Suche
Suche Menü

Großer DSGVO-Guide mit Checkliste und Tipps für Unternehmen

DSGVO Anwalt

In unserem ausführlichen DSGVO-Guide geben wir Unternehmen praktische Hilfsmittel an die Hand, um die Umsetzung des Datenschutzrechts zu ermöglichen. Neben vielen Tipps finden Sie bei uns auch Links zu Generatoren, Mustervorlagen und vertiefenden Artikeln.

Unsere DSGVO Checkliste geht von einem Unternehmen aus, in dem noch keine Datenschutzvorgaben umgesetzt wurden. Sie eignet sich aber ebenso gut zur Kontrolle und ggf. Ergänzung bereits umgesetzter Datenschutzkonzepte.

Hinweis: Dieser Beitrag wurde nach bestem Wissen und Gewissen so zusammengestellt, dass Sie bei Umsetzung unserer Empfehlungen auf der sicheren Seite sind. Die Datenschutzgrundverordnung ist allerdings noch jung. Bei manchen Vorschriften ist unklar, wie sie zu verstehen sind. Offene Fragen wird die Rechtsprechung erst nach und nach beantworten. Daher können wir nicht versprechen, dass unsere Empfehlungen zu 100%iger Datenschutzkonformität führen. Nutzen Sie bei Fragen unsere kostenlose Ersteinschätzung.

I. Wichtige Grundbegriffe

Bevor Sie unsere Checkliste durcharbeiten, sollten Ihnen einige Grundbegriffe zum Datenschutzrecht bekannt sein, die wir nachfolgend kurz erläutern.

1. Automatisierte Verarbeitung personenbezogener Daten

Die DSGVO dient dem Schutz personenbezogener Daten. Gemeint sind alle Informationen, die sich auf eine bestimmte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Diese weite Definition erfasst alle Informationen, die irgendwie einem bestimmten Menschen zugeordnet werden können, ggf. auch erst mithilfe Dritter.

Auch pseudonyme Informationen werden als personenbezogene Daten eingestuft werden, weil sie zwar nicht direkt, aber durch eine Transferleistung einer natürlichen Person zugeordnet werden können.

Ausgenommen vom Anwendungsbereich der DSGVO sind anonyme Informationen, die keiner Person zugeordnet werden können.

Beispiel: Personenbezogene Daten sind neben äußeren Merkmalen wie zum Beispiel der Augenfarbe auch innere Zustände (z.B. Meinungen und Handlungsmotive) sowie Beziehungen zu Dritten und der Umwelt (z.B. Verträge, Chatverläufe). Diese Daten sind selbst dann personenbezogen, wenn sie im Internet nur einem Pseudonym (= Nutzernamen) zugeordnet werden können, weil mithilfe des Internetproviders die wirkliche Identität des Nutzers herausgefunden werden kann. Daher sind auch IP-Adressen als personenbezogene Daten einzustufen (vgl. Kühling/Buchner/Klar, DSGVO Kommentar, Art. 4 Nr. 1 Rn. 28).

Die DSGVO unterscheidet grundsätzlich nicht nach Wert oder Art der Daten. Es gibt kein belangloses Datum (vgl. Kühling/Buchner/Klar, DSGVO Kommentar, Art. 4 Nr. 1 Rn. 9). Einzige Ausnahme, bei der es auf die Art des Datums ankommt, sind die besonderen Kategorien personenbezogener Daten nach Art. 9 und 10 DSGVO. Für deren Verarbeitung gelten schärfere Voraussetzungen.

Die DSGVO ist zu beachten, wenn eine automatisierte Verarbeitung personenbezogener Daten stattfindet oder wenn solche Daten bei einer nichtautomatisierten Verarbeitung in Dateisystemen gespeichert werden oder gespeichert werden sollen (Art. 2 Abs. 1 DSGVO). Als Verarbeitung definiert Art. 4 Nr. 2 DSGVO

„jeden (…) Vorgang (…) im Zusammenhang mit personenbezogenen Daten“

und nennt zahlreiche Beispiele, z.B. die Erhebung, Speicherung, Verwendung oder Übermittlung personenbezogener Daten (und noch viele weitere). Eine Differenzierung zwischen den verschiedenen Arten der Datenverarbeitung ist für die Anwendbarkeit der DSGVO nicht nötig.

Automatisiert ist die Datenverarbeitung, wenn eine Datenverarbeitungsanlage zum Einsatz kommt, also insbesondere ein Computer oder sonstiges elektronisches Speichersystem. Für handschriftliche Notizen gilt die DSGVO dagegen nicht. Aber Vorsicht: werden handschriftliche Notizen in einem Akten- oder Archivsystem erfasst, gilt die DSGVO doch. Daneben gibt es einige prominente Streitfälle, die in der Rechtswissenschaft diskutiert werden (Beispiel: Anfertigen von Klingelschildern durch den Vermieter).

Ausgenommen von der DSGVO, aber für Firmen kaum relevant, sind Datenverarbeitungen durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten (sog. Haushaltsprivileg, Art. 2 Abs. 2 c) DSGVO). Besonderheiten gelten für auch die Presse. Wegen Art. 85 DSGVO bestehen für Presseunternehmen und deren Hilfsunternehmen über die Landespressegesetze bzw. Landesdatenschutzgesetze bei der Erhebung und Verarbeitung von personenbezogenen Daten kaum Datenschutzvorgaben. In Bezug auf das Recht am eigenen Bild haben wir eigenständige FAQ zur Rechtslage unter Geltung der DSGVO bzw. dem KUG verfasst.

Abgesehen von den beschriebenen Ausnahmen fällt für Unternehmen praktisch jeder Umgang mit personenbezogenen Daten unter die DSGVO. Wer auf der sicheren Seite sein möchte, sollte im Zweifel stets von einer Anwendbarkeit der DSGVO ausgehen.

Nach oben

2. Beteiligte am Datenverarbeitungsprozess

Der Begriff der „personenbezogene Daten“ beinhaltet, dass eine Person existieren muss, der die Daten zuzuordnen sind. Diese Person wird von der DSGVO betroffene Person genannt.

Auf der „Gegenseite“ gibt es wiederum immer jemand, der die Verarbeitung der personenbezogenen Daten durchführt oder deren Verarbeitung zumindest in Auftrag gegeben hat. Dies ist der Verantwortliche, der alleine oder gemeinsam mit anderen Verantwortlichen über die Zwecke und Mittel der Verarbeitung entscheidet (Art. 4 Nr. 7 DSGVO). An ihn richten sich die meisten Vorschriften der DSGVO, die bei der Datenverarbeitung beachtet werden müssen.

Der Verantwortliche muss die Datenverarbeitung nicht unbedingt selbst ausführen, sondern kann einen Auftragsverarbeiter damit beauftragen(Art. 4 Nr. 8 DSGVO). Auch der Auftragsverarbeiter unterliegt weitreichenden Verpflichtungen der DSGVO, oftmals denselben wie der Verantwortliche. Das entscheidende Abgrenzungsmerkmal des Auftragsverarbeiters ist, dass er den Weisungen des Verantwortlichen unterliegt, also selbst nicht über die Datenverarbeitung entscheidet, sondern diese nur für den Verantwortlichen durchführt (vgl. Kühling/Buchner/Hartung, DSGVO Kommentar, Art. 4 Nr. 8 Rn. 7).

Unternehmen treten gegenüber ihren Kunden in aller Regel als Verantwortliche auf. Dieser Artikel beleuchtet daher die Pflichten von Unternehmen als Verantwortlichen für die Verarbeitung von personenbezogenen Daten ihrer Kunden, Arbeitnehmer und sonstigen Dritten.

