Checkliste zur Einhaltung der GDPR

Image of Carlo Cilento

Veröffentlicht am 16. Mai 2023 und bearbeitet am 15. Aug. 2023 von Carlo Cilento

Die meisten Unternehmen hassen den Umgang mit der Datenschutz-Grundverordnung, und wir können verstehen, warum. Die Vorschriften können verwirrend sein, insbesondere für kleinere Unternehmen, die keine eigenen Juristen haben.

Die dänische Datenschutzbehörde hat kürzlich eine schöne GDPR-Checkliste für kleinere Unternehmen veröffentlicht.

Sie ist nicht als erschöpfende Checkliste gedacht, sondern eher als Ausgangspunkt, um die Einhaltung der Vorschriften in Ihrem Unternehmen zu bewerten. Dennoch enthält die Liste einige gute Tipps und ist es wert, einen Blick darauf zu werfen.

Legen wir los!

{{Inhaltstabelle}}
  1. Verschaffen Sie sich ein klares Bild
  2. Fragen Sie sich: Warum habe ich diese Daten?
  3. Löschen Sie Ihre Daten
  4. Geben Sie Auskunft über die von Ihnen verarbeiteten Daten
  5. Führen Sie solide, klare Verfahren für die Bearbeitung von Anfragen ein
  6. Kümmern Sie sich um die IT-Sicherheit
  7. Sie sind für die Weitergabe personenbezogener Daten verantwortlich
  8. Schlussfolgerungen
Logo of the Government of the United KingdomThe UK Government chose Simple AnalyticsJoin them

Verschaffen Sie sich ein klares Bild

Der erste Schritt zur Einhaltung der DSGVO besteht darin zu wissen, was Sie mit Ihren Daten tun. Aus diesem Grund empfiehlt die Datenschutzbehörde, sich zunächst die entscheidenden Fragen zu stellen:

  • Welche personenbezogenen Daten kontrolliere und verarbeite ich?
  • Wessen Daten sind es? Sind es Ihre Mitarbeiter/Kunden/Nutzer?
  • Wo sind diese Daten gespeichert?

Diese Fragen mögen trivial erscheinen, sind es aber nicht. Viele Unternehmen haben nur eine sehr vage Vorstellung davon, welche Daten sie wie verarbeiten, auch größere Unternehmen (ich schaue dich an, Meta).

Das Verständnis Ihrer Datenverarbeitung ist ein unerlässlicher erster Schritt zur Einhaltung der Vorschriften und eine Grundvoraussetzung für eine gute Data Governance. Aus diesem Grund ist das Führen eines Verzeichnisses der Verarbeitungstätigkeiten eine gesetzliche Anforderung für größere Unternehmen im Rahmen der DSGVO (sowie für kleinere Unternehmen, die eine etwas risikoreichere Datenverarbeitung durchführen).

Unabhängig davon, ob Sie nicht verpflichtet sind, ein ROPA zu führen oder nicht, sollten Sie einen klaren Überblick über Ihre Datenverarbeitung haben. Ein klares und genaues Bild zeigt mögliche Probleme bei der Einhaltung der Vorschriften und Möglichkeiten zur Verbesserung und Rationalisierung Ihrer Datenverarbeitung auf. Außerdem hilft es Ihnen, auf Auskunftsersuchen im Rahmen der Datenschutz-Grundverordnung zu reagieren, da Sie bereits wissen, wo die Daten in Ihren Systemen gespeichert sind und wie sie abgerufen werden können.

Wenn Sie noch einen Schritt weiter gehen wollen, können Sie Ihre Datenflüsse abbilden. Wir haben uns vor einiger Zeit mit dem Thema Datenmapping bef asst, um unseren Lesern eine allgemeine Vorstellung davon zu vermitteln, wie Datenmappings aussehen und warum sie sowohl für die Einhaltung von Vorschriften als auch für die Datenverwaltung nützlich sind.

Fragen Sie sich: Warum habe ich diese Daten?

Wann immer Sie personenbezogene Daten kontrollieren, sollten Sie sich die Frage stellen: Warum habe ich diese Daten? Wenn Sie eine gute Antwort auf diese Frage finden, verfügen Sie wahrscheinlich über eine Rechtsgrundlage im Sinne der Datenschutz-Grundverordnung.

