Die Datenschutz-Grundverordnung (DSGVO oder GDPR) kennt viele neue Aufgaben. Doch wo fängt man am besten an und was lässt sich möglichst schnell und einfach ohne externe Hilfe umsetzen? Da sich unsere Tipps zum Datenschutz für Startups großer Beliebtheit erfreut haben, folgt nun eine weitere Anleitung. Unser übersichtlicher und praxisfreundlicher Leitfaden zeigt die wichtigsten Schritte, die wir in ca. 100 DSGVO-Projekten identifiziert haben, um vor Kunden und Aufsichtsbehörden nicht in vermeidbare Fallen zu tappen.

Die nachfolgenden Schritte kann und sollte jedes Unternehmen umsetzen – es ist eigentlich ganz leicht und erspart einem später einiges an (Compliance) Arbeit, egal ob mit Unterstützung oder ohne:

1. Datenschutzverträge abschließen

Der erste Schritt ist unglaublich einfach und schnell umsetzbar, wird aber gerne vergessen! Selbst als junges Unternehmen nutzt man für gewöhnlich schon unzählige Cloud Tools und Plattformen externer Dienstleister. In den meisten Fällen werden hier auch Daten getauscht oder es sind administrative Zugriffe möglich. Das wichtigste Fundament bildet der Abschluss sogenannter Auftragsverarbeitungsverträge, oder auch: Datenschutzverträge oder Data Processing Agreements, wenn man mit englischen Services zusammenarbeitet. Aus langjähriger Erfahrung können wir sagen, dass mittlerweile alle bekannten Anbieter Vorlagen bereitstellen, wenn man nur fragt. Meist handelt es sich um standardisierte Vorlagen, die für die meisten Unternehmen ausreichend sind und (z.B. bei Google, AWS, LexOffice, Telekom & Co.) einfach in den Account Dashboards heruntergeladen werden können. Sozusagen ein Quick-Win im Datenschutz und nicht zuletzt für Aufsichtsbehörden eine der Grundvoraussetzungen zur Beauftragung externer Datenverarbeiter. Die DSGVO weiß, dass Daten in einer globalisierten “Digital Economy” nicht im eigenen Unternehmen verbleiben. Damit die Datenwirtschaft aber nicht zum Wilden Westen wird und die eigenen Kunden- oder Mitarbeiterdaten zu beliebigen Zwecken vom Analyse-Tool oder der HR-Cloud genutzt werden, sind vertragliche Vereinbarungen mit den Anbietern der Dienste zwingend vorgeschrieben.#

2. Übersicht der Daten & Tools erstellen

Eine weitere, wichtige Anforderung lautet frei umformuliert: kenne deine datenverarbeitenden Prozesse und Anwendungen! Einige Gründer werden nun sagen “ich kenne mein Unternehmen in- und auswendig”. Bei anderen stellt sich vielleicht Ernüchterung ein: Wer hat alles Adminzugang zur Kundendatenbank? Werden unsere OneDrives oder GoogleDrives wirklich nur für Firmendaten genutzt? Speichert unser HR-Tool Mitarbeiterdaten nur in Deutschland oder auch außerhalb der EU? Welche Daten greift der Webhook in Zapier ab? Oder viel einfacher: Was schicken wir monatlich so an Daten an Steuerberatung und Finanzbehörden? Die DSGVO fordert hier ein Verzeichnis der Verarbeitungstätigkeiten, um einerseits sagen und beschreiben zu können, was genau mit den Daten passiert und viel wichtiger: warum dies passiert und auf welcher Rechtsgrundlage (z.B. Newsletterversendung anhand von Einwilligungen; Verarbeitung von Mitarbeiterdaten in HR-Datenbank auf Grundlage des Arbeitsvertrages; Auswertung anonymer Nutzungsstatistiken der Webseite im Rahmen berechtigter Interessen)! Mittlerweile finden sich viele tolle, kostenlose Vorlagen im Internet, z.B. eine ausführliche Inhaltsbeschreibung vom BITKOM. Alternative zu Excel und Word sind externe Plattformen und Anwendungen, um sich Dokumentationsarbeit zu erleichtern, sozusagen ein Tool zur Dokumentation der Tools. Das Tool zur Dokumentation aber bitte nicht in der Auflistung vergessen!