Überblick: Die DSGVO gilt

  • für Verantwortliche und deren Auftragsverarbeiter, die
  • personenbezogene Daten
  • automatisiert verarbeiten (Hauptfall) oder nicht-automatisiert verarbeiten durch Speicherung in Dateisystemen (Sonderfall),
  • sofern die Anwendbarkeit der DSGVO nicht ausnahmsweise ausgeschlossen ist.

Nach oben

II. DSGVO-Checkliste für Unternehmen

Im Folgenden finden Sie eine Checkliste der umsetzungsbedürftigen DSGVO-Anforderungen, jeweils mit einer kurzen Erläuterung der Anforderung und konkreten Handlungshinweisen. Für weitergehende Informationen zu den einzelnen Themen verweisen wir auf vertiefende Artikel, Links zu Generatoren und Mustervorlagen, die Ihnen die Umsetzung erleichtern werden.

Eine wesentliche Neuerung der DSGVO ist die umfassende Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO. Unterstellt die Datenschutzaufsichtsbehörde einem Unternehmen Datenschutzverstöße, muss das Unternehmen nachweisen, dass es die betroffenen personenbezogenen Daten rechtskonform verarbeitet und nicht umgekehrt (siehe auch Punkt 8 unserer Checkliste). Dokumentieren Sie daher die Umsetzung unserer Checkliste.

Nach oben

1. Rechtmäßige Datenverarbeitung

Der erste Schritt hin zu einem datenschutzkonformen Unternehmen ist es, sicherzustellen, dass alle Datenverarbeitungsvorgänge im Unternehmen rechtmäßig durchgeführt werden. Dies lässt sich systematisch in fünf Schritten gewährleisten.

a) Erfassen aller Datenverarbeitungsvorgänge

Ausgangspunkt ist die Frage, wo in Ihrem Unternehmen DSGVO-relevante Daten verarbeitet werden. Ein Datenschutzverarbeitungsvorgang ist im Ergebnis jeder Umgang mit personenbezogenen Daten. Verschaffen Sie sich daher zu Beginn einen Überblick über die verschiedenen Verarbeitungstätigkeiten in Ihrem Unternehmen.

Als Unternehmer werden Sie vor allem Daten von zwei verschiedenen Personengruppen verarbeiten:

  • Kunden/Geschäftspartner (z.B. Erhebung von Kontakt- und Kontodaten, Übermittlung an Partnerunternehmen, Speichern von Einkaufsverhalten).
  • Beschäftigte, insbesondere Arbeitnehmer (z.B. Erhebung von Kontakt- und Kontodaten, Speichern und Organisieren von Arbeitszeiten und Arbeitserträgen, Anfertigen und Veröffentlichen von Fotos auf der Firmenwebsite).
  • Auch Bewerber, Websitebesucher und sonstige Dritte können von Datenverarbeitungen betroffen sein.

Naturgemäß gibt es je nach Unternehmen und Geschäftsfeld unzählige denkbare Verarbeitungsmöglichkeiten. Beachten Sie insbesondere, dass ein einheitlicher Lebensvorgang oft mehrere Datenverarbeitungsvorgänge enthält. Geben Sie beispielsweise die von einem Kunden diktierten Kontaktdaten in einen Computer ein, liegt gleichzeitig eine Erhebung und Speicherung der Daten vor.

Weitere Erläuterungen und Beispiele für Datenverarbeitungen finden Sie beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein.

Überblick: Beispiele für typische Verarbeitungstätigkeiten in Unternehmen

Kunden/Geschäftspartner:

  • Vertragsdatenmanagement (Beispiele für betroffene Daten: Kontaktdaten, Kontodaten, bisher abgewickelte Einzelkäufe oder -dienstleistungen, Rechnungen)
  • Auswertung des Kaufverhaltens (Beispiele für betroffene Daten: Besuche der Webseite, IP-Adressen, angesehene Produkte, gekaufte Produkte, Kaufmodalitäten, Kaufkategorien)
  • Newsletter (Beispiele für betroffene Daten: E-Mailadresse, Name)
  • Gewinnspiele (Beispiele für betroffene Daten: Name, Kontaktdaten)

Beschäftigte

  • Lohnabrechnung (Beispiele für betroffene Daten: Name, Geburtsdatum, Kontaktdaten, Bankverbindung, Gehalt, Arbeitszeiten etc.)
  • Arbeitszeiterfassung (Beispiele für betroffene Daten: Name, genaue Arbeitszeit, Arbeitsverhalten etc.)

Notieren Sie in einem Verarbeitungsverzeichnis alle Datenverarbeitungsvorgänge, die in Ihrem Unternehmen stattfinden. Benennen Sie, welche personenbezogenen Daten verarbeitet werden und wie diese Daten verarbeitet werden.

Nach oben

b) Rechtsgrundlagen festlegen

Wenn Sie einen Überblick über alle Datenverarbeitungsvorgänge in Ihrem Unternehmen gewonnen haben, müssen Sie festlegen, auf welcher Rechtsgrundlage die Datenverarbeitung erfolgt. Dabei gelten für die Daten von Beschäftigten andere Grundsätze als für die Daten sonstiger Personen.

Daten von Beschäftigten

Die Verarbeitung von Beschäftigtendaten des eigenen Unternehmens richtet sich vorrangig nach § 26 BDSG und in erster Linie nicht nach der DSGVO. Das liegt daran, dass der europäische Gesetzgeber die Regelung dieses Gebiets weitgehend den Mitgliedstaaten überlassen hat (Art. 88 DSGVO).

Die Verarbeitung von personenbezogenen Daten der Beschäftigten ist insbesondere in drei Fällen zulässig:

  • Die Datenverarbeitung ist zur Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich (§ 26 Abs. 1 S. 1 BDSG). Diese Ermächtigungsgrundlage wird in den meisten Fällen einschlägig sein, weil darüber alle gängigen Maßnahmen der Mitarbeiterverwaltung erfasst sind.
  • Zur Aufdeckung von Straftaten, deren der Beschäftigte verdächtigt wird (§ 26 Abs. 1 S. 2 BDSG).
  • Es liegt eine Einwilligung des Beschäftigten vor (§ 26 Abs. 2 BDSG, Art. 4 Nr. 11 DSGVO). Eine Einwilligung ist für Datenverarbeitungen erforderlich, die nicht unmittelbar Gegenstand des Beschäftigtenverhältnisses sind, zum Beispiel das Hochladen von Fotos des Beschäftigten auf die Firmenwebsite.
  • Soweit § 26 BDSG keine besondere Regelung trifft, können die Regeln der DSGVO zu den sonstigen Daten anwendbar sein (so die Datenschutzkonferenz der Datenschutzbehörden).

Weitere Informationen zum Beschäftigtendatenschutz finden Sie in diesem Kurzpapier der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK).

Sonstige Daten, insbesondere von Kunden

Die Verarbeitung von allen anderen Daten ist in der DSGVO geregelt. Nach der DSGVO ist die Verarbeitung von personenbezogenen Daten grundsätzlich untersagt, es sei denn, dass ein Erlaubnistatbestand eingreift (sog. Verbotsprinzip). Die allgemeinen Erlaubnistatbestände sind in Art. 6 DSGVO geregelt.