Rechtsgrundlagen sind ein wichtiger Begriff, über den wir bereits vor einiger Zeit gesprochen haben. Die Datenschutz-Grundverordnung verlangt, dass jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage hat - im Wesentlichen eine Art rechtliche Rechtfertigung. Die DSGVO bietet sechs Rechtsgrundlagen zur Auswahl, wie zum Beispiel die Einwilligung, einen Vertrag oder eine rechtliche Verpflichtung.

Die Datenschutzbehörde hat die verfügbaren Rechtsgrundlagen als einfache Fragen zusammengefasst, die Sie sich stellen sollten:

  • Habe ich die Zustimmung der Person, auf die sich die Daten beziehen - der sogenannten betroffenen Person? (Einwilligung)
  • Benötige ich die Daten, um einen Vertrag mit der betroffenen Person zu erfüllen? (Erfüllung eines Vertrages)
  • Benötige ich die Daten zur Ausübung einer öffentlichen Gewalt oder zur Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe? (öffentliches Interesse oder öffentliche Gewalt)
  • Bin ich gesetzlich verpflichtet, diese Daten zu speichern? (gesetzliche Verpflichtung)
  • Habe ich einen anderen guten Grund, die Daten zu verarbeiten? Wenn ja, kann die Verarbeitung der betroffenen Person Schaden oder Probleme verursachen? (legitimes Interesse)

(Ja, das sind fünf Fragen - die Rechtsgrundlage des lebenswichtigen Interesses wurde beiseite gelassen, da ihre Verwendung sehr außergewöhnlich ist)

Natürlich sind die Dinge noch komplexer als das. Jede Rechtsgrundlage hat ihre eigenen Einschränkungen und Anforderungen. So muss beispielsweise die Einwilligung aus freien Stücken gegeben werden, was in einigen Fällen, etwa bei der Verarbeitung von Arbeitnehmerdaten, eine Berufung auf die Einwilligung ausschließt. Auch die Abwägung des berechtigten Interesses ist komplizierter als die Frage, ob Sie jemandem durch die Verarbeitung seiner Daten schaden können (weitere Informationen hierzu finden Sie beim britischen ICO ).

Die Einhaltung der Vorschriften beginnt jedoch damit, dass man sich die richtigen Fragen stellt, und die oben genannten Fragen sind ein guter Ausgangspunkt.

Sie sollten auch wissen, ob Sie sensible Daten verarbeiten oder nicht. Sensible Daten sind sehr sensible Daten wie Gesundheitsdaten, ethnische Herkunft, politische Überzeugungen und Daten über das Sexualleben und die sexuelle Orientierung einer Person (die vollständige Liste finden Sie in Artikel 9 der Datenschutz-Grundverordnung).

Sensible Daten genießen nach der DSGVO einen besonderen Schutz. Eine Rechtsgrundlage zu haben, reicht nicht aus, um sie rechtmäßig zu verarbeiten, da im Vergleich zu allgemeinen personenbezogenen Daten strengere Regeln gelten. Wenn Sie sensible Daten verarbeiten, sollten Sie sich von einem Fachmann beraten lassen, wie Sie die Datenschutzgesetze einhalten können.

Löschen Sie Ihre Daten

Sie sollten personenbezogene Daten löschen, sobald sie nicht mehr benötigt werden. Das ist kurz gesagt der Grundsatz der Speicherbegrenzung.

Unnötige Daten zu löschen (und sie gar nicht erst zu erheben!) ist sowohl eine Anforderung der Datenschutz-Grundverordnung als auch eine gute Idee im Allgemeinen. Durch das Löschen nicht mehr benötigter Daten können Sie Speicherplatz freimachen. Außerdem bleiben Ihre Archive kleiner und übersichtlicher, so dass Sie die Daten bei Bedarf leichter wiederfinden können.

Nach der Datenschutz-Grundverordnung dürfen Sie keine Daten aufbewahren, weil sie eines Tages nützlich sein könnten. Sammeln und speichern Sie nur die Daten, die Sie jetzt oder in einem bestimmten und wahrscheinlichen zukünftigen Szenario benötigen. Ihre Datenschutzbehörde wird Ihnen nicht gestatten, personenbezogene Daten jahrzehntelang zu speichern, bis wir eine unglaublich coole zukünftige KI haben, mit der wir unglaublich coole Dinge tun können.

