das Verarbeitungsverzeichnis inklusive einer Beschreibung der technisch-organisatorischen Maßnahmen zum Thema Datensicherheit
2. Die Verträge mit den Auftragsverarbeitern
3. Die Datenschutzerklärung
4. Sämtliche Einwilligungserklärungen (besonders wichtig, wenn du sensible Daten von Mitarbeitern verarbeitest!)
5. Unterschriebene Geheimhaltungsverpflichtungen mit deinen Mitarbeitern
6. “Data Breach Notification”: Das ist eine Vorlage, die du im Fall eines Datenmissbrauchs nur mehr auszufüllen brauchst (und bitte binnen 72 Stunden an die DSBehörde übermittelst)

3) Deine Pflichten seit 25. Mai 2018

• Informiere deine Geschäftspartner und Mitarbeiter (einmalig) über die von dir verarbeiteten Daten.
  Auch zu diesem Zweck kannst du auf deine Datenschutzerklärung verweisen.
• Diese Informationspflicht gilt dann auch im laufenden Geschäftsbetrieb. Damit ist vor allem die Erhebung von personenbezogenen Daten bei neuen Kunden und Geschäftspartnern gemeint. Lies dazu meinen Blogartikel!
• Bei Anfragen musst du die Betroffenenrechte erfüllen.
  Kurz gesagt: Wenn jemand von dir Auskunft möchte oder seine Daten gelöscht haben möchte, dann musst du das (sofern keine gesetzlichen Vorschriften dagegensprechen) binnen 1 Monat erfüllen.
• Wie oben schon erwähnt: Im Falle eines Datenmissbrauchs oder -verlusts musst du die Datenschutzbehörde informieren.

Und hier noch ein paar konkrete Tipps quer durch den DSGVO-Gemüsegarten:

Ein paar Irrtümer, die mir immer wieder unterkommen, möchte ich hier noch aufklären:

• Es ist nicht nötig, für jeden einzelnen Kunden ein Verarbeitungsverzeichnis zu erstellen.
  Vielmehr geht es um eine allgemeine Beschreibung deiner Datenverarbeitungen im Unternehmen.
• Es ist nicht richtig, dass keine Datenweitergaben erlaubt sind.
  Vielmehr geht es darum, alle Datenweitergaben zu erfassen und zu dokumentieren.
• Gehe sparsam mit Einwilligungen um! Es sind viel weniger Einwilligungen erforderlich als man auf den ersten Blick meinen möchte. Besonders bei Homepage-Formularen geht es nicht darum, dass eine Einwilligung eingeholt wird – der Kunde muss “nur” informiert werden.
• Auch deine Papier-Ablage ist betroffen – sofern sie nicht den Namen “Chaos” trägt und du in kurzer Zeit das findest, was du dort suchst
• Achte darauf, jene Person, die für den Datenschutz in deinem Unternehmen zuständig ist, NICHT als Datenschutzbeauftragten zu bezeichnen. Ansonsten muss diese Person nämlich alle im Gesetz geforderten Vorschriften und Auflagen als Datenschutzbeauftragter erfüllen. Nenne ihn oder sie besser “Datenschutz-Verantwortlicher” oder “Datenschutz-Koordinator”.
• Wenn du sensible Daten verarbeitest (diese sind explizit in der DSGVO aufgezählt, z.B. Gesundheitsdaten oder das Religionsbekenntnis), dann brauchst du dafür entweder eine gesetzliche Grundlage (= du MUSST) oder eine unterschriebene Einwilligungserklärung (=du DARFST).
• Es ist nicht richtig, dass du keine Newsletter mehr verschicken darfst.
  Du darfst elektronische Informationen an deine Kunden (in einer aufrechten Kundenbeziehung) und an Personen, die der Zusendung zugestimmt haben, verschicken.
  Wenn du dir unsicher bist, hol die Zustimmung einfach nochmal ein.