Tipps zur Umsetzung der Datenschutz-Grundverordnung (DSGVO) im KMU.

Wichtiger Hinweis
Der Autor ist kein Jurist. Dieser Beitrag erhebt keinen Anspruch auf Vollständigkeit und ersetzt nicht die Einbindung eines Juristen für rechtliche Fragen.

Was fordert die DSGVO?

Das DSGVO regelt den Umgang mit Daten von natürlichen Personen (personenbezogene Daten).

Die wesentlichen Verpflichtungen aus der DSGVO sind:

  • Personenbezogene Daten dürfen nur für bestimmte, erforderliche Zwecke gespeichert und verarbeitet werden (Minimierung der Datenverarbeitung)
  • Die betroffene Person muss der Speicherung und Verarbeitung der Daten ausdrücklich zustimmen
  • Personen haben für ihre Daten das Recht auf
    • Auskunft
    • Berichtigung
    • Löschung
    • Einschränkung der Verarbeitung
    • Datenübertragbarkeit
    • Widerspruch
    • Dokumentation der Verarbeitung
  • Personenbezogene Daten müssen gelöscht werden, wenn sie nicht mehr erforderlich sind
  • Werden Daten zur Verarbeitung weitergegeben, muss der Auftraggeber für die Einhaltung der DSGVO sorgen
    • Das gilt vor allem für die Daten-Speicherung und Verarbeitung außerhalb der EU
  • Für die Datenverarbeitung muss eine Risikoanalyse durchgeführt werden (Datenschutz-Folgeabschätzung)
  • Maßnahmen zur Einhaltung der DSGVO müssen umgesetzt werden

Für Unternehmen mit weniger als 250 Mitarbeitern sind die Verpflichtungen unter bestimmten Umständen reduziert.

Weitere Informationen dazu finden Sie hier:

Datenklassifizierung

Das DSGVO unterscheidet zwischen normalen und sensiblen Daten.

Sensible Daten sind:

  • Rassische und ethnische Herkunft
  • Politische Meinungen
  • Religiöse oder weltanschauliche Überzeugungen
  • Gewerkschaftszugehörigkeit
  • Genetische Daten
  • Biometrische Daten
  • Gesundheitsdaten
  • Daten zum Sexualleben oder der sexuellen Orientierung

Unter welchen Voraussetzung die Datenverarbeitung erlaubt ist

Sie dürfen personenbezogene Daten verarbeiten und speichern, wenn:

  • Sie die nachvollziehbare Einwilligung des Betroffenen haben
  • Ein gültiger Vertrag mit der betroffenen Person vorliegt (Kunden-Auftrag, Dienstvertrag etc.)
  • Eine gesetzliche Verpflichtung zur Datenspeicherung gegeben ist
  • Lebenswichtige Interessen des Betroffenen oder anderer natürlicher Personen vorliegen
  • Sie eine öffentliche Institution sind (Wahrnehmung von Aufgaben im öffentlichen Interesse oder Ausübung öffentlicher Gewalt)
  • Überwiegende berechtigte Interessen vorliegen (was wohl von einem Juristen zu klären ist)

Datenschutz-Folgeabschätzung

Dabei handelt es sich um eine Risikoanalyse zur Datenverarbeitung.

Die Datenschutz-Folgeabschätzung muss durchgeführt werden, wenn ein hohes Risiko für Rechte und Freiheiten von Personen (vermutlich) besteht. Z. B., in folgenden Fällen:

  • Profiling: Bewertung von Persönlichkeitsaspekten natürlicher Personen durch einen Algorithmus
  • Umfangreiche Verarbeitung sensibler Daten oder Daten zu strafrechtlichen Anschuldigungen
  • Umfangreiche, systematische Überwachung eines öffentlich zugänglichen Raumes

Umsetzung

DSGVO umsetzen

Analyse

Im ersten Schritt sollten Sie erheben, welche Maßnahmen zur Umsetzung der DSGVO notwendig sind. Dabei hilft Ihnen die Datenschutz-Checkliste der WKO.

Die DSGVO lässt Interpretationsspielraum, welche konkreten Maßnahmen erforderlich sind. Es ist nun Aufgabe der EU-Datenschutzbehörden, das zu konkretisieren. Verfolgen Sie daher Sie Veröffentlichungen zum Thema Datenschutz und DSGVO.