Datatilsynet erklärt, dass es im Rahmen der DSGVO keine feste Aufbewahrungsfrist für Daten gibt. Die Entscheidung liegt bei Ihnen, denn Sie wissen, welche Daten Sie brauchen.

Das heißt aber nicht, dass Sie tun können, was Sie wollen. Wenn Ihre Datenaufbewahrungsfristen unangemessen sind, verstoßen Sie gegen den Grundsatz der Speicherbegrenzung und könnten von einer Datenschutzbehörde oder einem Gericht zur Verantwortung gezogen werden.

Geben Sie Auskunft über die von Ihnen verarbeiteten Daten

Wenn Sie die Daten einer Person kontrollieren, müssen Sie diese darüber informieren, dass Sie die Daten verarbeiten. Dies gilt auch dann, wenn Sie die Daten lediglich aufbewahren, da die Speicherung von Daten nach der Datenschutz-Grundverordnung eine Art der Datenverarbeitung darstellt.

Gemäß der Datenschutz-Grundverordnung müssen Sie einige Informationen zur Verfügung stellen:

  • Firmenname und Kontaktinformationen (einschließlich der Kontaktinformationen Ihres Datenschutzbeauftragten, falls Sie einen haben)
  • Welche Daten Sie verarbeiten
  • Warum Sie die Daten verarbeiten und auf welcher Rechtsgrundlage
  • Mit wem Sie die Daten teilen
  • Wie lange Sie die Informationen speichern werden
  • Welche Rechte der Leser hat und wie er sie ausüben kann

Die Liste von Datailsynet ist eine schöne und lesbare Zusammenfassung dessen, was gemäß Artikel 13 und 14 der DSGVO erforderlich ist. Bei diesen Informationen handelt es sich um Ihren Datenschutzhinweis (oft auch als Datenschutzrichtlinie bezeichnet - obwohl die beiden nicht genau dasselbe sind).

Sie müssen Ihren Datenschutzhinweis in einer klaren und verständlichen Sprache verfassen. Lassen Sie die juristische Sprache beiseite und erklären Sie dem Leser, was Sie mit seinen Daten machen, welche Rechte er hat und wie er sie ausüben kann. Das ist schwieriger, als es aussieht, aber es ist eine gesetzliche Vorschrift.

Ein mehrstufiger Ansatz kann dabei helfen. Ein mehrstufiger Datenschutzhinweis besteht aus einer ersten Ebene, die die wichtigsten Informationen in einer sehr einfachen und lesbaren Form enthält. Diese Ebene enthält Links zu anderen Seiten oder Ebenen, die ausführlichere Informationen zu bestimmten Themen enthalten - zum Beispiel, welche Garantien Sie für Datenübermittlungen einführen und was die Rechte der betroffenen Person in der Praxis bedeuten.

Der Versuch, all diese Informationen in eine einzige Ebene zu packen, würde Ihre Datenschutzerklärung lang und schwer lesbar machen, so dass eine mehrschichtige Erklärung ein gutes Gleichgewicht zwischen Detailgenauigkeit und Zugänglichkeit herstellen kann - vorausgesetzt, Sie behalten alle wichtigen Informationen in der ersten Ebene.

Mehrschichtige Datenschutzhinweise sind relativ einfach zu implementieren, wenn Sie sie online bereitstellen - denken Sie an die Datenschutzhinweise auf Websites. In einem anderen Kontext können Sie manchmal einen kurzen Hinweis auf andere Weise bereitstellen und den Leser für weitere Informationen auf eine Webseite verweisen.

Wenn Sie neugierig geworden sind, können Sie sich anhand unseres Beispiels für einen Cookie-Hinweis für Google Analytics ein Bild davon machen, wie ein mehrschichtiger Datenschutzhinweis aussieht.

Führen Sie solide, klare Verfahren für die Bearbeitung von Anfragen ein

Wenn Sie die Daten einer Person verarbeiten, kann diese Person bestimmte Rechte ausüben, indem sie eine Anfrage an Sie richtet. Sie können zum Beispiel Zugang zu ihren Daten verlangen, oder sie können von Ihnen verlangen, dass Sie die Daten korrigieren oder löschen.