Eine Datenverarbeitung ist nur rechtmäßig, wenn mindestens ein Erlaubnistatbestand aus Art. 6 DSGVO einschlägig ist. Für die Datenverarbeitung im Unternehmen sind vor allem folgende Erlaubnistatbestände relevant:

  • Es liegt eine Einwilligung der betroffenen Person zur konkreten Verarbeitung ihrer personenbezogenen Daten vor (Art. 6 Abs. 1 S. 1 lit. a DSGVO), , dazu näher unter c).
  • Die Verarbeitung ist zur Erfüllung eines Vertrags mit der betroffenen Person oder zur Durchführung vorvertraglicher, von der betroffenen Person beantragter Maßnahmen erforderlich (Art. 6 Abs. 1 S. 1 lit. b DSGVO). Es geht hier um Fälle, in denen die Daten verarbeitet werden müssen, damit die vertraglich vereinbarte Leistung in der verabredeten Form erbracht werden kann.
  • Der Verantwortliche ist zur Datenverarbeitung verpflichtet (Art. 6 Abs. 1 S. 1 lit. c DSGVO). Wenn das Gesetz den Verantwortlichen verpflichtet, bestimmte Daten in einer Art zu verarbeiten, muss diese Verarbeitung sinnhafterweise auch rechtmäßig sein.
  • Das berechtigte Interesse des Verantwortlichen an der Datenverarbeitung überwiegt die Interessen und Rechte der betroffenen Person (Art. 6 Abs. 1 S. 1 lit. f DSGVO). Hier ist eine Interessenabwägung erforderlich. Es geht vor allem um Datenverarbeitungen, die für die betroffene Person erwartbar waren und ihr keine großen Nachteile verursachen, sondern ihr sogar auch einen Mehrwert bieten.
  • Darüber hinaus lässt die DSGVO eine Datenverarbeitung auch zu, wenn dies zum Schutz lebenswichtiger Interessen oder zur Wahrnehmung öffentlicher Aufgaben erforderlich ist (Art. 6 Abs. 1 S. 1 lit. d und e). Diese Tatbestände spielen für Unternehmer in aller Regel aber keine Rolle.

Tipp: Die Einwilligung wird traditionell als Allheilmittel des Datenschutzrechts angesehen. Abgesehen davon, dass für die Erteilung der Einwilligung strenge Anforderungen gelten, kann das Einholen einer Einwilligung sogar rechtswidrig sein, wenn sie für den konkreten Verarbeitungsvorgang nicht erforderlich ist. Weiterer Nachteil einer Einwilligung ist, dass sie jederzeit widerrufen werden kann. Daher empfiehlt es sich, die Datenverarbeitung nach Möglichkeit auf einen anderen gesetzlichen Erlaubnistatbestand zu stützen und nur als letztes Mittel auf Einwilligungen zurückzugreifen.

Je nach Art der verarbeiteten Daten („Was“ wird verarbeitet?) oder der Art der Datenverarbeitung („Wie“ wird verarbeitet?) müssen zusätzliche oder schärfere Voraussetzungen erfüllt werden:

  • bei besonderen Kategorien personenbezogener Daten (besonders sensible Daten, u.a. über die Gesundheit, die Sexualität oder die politische Einstellung) nach Art. 9 DSGVO.
  • bei der Erhebung von Daten müssen die Zwecke, zu denen die Daten erhoben werden, eindeutig festgelegt werden (sog. Zweckbindung, Art. 5 Abs. 1 lit. b DSGVO).
  • bei automatisierten Entscheidungen im Einzelfall, insbesondere Profiling (Art. 22 DSGVO).
  • wenn die Daten zu einem anderen Zweck verarbeitet werden, als zu dem sie erhoben wurden (Zweckänderung, Art. 6 Abs. 4 DSGVO). Eine Zweckänderung ist nur zulässig, wenn der neue Zweck mit dem ursprünglichen Zweck vereinbar ist. Dies bestimmt sich insbesondere danach, ob die betroffene Person mit der Zweckänderung rechnen musste (siehe Erwägungsgrund 50 Satz 6 DSGVO).
  • bei einer Videoüberwachung im öffentlichen Raum (§ 4 BDSG). Hier ist im Ergebnis auch eine Abwägung zwischen dem Interesse an der Überwachung und dem entgegenstehenden Interesse der betroffenen Personen erforderlich.

Überblick und Beispiele: Rechtsgrundlage für Datenverarbeitung

von Beschäftigten:

  • erforderlich zur Durchführung des Beschäftigungsverhältnisses (z.B. Speichern von Konto- und Kontaktdaten, Weitergabe von Daten an Sozialversicherung, Erfassen von Aktivitäten in digitalen Arbeitsdokumenten etc.),
  • dient der Aufdeckung von Straftaten (z.B. Videoüberwachung wegen Verdachts des Diebstahls, Auslesen von elektronischen Arbeitsvorgängen wegen Verdachts der Untreue etc.),
  • Einwilligung, jedoch erhöhte Anforderungen an Freiwilligkeit (z.B. Fotos auf der Firmenhomepage, Teilnahme an unternehmensinternem Gewinnspiel etc.),

sonstige Daten, insbesondere Kunden und Geschäftspartner:

  • erforderlich zur Vertragserfüllung (z.B. Speichern von Daten für Rechnungsstellung, Weitergabe von Daten an Paketdienst, Erhebung von Körpermaßen bei Modegeschäften etc.)
  • gesetzliche Verpflichtung (z.B. steuer- und handelsrechtliche Aufbewahrungsverpflichtungen, Weitergabe von Daten an Strafverfolgungsbehörde etc.)
  • überwiegendes berechtigtes Interesse → Abwägung (z.B. Information über Sonderangebote, Verarbeitung mit Google Analytics)
  • Einwilligung (z.B. Newsletter, Veröffentlichung von Fotos etc.)

spezielle zusätzliche Regelungen:

  • besondere Kategorien personenbezogener Daten (z.B. Sexualität, Gesundheit, Religion etc) → Art. 9 DSGVO
  • Erhebung von Daten → Art. 5 Abs. 1 lit. b DSGVO
  • automatisierte Entscheidungen (z.B. Profiling im Bewerbungsverfahren, Fingerabdruckscanner für Zugang zu bestimmten Bereichen) → Art. 22 DSGVO
  • Zweckänderung (Verwendung von Kundendaten zu Werbezwecken, Weitergabe von Adressen von Beschäftigten an Polizei bei Suizidgefahr) → Art. 6 Abs. 4 DSGVO
  • Videoüberwachung im öffentlichen Raum (z.B. Geldautomaten, Kassenbereich von Supermarkt) → § 4 BDSG

Legen Sie die Rechtsgrundlagen für alle Verarbeitungen von personenbezogenen Daten Ihres Unternehmens fest. Prüfen Sie dazu, ob der Zweck der Datenverarbeitung von einem der Erlaubnistatbestände erfasst wird und ob ggf. zusätzliche Voraussetzungen erfüllt werden müssen.

Nach oben

c) Einwilligungen kontrollieren und wenn nötig neu einholen

Falls Ihnen bei der Prüfung eine oder mehrere Datenverarbeitungen aufgefallen sind, die entweder durch keinen Erlaubnistatbestand gedeckt sind oder auf eine Einwilligung gestützt werden, ist Vorsicht geboten. Prüfen Sie zunächst, ob bestehende alte Einwilligungen die Voraussetzungen der DSGVO erfüllen. Wenn dies nicht der Fall ist, müssen Sie die Einwilligungen neu einholen.

Hinweis: Eine Neueinholung von Einwilligungen stellt nicht die erste, sondern letzte Option dar und sollte nach Möglichkeit vermieden werden. Prüfen Sie insbesondere, ob die betroffene Datenverarbeitung auf ein berechtigtes Interesse nach Art. 6 Abs. 1 f) DSGVO gestützt werden kann. 