Maßnahmen definieren

Dokumentieren Sie die Maßnahmen in einem Projektplan bzw. einer Aufgabenliste (auch für Beweiszwecke):

  • Maßnahmen-Titel
  • Auslöser (z.B. konkrete DSGVO Verpflichtung)
  • Details zur Umsetzung
  • Verantwortlicher für die Umsetzung
  • Termin bis wann die Maßnahme umgesetzt ist
  • Status der Maßnahme (offen, in Arbeit, umgesetzt)

Beispiele für Maßnahmen zur DSGVO-Umsetzung:

  • Organisatorische Maßnahmen
    • Datenschutzbeauftragten nominieren
    • Verfahrensverzeichnis erstellen
    • Aufbewahrungsdauer für personenbezogene Daten definieren
    • Datenschutz-Folgeabschätzung durchführen
    • Auftragsverarbeitungsverträge abschließen
    • Fehlende bzw. mangelhafte Zustimmungen und Einverständniserklärungen einholen
    • Prozesse so gestalten, dass nur notwendige personenbezogene Daten erfasst werden
    • Regelung zum Datenzugriff (Einschränkung auf betriebsnotwendige Zugriffe, Dokumentation der Rechtevergabe)
    • Prozesse zur Erfüllung der Betroffenenrechte implementieren
    • Richtlinie zur Handhabung von Datenschutz-Vorfällen (Data Breach) implementieren
    • Mitarbeiter zum Datenschutz schulen
  • Technische Maßnahmen (IT Systeme)
    • Automatische Löschung von nicht mehr benötigten personenbezogenen Daten implementieren
    • Anwendungen so gestalten, dass nur notwendige personenbezogene Daten erfasst bzw. Daten pseudonymisiert werden
    • Umsetzung der Regelung zum Datenzugriff
    • IT-Sicherheitsmaßnahmen implementieren (siehe auch IT-Sicherheit im KMU)

Wenn Sie Fragen zur Notwendigkeit der Einwilligung zur Datenspeicherung haben, dann finden Sie auf dieser WKO Seite einige Antworten.

Auswirkungen auf die IT-Systeme

Websites und Web-Portale

Sie dürfen personenbezogene Daten nur für definierte Zwecke sammeln und Sie brauchen die nachvollziehbare Zustimmung der betroffenen Person.

Cookies gelten auch als personenbezogene Daten, da damit der Benutzer ermittelt werden kann. Damit muss der Benutzer der Speicherung von Cookies ausdrücklich zustimmen. Vor der Zustimmung dürfen keine Cookies auf dem Gerät des Benutzers gespeichert werden.

Auf Formularen mit personenbezogenen Daten (Kontaktformular, Newsletter-Anmeldung etc.) sollten Sie die Zustimmung zur Datenverarbeitung mit dem konkreten Verwendungszweck einholen.

Wenn Sie Daten für mehrere Zwecke sammeln, dann holen Sie die Zustimmung für jeden Verwendungszweck separat.

Für Nutzungsanalysen (z.B. Google Analytics) sollten Sie die Benutzer-Daten (IP-Adresse etc.) pseudonymisieren.

Veröffentlichen Sie eine Datenschutzerklärung auf der Website, in der die Verarbeitung und Verwendung der Daten beschrieben ist (Tipps dazu gibt die WKO).

IT-Systeme für Vertrieb und Marketing (CRM)

Die betroffene Person muss der Verarbeitung und Speicherung der Daten für Vertriebs- und Marketingzwecke zugestimmt haben und Sie müssen das beweisen können.

Sollte der Kontakt im persönlichen Gespräch zustande gekommen sein, dann holen Sie bitte die schriftliche Zustimmung bei nächster Gelegenheit nach.

Anforderungen an das CRM hinsichtlich DSGVO:

  • Berichtigung der personenbezogenen Daten ist überall möglich
  • Löschung der personenbezogenen Daten (bzw. Pseudonymisierung) bei Widerruf bzw. nach Ablauf der definierten Aufbewahrungsdauer
  • Einschränkung der Verarbeitung (z.B. keine Postsendungen, E-Mails)
  • Export der personenbezogenen Daten (Datenübertragbarkeit)

Warenwirtschaft / ERP Systeme

Zu Auftragsabwicklung bzw. Service-Erbringung ist keine Einwilligung zur Datenverarbeitung erforderlich, da ein Vertragsverhältnis vorliegt.