Verfahren sind für die Bearbeitung von Anfragen sowohl in großen als auch in kleinen Organisationen sehr wichtig. In einer kleineren Organisation werden Anfragen in der Regel nicht von Rechtsexperten bearbeitet. Ein klares Verfahren für die Bearbeitung von Anfragen kann klären, was die für die Bearbeitung von Anfragen zuständige Person zu tun hat.

(Nebenbei bemerkt: Kleinere Unternehmen sollten die Bearbeitung von Anfragen einer einzigen Person anvertrauen, da dies den Überblick erleichtert.)

Größere Unternehmen stehen vor anderen Herausforderungen. Einerseits verfügen sie in der Regel über geschultes juristisches Personal, das weiß, wie Anfragen behandelt werden sollten. Andererseits werden dieselben personenbezogenen Daten oft von verschiedenen Teams verarbeitet und in verschiedenen Systemen gespeichert. Daher müssen verschiedene Teams zusammenarbeiten, um Daten abzurufen oder zu löschen, und ein klares Verfahren ist entscheidend für die Koordination.

Das Datatilsynet gibt weitere gute Ratschläge für die Bearbeitung von Anfragen. So sollten Sie beispielsweise eine solide Identifizierungspolitik für Zugriffsanfragen haben, um sicherzustellen, dass Sie nicht auf Betrüger hereinfallen, die einen Identitätsdiebstahl versuchen.

Das ist leichter gesagt als getan, aber als Faustregel sollten Sie, wann immer es möglich ist, persönliche Daten nutzen, die Ihnen bereits vorliegen. Wenn die Anfrage beispielsweise von einem Nutzer Ihrer Website kommt, können Sie ihn bitten, seine Anmeldedaten anzugeben, und wenn er Ihnen zuvor seine Telefonnummer mitgeteilt hat, können Sie ihm einen Authentifizierungscode auf sein Telefon schicken. Bitten Sie nicht um andere persönliche Informationen (wie z. B. den Personalausweis), es sei denn, dies ist unbedingt erforderlich.

Auf der Website von Datatilsynet finden Sie weitere nützliche Informationen darüber, wie Sie mit Anfragen umgehen sollten. Wenn Ihr Dänisch nicht so gut ist, können Sie auch die Website des britischen ICO konsultieren.

Die Behörden befassen sich mit vielen Fällen im Zusammenhang mit solchen Anfragen, daher überrascht es uns nicht, dass sie in der Checkliste von Datatilsynet aufgeführt sind. Sie sind eine häufige Quelle für Geldstrafen und rechtliche Probleme für Organisationen, also stellen Sie sicher, dass Sie sie richtig behandeln.

Kümmern Sie sich um die IT-Sicherheit

Sie müssen die Daten anderer Personen sicher verarbeiten. Um dies zu gewährleisten, müssen Sie sich um die technische und organisatorische Sicherheit kümmern.

Technische Sicherheit ist das, was einem in den Sinn kommt, wenn man über IT-Sicherheit spricht - Firewalls, Verschlüsselungen, Backups und so weiter. Für kleine Unternehmen können dies einfache, aber wichtige Dinge sein, wie z. B. das Aktualisieren der gesamten Software, das Sicherstellen eines guten Virenschutzes und einer Firewall, das Unterrichten der Mitarbeiter in der Erkennung von Phishing-E-Mails und das regelmäßige Erstellen von Sicherungskopien der Systeme.

Bei der organisatorischen Sicherheit hingegen geht es darum, den Datenzugriff innerhalb des Unternehmens zu regeln und sicherzustellen, dass nur die Mitarbeiter Zugriff auf die Daten haben, die sie tatsächlich benötigen. Kleinere Unternehmen brauchen wahrscheinlich kein kompliziertes Berechtigungssystem.

Dennoch kann es eine gute Idee sein, einige Daten mit einem Passwort zu schützen oder verschiedene Konten mit unterschiedlichen Berechtigungen auf demselben Computer einzurichten. Das Datatilsynet schlägt weitere wichtige Vorsichtsmaßnahmen vor, z. B. das Sperren des Bildschirms, wenn Sie Ihren Computer verlassen, und die Sicherstellung, dass alle Daten von den Geräten gelöscht werden, bevor Sie sie entsorgen.