Die Anforderungen an eine wirksame Einwilligung lauten:

  • Einwilligungsfähigkeit des Einwilligenden oder Zustimmung eines gesetzlichen Vertreters (Art. 8 DSGVO): Minderjährige dürfen in Deutschland ab 16 Jahren selbst einwilligen, davor bedarf es der Zustimmung der Eltern.
  • Freiwilligkeit der Einwilligung (Art. 4 Nr. 11, Art. 7 Abs. 4 DSGVO): Die Einwilligung muss freiwillig erfolgen. Das ist nicht mehr der Fall, wenn der betroffenen Person Nachteile drohen, wenn sie die Einwilligung verweigert, insbesondere, wenn eine vertragliche Leistung von der Einwilligung abhängig gemacht wird (sog. Kopplungsverbot). Der betroffene Person muss eine echte Wahlmöglichkeit erhalten. Besonders hoch sind die Anforderungen bei Einwilligungen von Beschäftigten (§ 26 Abs. 2 BDSG).
  • Informiertheit der Einwilligung (Art. 4 Nr. 11 DSGVO): Der Einwilligende muss zumindest wissen, wer der Verantwortliche ist und zu welchen Zwecken seine personenbezogenen Daten verarbeitet werden (siehe Erwägungsgrund 42 Satz 3 DSGVO).
  • Bestimmtheit (Art. 6 Abs. 1 S. 1 lit a DSGVO): Die Einwilligung muss sich auf bestimmte Datenverarbeitungen beziehen. Nicht zulässig sind „Blanko-Einwilligungen“.
  • Form: Grundsätzlich ist die Einwilligung formfrei und kann auch mündlich oder sogar durch konkludentes Handeln erteilt werden, Hauptsache, die Erklärung ist unmissverständlich. Weil Sie als Verantwortlicher aber beweisen müssen, dass eine Einwilligung vorlag, empfiehlt es sich, Einwilligungen nach Möglichkeit in Schriftform einzuholen (Art. 7 Abs. 1 DSGVO).
  • Widerruf: Die betroffene Person kann die Einwilligung jederzeit widerrufen (Art. 7 Abs. 3 DSGVO). Ab diesem Zeitpunkt dürfen die personenbezogenen Daten nicht mehr verarbeitet werden. Über diesen Umstand muss die betroffene Person vor Erteilung der Einwilligung in Kenntnis gesetzt werden (Art. 7 Abs. 3 S. 3 DSGVO).

Überblick: Checkliste für eine wirksame Einwilligung

I. Einwilligungsfähigkeit: Person mindestens 16 Jahre, sonst Einwilligung der Eltern erforderlich

II. Freiwilligkeit: wirkliche Wahlmöglichkeit, keine materiellen oder auch sozialen Nachteile bei Nichtabgabe, keine Kopplung mit vertraglicher Leistung

III. Informiertheit: Einwilligender kennt Zweck und Verantwortlichen der Datenverarbeitung

IV. Bestimmtheit: keine „Blanko-Einwilligung“, sondern bestimmter Vorgang

V. Form: grundsätzlich keine Vorgaben, aus Nachweiszwecken aber Schriftform zu empfehlen

VI. Widerrufsbelehrung

☐ Kontrollieren Sie Einwilligungen, die auf Basis des BDSG eingeholt wurden, auf Ihre DSGVO-Konformität. Holen Sie falls nötig neue Einwilligungen ein bzw. prüfen Sie, ob ein alternativer Erlaubnistatbestand des Art. 4 DSGVO eingreift.

Tipp: Nutzen Sie hierzu die folgende Mustervorlage (rot = individuell auszufüllen):

Hiermit willige ich, (Name), ein, dass meine folgenden personenbezogenen Daten:

  • (Art personenbezogener Daten)
  • (Art personenbezogener Daten)

in folgender Weise durch (Verantwortlicher) verarbeitet werden:

  • (geplante Verarbeitungsform)
  • (geplante Verarbeitungsform)

Die Datenverarbeitung erfolgt zu folgenden Zwecken:

  • (Zweck der Verarbeitung)
  • (Zweck der Verarbeitung)

Es besteht dabei die Gefahr, dass (ggf. besondere Risiken der Datenverarbeitung, z.B. bei Veröffentlichung).

Ich habe die Einwilligung freiwillig abgegeben und kann sie jederzeit mit Wirkung für die Zukunft widerrufen. Ab diesem Zeitpunkt dürfen meine Daten nicht mehr verarbeitet werden und müssen unverzüglich gelöscht werden. Die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung bleibt unberührt.

Ich kann meine Widerrufserklärung auf dem gleichen Wege an (Verantwortlicher) richten, auf dem ich diese Einwilligung erteile.

(Unterschrift, Ort und Datum)

d) Datenschutzfreundliche Technikgestaltung & Voreinstellungen, Datenminimierung

Die DSGVO verpflichtet Unternehmen, ihre Strukturen so datenschutzfreundlich wie möglich zu organisieren. Dies äußert sich in zwei Anforderungen:

  • Datenschutzfreundliche Technikgestaltung und Voreinstellungen (Art. 25 DSGVO): Wenn Sie für Ihre Kunden IT-Dienstleistungen erbringen, müssen Sie bereits bei der Entwicklung dieser Produkte den Datenschutz berücksichtigen. Das äußert sich zum einen darin, dass die verwendete Technik datenschützende Maßnahmen wie eine Pseudonymisierung oder wenn möglich gar Anonymisierung von personenbezogenen Daten umsetzt („Privacy by Design“). Zum anderen muss Ihr Produkt immer die datenschutzfreundlichste Option als Voreinstellung wählen („Privacy by Default“). So sollte beispielsweise die Option zur Verwendung von Nutzerdaten für die Systemoptimierung in einem Registrierungsformular nicht standardmäßig vorausgewählt sein.
  • Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO): Speichern Sie personenbezogene Daten nur in dem Maße und nur für den Zeitraum, der zur Zweckerreichung unbedingt erforderlich ist. Zum Beispiel sollten auf einem Formular mit einem Geschäftspartner nicht mehr Daten abgefragt werden als zur Vertragsdurchführung nötig. Sind Daten für die Zwecke, zu denen sie erhoben wurden, nicht mehr notwendig, müssen sie unverzüglich gelöscht werden (Art. 17 Abs. 1 lit. a DSGVO).

Eine Erläuterung mit Beispielen zur datenschutzfreundlichen Technikgestaltung finden Sie hier. Viele Beispiele zur Praktizierung des Prinzips der Datenminimierung bietet dieser Artikel.

Kontrollieren Sie (sofern vorhanden) von Ihnen betriebene oder bereitgestellte IT-Systeme. Gestalten Sie diese so datenschutzfreundlich wie möglich, insbesondere indem Sie datenschutzfreundliche Voreinstellungen auswählen.

Kontrollieren Sie von Ihnen gespeicherte personenbezogene Daten. Löschen Sie alle Daten, die Sie nicht mehr benötigen.

☐ Kontrollieren Sie Ihre Formulare. Erheben Sie nur die Daten, die Sie wirklich benötigen.

e) Datenschutzfolgeabschätzungen

Eine spezielle Pflicht regelt Art. 35 DSGVO: Bei besonders risikoreichen Datenverarbeitungen ist eine sog. Datenschutzfolgenabschätzung durchzuführen.

Eine besonders risikoreiche Datenverarbeitung liegt insbesondere dann vor, wenn:

  • eine systematische und umfassende Bewertung persönlicher Aspekte der betroffenen Person stattfindet und diese auf einer automatisierten Verarbeitung basiert (Art. 35 Abs. 3 lit. a DSGVO),
  • in großen Umfang besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) oder Daten über strafrechtliche Verurteilungen und Straftaten verarbeitet werden (Art. 35 Abs. 3 lit. b DSGVO) oder
  • eine systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche erfolgt (Art. 35 Abs. 3 lit. c DSGVO).

Die deutsche Datenschutzkonferenz, das Gremium, in dem sich alle Datenschutzbehörden abstimmen, hat eine Liste veröffentlicht mit den Verarbeitungstätigkeiten, bei denen in jedem Fall eine Datenschutzfolgenabschätzung durchzuführen ist. Die DSK weist darauf hin, dass die Liste nicht vollständig ist. Es handelt sich aber zumindest um eine hilfreiche Richtlinie.