Wenn Sie die Daten auch für Vertriebs- und Marketing-Zwecke (z.B. Newsletter) verwenden wollen, dann brauchen Sie dafür eine eigene Zustimmung der betroffenen Personen.

Anforderungen an das ERP hinsichtlich DSGVO:

  • Berichtigung der personenbezogenen Daten ist überall möglich
  • Löschung der personenbezogenen Daten (bzw. Pseudonymisierung) bei Widerruf bzw. nach Ablauf der definierten Aufbewahrungsdauer
  • Einschränkung der Verarbeitung (z.B. keine Postsendungen, E-Mails)
  • Export der personenbezogenen Daten (Datenübertragbarkeit)

Personalverwaltung, Lohnverrechnung

Von Mitarbeitern brauchen Sie keine ausdrückliche Einwilligung zur Datenverarbeitung und Speicherung von „normalen Daten“, da ein Arbeitsvertrag vorliegt. Für die Datenverarbeitung von sensiblen Daten benötigen Sie eine ausdrückliche Zustimmung des Mitarbeiters.

Wenn Sie die Daten an einen Dienstleister zur Lohnverrechnung weitergeben:

  • Sie müssen die Mitarbeiter über die Weitergabe der Daten informieren
  • Mit dem Dienstleister müssen Sie einen Auftragsverarbeitungsvertrag abschließen (Muster der WKO)

Team- und Office-Software

Um die Löschung von nicht mehr benötigten personenbezogenen Daten zu erleichtern, sollten Sie Dokumente nach dem Inhalt von personenbezogenen Daten kategorisieren.

Das können Sie umsetzen mit:

  • Sortierter Ablage
  • Schema für Dateinamen
  • Software: z.B. neue Versionen von Microsoft Office, Windows 10 unterstützen die Kategorisierung von Dokumenten (siehe Office365 im KMU optimal nutzen).

Anforderungen an die Software hinsichtlich DSGVO:

  • Berichtigung der personenbezogenen Daten ist überall möglich
  • Löschung der personenbezogenen Daten (bzw. Pseudonymisierung) bei Widerruf bzw. nach Ablauf der definierten Aufbewahrungsdauer
  • Einschränkung der Verarbeitung (z.B. keine Postsendungen, E-Mails)
  • Export der personenbezogenen Daten (Datenübertragbarkeit)

Backup und Archiv-Lösungen

Sorgen Sie bei der Datensicherung dafür, dass die Backup-Daten nicht länger aufbewahrt werden, als die definierte Daten-Aufbewahrungsdauer erlaubt. Ggf. unterteilen Sie die Datensicherung in mehrere Backup-Sets je nach Daten-Aufbewahrungsdauer.

Auch in Archiven müssen nicht mehr benötigte personenbezogene Daten entfernt werden. Das ist meist ein Problem, da Archive eine Veränderung nicht erlauben. Ein Lösungsansatz dazu wäre, die Daten erst nach Ablauf der definierten Daten-Aufbewahrungsdauer zu archivieren. Damit können Sie die personenbezogenen Daten vor der Archivierung löschen oder pseudonymisieren.

In Deutschland wurde ein Unternehmen zu einer hohen Strafe verurteilt, weil es die Löschung von nicht mehr benötigten personenbezogenen Daten nicht umgesetzt hat.

Cloud Computing, Cloud-Services

Mit der Nutzung von Cloud Services geben Sie Daten an Dritte weiter und damit müssen die für die Einhaltung der DSGVO sorgen:

  • Mit jedem Cloud-Service Provider müssen Sie einen Auftragsverarbeitungsvertrag abschließen (Muster der WKO)
  • Die betroffenen Personen müssen über die Weitergabe der Daten informieren werden

Eine ausdrückliche Einwilligung der betroffenen Personen zur Weitergabe der Daten ist nicht erforderlich, da es sich um berechtigtes Interesse des Unternehmens handelt.