DieSicherheitsverpflichtungen stehen im Verhältnis zu den Risiken. Sie benötigen keine hochmoderne Datenverschlüsselung, wenn Sie nur Rechnungsdaten für Ihre Kunden und Mitarbeiterdaten für deren Gehaltsabrechnungen verarbeiten. Für Unternehmen, die sensible Daten wie medizinische Daten oder Standortdaten verarbeiten, können dagegen unabhängig von ihrer Größe und ihren Ressourcen höhere Sicherheitsstandards gelten.

Sie sind für die Weitergabe personenbezogener Daten verantwortlich

Es gibt viele Gründe, warum Sie personenbezogene Daten weitergeben möchten. Vielleicht verlassen Sie sich auf einen Datenverarbeiter für Ihre E-Mail, HR-Software oder Webanalyse. Oder Sie möchten die Daten an eine andere Person weitergeben, die sie für ihre eigenen Zwecke nutzt - so wie beispielsweise Krankenhäuser Daten an Forschungseinrichtungen weitergeben.

In jedem Fall sind Sie für die Entscheidung über die Weitergabe personenbezogener Daten verantwortlich. Sie müssen sicherstellen, dass die Daten nach der Weitergabe korrekt gehandhabt werden und die Personen, deren Daten Sie weitergeben, informieren.

Sie müssen auch sicherstellen, dass Sie die Daten überhaupt weitergeben dürfen. Gehen Sie zurück zu Punkt zwei und fragen Sie sich: Habe ich einen wirklich guten Grund für die Weitergabe der Daten?

Schlussfolgerungen

Das klingt nach einer Menge, die es zu beachten gilt. Deshalb sagen Kritiker der Datenschutz-Grundverordnung, dass sie eine zu große Belastung für Organisationen darstellt, insbesondere für kleinere Unternehmen.

An dieser Kritik ist etwas Wahres dran. Die DSGVO versucht, den Befolgungsaufwand zu verringern, indem sie einige Befolgungspflichten auf größere Unternehmen oder auf Fälle beschränkt, in denen sie unbedingt erforderlich sind. Dennoch sind die Regeln alles andere als einfach und können schwierig zu handhaben sein.

Aber einige Regeln sind notwendig. Die Verarbeitung personenbezogener Daten ist von Natur aus riskant. Ein Unternehmen sollte Treibstoff nicht ohne jegliche Sicherheitsstandards lagern und transportieren. Deshalb gibt es überall Sicherheitsvorschriften für diese Tätigkeiten. Das Gleiche gilt für die Datenverarbeitung: Immer mehr Regierungen auf der ganzen Welt werden sich der Risiken bewusst, die der Umgang mit personenbezogenen Daten mit sich bringt, und legen Datenschutzvorschriften fest.

Der beste Weg, diese Vorschriften einzuhalten, ist, keine personenbezogenen Daten zu verarbeiten. Aber in den meisten Fällen ist das einfach nicht machbar.

Das Zweitbeste, was Sie tun können, ist, die Datenminimierung im Auge zu behalten. Wir haben bereits darüber geschrieben, und kurz gesagt bedeutet Datenminimierung, dass Sie nur die Daten sammeln, die Sie wirklich brauchen. Je weniger Daten Sie kontrollieren, desto weniger müssen Sie sich um die Einhaltung von Vorschriften kümmern.

Wir bei Simple Analytics sind von der Datenminimierung sehr angetan. Wir haben Simple Analytics entwickelt, um unseren Kunden großartige Analysen und Einblicke zu bieten , ohne persönliche Daten zu sammeln. So können Unternehmen florieren und gleichzeitig Analysen auf ethische, datenschutzfreundliche Weise durchführen. Wenn sich das für Sie gut anhört, probieren Sie uns doch einfach mal aus!

GA4 ist komplex. Versuchen Sie Simple Analytics

GA4 ist wie im Cockpit eines Flugzeugs zu sitzen, ohne einen Pilotenschein zu haben

14-Tage-Testversion starten