Kommen Sie bei der Datenschutzfolgenabschätzung zu dem Ergebnis, dass ein hohes Risiko besteht, sind Sie gem. Art. 36 Abs. 1 DSGVO verpflichtet, die Aufsichtsbehörde (= Landesbeauftragter für Datenschutz) zu konsultieren.

Ausführliche Anleitungen zur Vorgehensweise bei Datenschutzfolgenabschätzungen finden Sie hier und hier.

☐ Führen Sie für Datenverarbeitungen, bei denen es erforderlich ist, eine Datenschutzfolgenabschätzung durch.

Überblick: Musteraufbau einer Datenschutzfolgenabschätzung

I. Systematische Beschreibung der besonders risikoreichen Datenverarbeitung

  1. Art der Verarbeitung
  2. Technische und organisatorische Gestaltung der Verarbeitung
  3. Beteiligte (Mitarbeiter, Auftragsverarbeiter, Hersteller verwendeter Technik) und betroffene Personen
  4. Zweck der Verarbeitung
  5. Rechtsgrundlage der Verarbeitung

II. Risikobewertung

  1. Risikoidentifikation: Welche Gefahren drohen der betroffenen Person potentiell?
  2. Risikoanalyse: Wie wahrscheinlich ist ein Eintritt eines Schadens? Inwieweit ist die konkrete Datenverarbeitung die Ursache dafür? Bestünde das Risiko ohnehin auch, wenn die Verarbeitung nicht vorgenommen würde?

III. Erforderlichkeit der Datenverarbeitung

Ist die Verarbeitung angesichts ihres Zwecks und der bestehenden Risiken notwendig und verhältnismäßig?

IV. Abhilfemaßnahmen

Welche Maßnahmen werden getroffen, um die Risiken zu bewältigen? Hier sollten technische und organisatorische Maßnahmen genannt werden.

Nach oben

2. Informationspflichten: Datenschutzerklärungen/Datenschutzhinweise

Ein Merkmal der DSGVO sind die weitreichenden Informationspflichten, die den Verantwortlichen treffen. Nach Art. 13 und 14 DSGVO müssen bei der Erhebung von Daten die betroffenen Personen über einen Katalog von zwölf verschiedenen Informationen informiert werden. Das gilt grundsätzlich sogar dann, wenn die Daten gar nicht bei der betroffenen Person selbst erhoben werden, sondern von einem Dritten stammen. Hier kann gem. Art. 14 Abs. 4 DSGVO die Informationspflicht ausnahmsweise entfallen, wenn die betroffenen Person die Informationen bereits hat oder die Umsetzung der Informationspflicht nicht zumutbar ist.

Der Zeitpunkt, zu dem die Informationspflicht umgesetzt werden muss, unterscheidet sich danach, wo die personenbezogenen Daten erhoben werden:

  • Werden die Daten bei der betroffenen Person erhoben, müssen die Informationen im Zeitpunkt der Erhebung mitgeteilt werden. Faktisch bedeutet dies, dass die Informationen vor der Datenerhebung erteilt werden müssen (vgl. Kühling/Buchner/Bäcker, DSGVO Kommentar, Art. 13 Rn. 56).
  • Werden die Daten bei einem Dritten erhoben, sind die Informationen so bald wie möglich zu erteilen, spätestens nach einem Monat.

In der Praxis kann ein Großteil der Informationspflichten durch drei standardmäßige Formulare erfüllt werden:

  • Datenschutzhinweise vor Vertragsschluss: Hier wird über die Verarbeitung von Daten informiert, die zur Durchführung eines abzuschließenden Vertrags nötig sind (oft als Kunden-Informationsschreiben bezeichnet). Dies sollte dem Kunden vor Vertragsschluss und Erhebung seiner Daten (insbesondere durch Ausfüllen eines Formulars) zur Kenntnis gebracht werden. Teilweise wird in der juristischen Literatur vertreten, es genüge, die Datenschutzhinweise nur auf der Website bereitzuhalten und bei Vertragsschluss darauf zu verweisen (vgl. Schaffland/Wiltfang, DSGVO Kommentar, Art. 13 Rn. 6). Auf der sicheren Seite sind Sie aber, wenn Sie die Datenschutzhinweise zum einen auf Ihrer Website bereithalten, zum anderen aber auch bei jedem Vertragsschluss ein Exemplar aushändigen (sei es gedruckt oder digital).
  • Datenschutzerklärung auf der Website: Durch eine Datenschutzerklärung auf Ihrer Website werden Besucher über die Verarbeitung Ihrer personenbezogenen Daten beim Besuch des Webauftritts informiert. Die denkbaren Datenverarbeitungen auf einer Website reichen von Cookies über Kontaktformulare bis zu Newslettern. Die Datenschutzerklärung muss von jederzeit von allen Unterseiten Ihrer Website aus mit einem Klick erreichbar sein. Gängig und empfehlenswert ist es, einen Link im Footer jeder Webseite Ihres Internetauftritts zu platzieren. Ebenfalls ratsam ist es, von allen Social-Media-Profilen Ihres Unternehmens aus eine Verlinkung auf Ihre Datenschutzerklärung zu setzen.
  • Mitarbeiter-Informationsschreiben: Da Sie nicht nur personenbezogene Daten Ihrer Kunden, sondern auch solche Ihrer Beschäftigten verarbeiten, müssen Sie auch Ihre Beschäftigten über die Datenverarbeitung informieren. Dabei ist es praktikabel, jedem Mitarbeiter ein gedrucktes Exemplar auszuhändigen.

Hinweis: Die Informationspflichten nach Art. 13 und 14 DSGVO sind grundsätzlich im Sinne des Gebots der leichten Zugänglichkeit (Art. 12 Abs. 1 S. 1 DSGVO) ohne Medienbruch zugänglich zu machen (vgl. Kühling/Buchner/Bäcker, DSGVO Kommentar, Art. 13 Rn. 58). Wenn also Daten schriftlich (= analog) erhoben werden, sollte auch die Information der betroffenen Person auf analogem Wege erfolgen. Werden die Daten in einem digitalen Formular erhoben, sollten die Informationen per Link auf diesem Formular zur Verfügung gestellt werden.

Die Informationsschreiben müssen gemäß Art. 12 Abs. 1 DSGVO in präziser und verständlicher Sprache geschrieben sein.

Es genügt dann, dass die Informationen von den betroffenen Personen zur Kenntnis genommen werden. Deren „Zustimmung“ ist nicht erforderlich. Zumindest bei Ihren Kunden und Mitarbeitern ist es aus Dokumentationszwecken aber sinnvoll, eine Bestätigung der Kenntnisnahme einzuholen (siehe Punkt 8 unserer Checkliste). Dies kann zum Beispiel durch ein nicht vorangekreuztes Kästchen auf einem Formular oder eine eigenständige Erklärung erfolgen.

Erstellen Sie Datenschutzhinweise für den Vertragsschluss, eine Datenschutzerklärung für Ihre Website sowie (falls einschlägig) Mitarbeiter-Informationsschreiben (kostenloser Generator) und/oder Kunden-Informationsschreiben (kostenloser Generator).

☐ Gewährleisten Sie, dass die betroffenen Personen vor der Datenerhebung Kenntnis von den Informationen nehmen. Prüfen und ggf. überarbeiten Sie dazu Ihre Formulare und Ihre Website.

Tipp: Eine DSGVO-konforme Datenschutzerklärung für Ihre Website erhalten Sie bei avalex.de. Die avalex Datenschutzerklärung wird nach dem Kauf per Plugin mit wenigen Klicks auf Ihrer Website installiert. Danach passt sich der Rechtstext automatisch an die aktuelle Rechtslage an. Für den allgemeinen Teil der Datenschutzerklärung sowie Belehrungstexte zu zahlreichen Webdiensten gewährt avalex Abmahnkostenschutz (Hinweis: Niklas Plutte ist Geschäftsführer der avalex GmbH).