3. Einwilligungen & Datenschutzerklärung überarbeiten

Die DSGVO geht strenger als der bisherige Datenschutz (BDSG) mit Einwilligungen und datenrelevanten Kundeninformationen um. Ein Kernelement des neuen Datenschutzes sind nämlich gesteigerte Transparenzpflichten. Hier findet sich auch einer der Gründe warum jeder von uns von Cookie-Bannern und ähnlichen Informationsmaßnahmen “aufgeklärt” wird. Wichtiger als ein – womöglich überflüssiger – Cookie-Banner sind verständliche Einwilligungsformulare und lesbare Datenschutzerklärungen (unsere Datenschutzerklärung kann gerne als beispielhafte Ausgangsbasis zum Leitfaden dienen). Unabhängig von der Unternehmensgröße und des Tätigkeitsbereichs gilt es, die Datenschutzerklärung auf den neuesten Stand und “das, was man mit den Daten macht” verständlich auf den Punkt zu bringen. Für Verbraucher unverständliche Rechtstexte “von Anwälten für Anwälte” sind laut Jan Philipp Albrecht zukünftig ein No-Go! Ähnlich sieht es mit Einwilligungstexten aus: Die für Einwilligungen relevanten Informationen gehören niemals (!!!) versteckt in lange Textpassagen, sondern müssen in möglichst einfacher und verständlicher Sprache erfolgen. Checkboxen dürfen nicht vorausgefüllt sein und der abschließende Bestätigungs-Button sollte möglichst nahe am Einwilligungstext liegen.

4. Datenschutz-Awareness schaffen

Ohne Awareness geht nichts! Der eine oder die andere wird schon gemerkt haben, dass seit der DSGVO auch unter Mitarbeitern Datenschutz zu einem beliebten (oder dank lästigem Info-Mail-Spam und Cookie-Bannern zum unbeliebten) Thema geworden ist. Zumindest dürfte es viele offene Fragen und Unklarheiten geben. Wichtig ist deshalb, dass die Geschäftsführung ihrer datenschutzrechtlichen Verantwortung nachkommt (Stichworte: Datenschutz-Management & Rechenschaftspflicht) und regelmäßige Datenschutzschulungen oder DSGVO-Workshops durchführen lässt. Hier sollte über die neuen betrieblichen Anforderungen im Datenschutz aufgeklärt werden, im Mittelpunkt steht aber die Vermittlung neuer Rechte der Endkunden und Mitarbeiter. Sofern kein Datenschutzbeauftragter im Unternehmen benannt wurde, der die Schulung durchführt, sind auch externe Schulungslösungen, Vorträge oder Webinare denkbar.

5. Prozesse für Kundenanfragen abstimmen

Der letzte Schritt dieses Leitfadens könnte genauso gut an erster Stelle stehen. Ein besonderes Augenmerk legt die DSGVO auf die Stärkung der Betroffenenrechte. Wer ist Betroffener? Das können Endkunden, Mitarbeiter aber auch bloße Besucher der eigenen Webseite sein. Also solche (natürlichen) Personen, die von unserem Umgang mit Daten in irgendeiner Weise “betroffen” sind (also z.B. durch Erfassung der IP-Adresse beim Ansurfen unserer Webseite). Ohne sich in Details zu verlieren, sollte jedes Unternehmen von Anfang an folgende Punkte sicherstellen:

• Auf alle Auskunftsanfragen der vorgenannten Personen reagieren! Auch wenn der Anfragende kein augenscheinlicher Kunde des Unternehmens ist und bloß die Webseite besucht hat (dann z.B. durch die Antwort: “Wir haben keine personenbezogenen Daten über Sie gespeichert”)
• Anfragen von Betroffenen müssen aller spätestens innerhalb eines Monats beantwortet werden!
• Das Recht auf Löschung (oder Vergessenwerden) spielt eine wichtige Rolle und die Umsetzung ist nicht immer einfach (z.B. dürfen Betroffene die Löschung aller Daten verlangen, bei einem Vertragskunden müssen aber womöglich bestimmte rechnungsrelevante Daten aufgrund gesetzlicher Aufbewahrungsfristen über mehrere Jahre gespeichert werden)
• Datenportabilität ist in aller Munde und soll sicherstellen, dass eine Kundin oder ein Kunde Daten “portieren” oder “mitnehmen” kann (in der Praxis sollte hier zunächst eine Möglichkeit geschaffen werden, auf Kundenwunsch die einschlägigen Kundenstammdaten in eine CSV/XLSX zu exportieren)