Überblick: Inhalt einer Datenschutzerklärung zur Erfüllung der Informationspflichten

Es ist zu unterscheiden zwischen Informationen, die immer vorhanden sein müssen und Informationen, die nur erteilt werden müssen, wenn die entsprechende Voraussetzung überhaupt gegeben ist (im Folgenden mit optional gekennzeichnet).

I. Kontaktdaten

  1. Name und Kontaktdaten des Verantwortlichen (= Ihr Unternehmen).
  2. Optional: Falls ernannt, die Kontaktdaten des Datenschutzbeauftragten.

II. Datenverarbeitung

  1. Welche Kategorien von Daten für welche Zwecke verarbeitet werden.
  2. Rechtsgrundlagen für die Verarbeitungen (wenn eine Datenverarbeitung auf Art. 6 Abs. 1 lit. f gestützt wird, die verfolgten berechtigten Interessen).
  3. Dauer der Speicherung und Zeitpunkt der Löschung der Daten.
  4. Optional: Falls die Daten übermittelt werden, die Empfänger der Daten, ggf. Informationen über das Datenschutzniveau in einem Drittland, in das Daten übermittelt werden.
  5. Optional: Falls die Daten nicht bei der betroffenen Person selbst erhoben wurden, die Quelle der Daten.
  6. Optional: Falls eine Weiterverarbeitung zu einem anderen Zweck geplant ist, Informationen über den anderen Zweck.
  7. Optional: Falls die Daten zu einer automatisierten Entscheidungsfindung genutzt werden, Information darüber sowie die Auswirkungen der Entscheidung für die betroffene Person.

III. Hinweise auf Rechte der betroffenen Person

  1. Recht auf Auskunft
  2. Recht auf Löschung oder auf Einschränkung der Verarbeitung
  3. Widerspruchsrecht gegen die Verarbeitung
  4. Recht auf Datenübertragbarkeit
  5. Optional: Wenn eine Datenverarbeitung auf einer Einwilligung beruht, das Recht, die Einwilligung jederzeit zu widerrufen
  6. Beschwerderecht bei der Aufsichtsbehörde

Nach oben

3. Datenschutzbeauftragter

Als nächstes ist zu klären, ob Ihr Unternehmen einen Datenschutzbeauftragten ernennen muss.

a. Pflicht zur Ernennung eines Datenschutzbeauftragten

Sie müssen einen Datenschutzbeauftragten ernennen, wenn einer der folgenden Punkte auf Ihr Unternehmen zutrifft:

  • Die Kerntätigkeit Ihres Unternehmens besteht in der Durchführung von Datenverarbeitungen, die eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erfordert (Art. 37 Abs. 1 lit. b DSGVO). Diese unscharfe Formulierung lässt einige Fragen offen. Gemeint sind wohl Fälle, in denen gezielt Informationen größeren Umfangs beschafft werden und dies nicht nur eine reine Hilfstätigkeit für den Hauptzweck des Unternehmens darstellt (vgl. Kühling/Buchner/Bergt, DSGVO Kommentar, Art. 37 Rn. 18 ff.). Der „Umfang“ einer Datenverarbeitung lässt sich sowohl nach der Dauer der Verarbeitung, der Menge der verarbeiteten Daten als auch der Anzahl der betroffenen Personen bemessen. Beispiele sind Privatdetekteien, Bewachungsunternehmen, Personal- oder Partnervermittlungen sowie zielgruppenorientierte Werbevermarkter.
  • Die Kerntätigkeit Ihres Unternehmens besteht in der umfangreichen Verarbeitung sensibler Daten nach Art. 9 und 10 DSGVO (Art. 37 Abs. 1 lit. c DSGVO). Maßgeblich ist, wie sehr die in Art. 9 und 10 DSGVO genannten Daten Gegenstand Ihrer geschäftlichen Tätigkeit sind.
  • In Ihrem Unternehmen sind mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt (§ 38 Abs. 1 S. 1 BDSG). Es kommt nicht auf Art und Umfang der Datenverarbeitung an, sondern allein darauf, dass mindestens zehn Personen regelmäßig mit Datenverarbeitungen in Kontakt kommen. Zu diesen Personen zählen auch Ehrenamtler oder Teilzeitkräfte.
  • In Ihrem Unternehmen werden Datenverarbeitungen vorgenommen werden, die einer Datenschutzfolgenabschätzung gem. Art 35 DSGVO unterliegen (§ 38 Abs. 1 S. 2 BDSG). Ob dies der Fall ist, richtet sich nach Ihren Ergebnissen unter Punkt 1 e).
  • Ihr Unternehmen verarbeitet personenbezogene Daten für geschäftsmäßige Datenübermittlung oder Markt- und Meinungsforschung (§ 38 Abs.1 S. 2 BDSG).

Empfehlung: Angesichts der drohenden Bußgelder nach Art. 83 Abs. 4 lit. a DSGVO ist es in Zweifelsfällen sicherer, einen Datenschutzbeauftragten zu ernennen.

Nach oben

b. Persönliche Voraussetzungen eines Datenschutzbeauftragten

Ein Datenschutzbeauftragter muss ausreichendes Fachwissen auf dem Gebiet des Datenschutzrechts vorweisen (Art. 37 Abs. 5 DSGVO). Es kann sich um einen Beschäftigten Ihres Unternehmens handeln (Art. 37 Abs. 6 DSGVO), sofern er wegen seiner anderen Tätigkeiten in Ihrem Unternehmen nicht in einen Interessenkonflikt kommt (Art. 38 Abs. 6 DSGVO). Das bedeutet insbesondere, dass der Geschäftsführer des Unternehmens nicht zugleich Datenschutzbeauftragter sein kann.

Hinweis: Gemäß Art. 37 Abs. 6 DSGVO können Sie auch einen externen Datenschutzbeauftragten ernennen.

Nach oben

c. Stellung des Datenschutzbeauftragten

Haben Sie einen Datenschutzbeauftragten ernannt, sind Sie verpflichtet, diesem angemessene Ressourcen zur Verfügung zu stellen und ihn bei der Erfüllung seiner Aufgaben durch Kooperation unterstützen (Art. 38 Abs. 2 DSGVO). Diese Pflicht umfasst ggf. auch die Finanzierung von Fortbildungen. Sie dürfen dem Datenschutzbeauftragten (auf dem Gebiet des Datenschutzes) keine Anweisungen erteilen (Art. 38 Abs. 3 DSGVO). Der Datenschutzbeauftragte berät Sie bei der Umsetzung der DSGVO und überwacht deren Einhaltung. Er arbeitet darüber hinaus mit der Aufsichtsbehörde zusammen (Art. 39 DSGVO).

Haben Sie einen Datenschutzbeauftragten ernannt, sind Sie gemäß Art. 37 Abs. 7 DSGVO verpflichtet, dies der zuständigen Aufsichtsbehörde zu melden. Zuständig für nicht-öffentliche Verantwortlichen ist der Landesbeauftragte für Datenschutz in Ihrem Bundesland.

Bestellen Sie, sofern nötig, einen Datenschutzbeauftragten und gewährleisten Sie die nötige Kooperation und Unterstützung.

Melden Sie die Kontaktdaten des Datenschutzbeauftragten der zuständigen Aufsichtsbehörde.

Überblick: Pflicht zur Bestellung eines Datenschutzbeauftragten

  • Kerntätigkeit des Unternehmens erfordert umfangreiche regelmäßige und systematische Überwachung oder umfangreiche Verarbeitung von besonders sensiblen Daten.
  • mindestens 10 Personen ständig mit Datenverarbeitung beschäftigt.
  • Datenverarbeitungen vorgenommen werden, die eine Datenschutzfolgenabschätzung erfordern.
  • Daten werden zur geschäftsmäßigen Übermittlung oder zu Markt- und Meinungsforschungszwecken verarbeitet.

Nach oben

4. Betroffenenrechte

Die DSGVO gibt betroffenen Personen eine Reihe von Ansprüchen an die Hand, die Sie bei Vorliegen der jeweiligen Voraussetzungen und einer entsprechenden Anfrage der betroffenen Personen erfüllen müssen:

  • Auskunftsrecht (Art. 15 DSGVO): Jede Person darf umfassend Auskunft über sie betreffende personenbezogene Daten sowie weitere Informationen verlangen. Die Information muss u.a. die Verarbeitungszwecke, die Empfänger von Daten und die geplante Dauer der Speicherung enthalten. Ausgenommen sind interne Vermerke, rechtliche Bewertungen oder Analysen (LG Köln, Urteil vom 18.03.2019, Az. 26 O 25/18).
  • Recht auf Berichtigung (Art. 16 DSGVO): Jede betroffene Person kann von Ihnen verlangen, dass Sie nur richtige Informationen über sie verarbeiten. Sie müssen daher ggf. unrichtige oder unvollständige Daten ändern oder ergänzen.
  • Recht auf Löschung (Art. 17 Abs. 1 DSGVO): Wird die Datenverarbeitung aus einem der in Art. 17 Abs. 1 DSGVO genannten Gründe rechtswidrig oder ist sie für die verfolgten Zwecke nicht mehr erforderlich, müssen Sie diese Daten löschen. Achtung: Besonderheit dieses Rechts ist, dass Sie auch ohne Antrag der betroffenen Person verpflichtet sind, die betroffenen Daten bei Vorliegen der obigen Voraussetzungen zu löschen.
  • Recht auf Vergessenwerden (Art. 17 Abs. 2 DSGVO): Haben Sie die Daten einer betroffenen Person öffentlich gemacht und sind nun zu deren Löschung verpflichtet, müssen Sie auch andere Verantwortliche, die die Daten durch die Veröffentlichung erlangt haben, von dem Löschbegehren unterrichten. Praktisches Beispiel: Wenn eine betroffene Person die Löschung von Daten verlangt, die Sie auf Ihrem Facebook-Profil öffentlich gemacht haben, müssen Sie nicht nur selbst die Daten löschen, sondern auch Facebook (und wegen der Auffindbarkeit des Profils wohl auch Google) davon informieren, dass die betroffene Person die Löschung der Daten verlangt.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Unter besonderen Voraussetzungen (siehe Art. 18 Abs. 1 DSGVO), insbesondere bei Streitigkeiten über die Rechtmäßigkeit einer Datenverarbeitung, müssen Sie die betroffenen Daten markieren und vorerst nicht mehr weiterverarbeiten. Zum Beispiel können Sie entsprechende Daten für alle Nutzer sperren oder aus einer Software entfernen. Denkbar ist beispielsweise auch die zeitweilige Entfernung eines umstrittenen Fotos von einer Website (vgl. Kühling/Buchner/Herbst, DSGVO Kommentar, Art. 18 Rn. 30 f.).
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Das Recht auf Datenübertragbarkeit regelt Fälle, in denen eine betroffene Person ihre Daten bei einem Anbieterwechsel „mitnehmen“ möchte. Sie müssen die Daten in einem strukturierten, gängigen und maschinenlesbaren Format entweder der betroffenen Person oder (auf Antrag gem. Art. 20 Abs. 2 DSGVO) dem neuen Anbieter zur Verfügung stellen. Letzteres gilt aber nur, soweit eine Übermittlung an den neuen Anbieter „technisch machbar“ ist (Art. 20 Abs. 2 DSGVO).
  • Recht auf Widerspruch (Art. 21 DSGVO): Verarbeiten Sie Daten gestützt auf eine Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO, kann die betroffene Person dagegen Widerspruch erheben, wenn sie begründen kann, dass in ihrem Fall eine besondere Situation vorliegt. Sie müssen in diesem Fall nachweisen, dass Ihr Verarbeitungsinteresse auch in dem konkreten Einzelfall überwiegt oder anderenfalls die Verarbeitung einstellen.

Alle Rechte können formfrei geltend gemacht werden, das heißt auch mündlich. Damit die Daten nicht in die falschen Hände geraten, sind Sie berechtigt und bei Zweifeln auch verpflichtet, eine Identitätsfeststellung vorzunehmen, z.B. durch Vorzeigen eines Personalausweises (Art. 12 Abs. 6 DSGVO).

Es ist im Grundsatz Ihre Pflicht, Ihr Unternehmen so zu organisieren, dass Sie alle Anfragen von betroffenen Personen bearbeiten können. Allerdings müssen Sie keine zusätzlichen Informationen erheben, nur um die Betroffenenrechte erfüllen zu können (Art. 11 Abs. 1 DSGVO). Hier müssen Sie aber nachweisen können, dass Ihnen eine Zuordnung unmöglich ist. Auch kann Ihnen die betroffene Person zusätzliche Informationen anbieten, damit Sie die Zuordnung vornehmen können. Diese Ausnahme wird deshalb nur in seltenen Fällen greifen.

Die Betroffenenrechte müssen unentgeltlich erfüllt werden. Nur bei missbräuchlichen Anträgen (= offenkundig unbegründet oder exzessiv häufigen) kann eine Gebühr erhoben werden (Art. 12 Abs. 5 DSGVO). Die Betroffenenrechte müssen spätestens innerhalb eines Monats bearbeitet werden. Nur in Ausnahmefällen ist eine Fristverlängerung möglich (Art. 12 Abs. 3 DSGVO).

Beachten Sie, dass Sie bei Ablehnung eines Antrags nach Art. 12 Abs. 4 DSGVO eine Rechtsbehelfsbelehrung anfügen müssen.

Eine ausführliche Erläuterung der Betroffenenrechte mit den genauen Voraussetzungen finden Sie hier.

☐ Schaffen Sie Strukturen, die es Ihnen ermöglichen, alle Betroffenenrechte innerhalb eines Monats zu bearbeiten. Organisieren Sie Ihre Datenbestände dazu so, dass sie angeforderte Daten schnell auffinden („Wo“), regeln Sie die Zuständigkeit für die Erfüllung der Pflichten („Wer“) und den Prozess der Antragsbearbeitung, insbesondere eine Identitätskontrolle und die Überprüfung der Anspruchsvoraussetzungen („Wie“). Eine Orientierung kann dieser Leitfaden bieten.

Nach oben

5. Auftragsverarbeitung

Wenn Sie die Datenverarbeitung (teilweise) an Dritte (sog. Auftragsverarbeiter) ausgegliedert haben, sind Sie gemäß Art. 28 Abs. 3 DSGVO verpflichtet, einen Vertrag (oder einen anderen Rechtsakt, z.B. eine Verpflichtung) mit dem Auftragsverarbeiter abzuschließen, der gewährleistet, dass der Auftragsverarbeiter nur im Rahmen Ihrer Weisungen handelt und die Daten rechtmäßig verarbeitet.

Ausführliche Informationen finden Sie bei der DSK.

Falls Sie einen Auftragsverarbeiter beschäftigen: überprüfen Sie den bestehenden Auftragsverarbeitungsvertrag im Hinblick auf die Anforderungen des Art. 28 Abs. 3 DSGVO und schließen Sie gegebenenfalls einen neuen Auftragsverarbeitungsvertrag ab. Nutzen Sie hierzu die folgenden kostenlosen Muster.

Überblick: Beispiele für Auftragsverarbeitungen

  • Verarbeitung von personenbezogenen Daten mit Hilfe von Cloud-Servern, auch wenn der Cloud-Betreiber keinen inhaltlichen Zugriff auf die Daten hat.
  • Entsorgung von Datenträgern durch einen externen Dienstleister.
  • Auslagerung von Backup-Kopien und Datenarchiven.
  • Lettershop versendet Werbematerial mit Hilfe von Ihnen zur Verfügung gestellten Kundendaten.

Nach oben

6. Datentransfer

Weitere Besonderheiten gelten für Datenübermittlungen in Drittstaaten, also Länder, in denen die DSGVO nicht gilt. Überprüfen Sie diesbezüglich insbesondere die von Ihnen genutzten Cloudservices. Unproblematisch ist die Datenübermittlung, wenn die EU-Kommission das Datenschutzniveau in den entsprechenden Ländern für angemessen erachtet (Art. 45 Abs. 3 DSGVO).

Für Länder mit problematischer Datenschutzlage muss sichergestellt werden, dass der Empfänger im Drittland geeignete Garantien zur Einhaltung der Datenschutzregeln vorgesehen hat (Art. 46 DSGVO). Ist dies nicht der Fall, dürfen die Daten nur in den Ausnahmefällen des Art. 49 DSGVO (insbesondere: Einwilligung der betroffenen Person) übermittelt werden.

Überprüfen Sie (sofern einschlägig) die Rechtmäßigkeit von Datenübermittlungen in Drittländer und treffen Sie gegebenenfalls erforderliche Maßnahmen.

Nach oben

7. Datensicherheit

Vom Datenschutz im engeren Sinne zu unterscheiden ist die Datensicherheit. Bei der Datensicherheit geht es nicht mehr darum, welche Daten von wem wie verarbeitet werden dürfen, sondern wie die Daten beim Verantwortlichen vor dem unbefugten Zugriff durch Dritter oder dem Verlust und der Veränderung aufgrund technischer Pannen geschützt werden.

Art. 32 DSGVO fordert, dass der Verantwortliche „geeignete technische und organisatorische Maßnahmen“ muss, um ein angemessenes Schutzniveau zu gewährleisten. Wie hoch das Schutzniveau sein muss, bestimmt sich gemäß Art. 32 Abs. 2 DSGVO danach, wie hoch die Risiken der Datenverarbeitung sind, also welche Folgen drohen, wenn die Daten verloren gehen oder unbefugt von Dritten ausgelesen werden.

Nach oben

a) Technische und organisatorische Maßnahmen

Art. 32 HS. 2 DSGVO nennt eine Reihe von technischen und organisatorischen Maßnahmen, die ergriffen werden können:

  • Pseudonymisierung und Verschlüsselung von Daten (lit. a)
  • Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der verwendeten Systeme (lit. b)
  • Wiederherstellbarkeit der Verfügbarkeit von Daten nach einem Zwischenfall (lit. c)
  • Verfahren zur regelmäßigen Überprüfung und Bewertung der Maßnahmen (lit. d)

Diese Begriffe sind mit Ausnahme der Pseudonymisierung von Daten unkonkret. Weil die Anforderungen an die Datensicherheit je nach Art und Umfang der Datenverarbeitung höher oder geringer sind, muss das Datensicherheitssystem letztlich immer im Einzelfall ausgerichtet werden.

Entscheidend ist, dass die Daten unter Berücksichtigung des Stands der Technik grundsätzlich vor Hackerangriffen und ähnlichen Zwischenfällen geschützt sind. Als Mindestmaß sollte jedes Unternehmen den Zugang zu personenbezogenen Daten mit personalisierten Passwörtern schützen, ein Virenprogramm und eine Firewall auf seinen Computern installiert haben sowie seine Kommunikation verschlüsseln.

Überblick: Auswahl technischer & organisatorischer Maßnahmen

I. Bewertung des Risikos

Ausgangspunkt ist die Einstufung des Risikos einer Datenverletzung. Hierzu sind zwei Fragen entscheidend:

  1. Wie schwer würde eine Datenverletzung die betroffene Person in ihren Rechten und Freiheiten betreffen? Hier geht es um die Bewertung der Bedeutung der Daten. Je wichtiger (= persönlicher/sensibler) diese sind, desto schwerer trifft auch eine Datenverletzung die betroffene Person.
  2. Wie hoch ist die Wahrscheinlichkeit, dass eine Datenverletzung eintritt? Hier sind nicht die Daten, sondern die Art der Verarbeitung entscheidend. Sie müssen feststellen, wie gefährlich die von Ihnen gewählte Datenverarbeitung ist, also wie häufig bei der gewählten Verarbeitungsart Datenpannen auftreten. Beispielsweise ist eine Datenverletzung viel wahrscheinlicher, wenn Daten per E-Mail an Dritte übermittelt werden, als wenn sie nur lokal auf einem Rechner in einer Excel-Tabelle gespeichert werden.

II. Auswahl der Maßnahmen

Je nachdem, wie hoch Sie das Risiko einer Datenverletzung eingestuft haben, müssen Sie entsprechend viele und starke Maßnahmen treffen. In Betracht kommen beispielsweise folgende Maßnahmen:

  • Pseudonymisierung: Das bedeutet, dass personenbezogene Daten der unmittelbare Personenbezug genommen wird, indem sie nicht mehr mit dem Namen der Person verbunden gespeichert werden, sondern stattdessen mit einem Platzhalter (=Pseudonym). Beispiele sind die Vergabe von Nutzernamen oder Nutzer-IDs.
  • Verschlüsselung: Hier geht es darum, den Zugriff zu Daten zu erschweren, indem die Daten die meiste Zeit verschlüsselt (und somit nicht für jeden einsehbar) verarbeitet werden. Anwendungsbeispiele sind eine Verschlüsselung von E-Mails oder auch die Anforderung eines Passworts zur Einsehbarkeit der Daten auf einem lokalen Computer, im Zusammenhang mit Art. 25 DSGVO (und § 13 Abs. 7 TMG) auch die SSL-Verschlüsselung von Websites mit Kontaktformular.
  • Maßnahmen zur Sicherstellung der Vertraulichkeit: Hier geht es darum, dass der Personenkreis, der Zugriff auf die Daten hat, eingeschränkt wird. Technisch geht dies bspw. durch Verschlüsselung der Daten, aber auch die Erschwerung des physischen Zugriffs auf Daten (z.B. Aufbewahrung in einem besonders gesicherten Raum). Organisatorisch kann vor allem gewährleistet werden, dass nur wenige bestimmte Personen die Rechte für einen Datenzugriff haben. Auch kann bspw. die Datenübermittlung auf bestimmte sichere Kommunikationskanäle beschränkt werden.
  • Maßnahmen zur Sicherstellung der Integrität: Die Integrität von Systemen kann z.B. durch Einschränkung von Schreib- und Änderungsrechten und den Einsatz von elektronischen Siegeln und Signaturen gewährleistet werden.
  • Maßnahmen zur Sicherstellung der Verfügbarkeit: Verfügbarkeit von Daten bezieht sich insbesondere auf den Verlust von Daten durch technische Pannen. Hier kann ein Backup, z.B. in einer gesicherten Cloud, die Verfügbarkeit der Daten sichern.
  • Maßnahmen zur Sicherstellung der Belastbarkeit: Die Belastbarkeit der Systeme kann z.B. durch regelmäßige Sicherheitschecks gewährleistet werden.

Wählen Sie je nach Risiko der Datenverarbeitung mehrere Maßnahmen aus und setzen Sie diese um. Hierbei dürfen Sie nach der DSGVO auch die Kosten und die Leistungsfähigkeit Ihres Unternehmens berücksichtigen.

☐ Treffen Sie technische und organisatorische Maßnahmen, um für die von ihnen verarbeiteten Daten ein angemessenes Schutzniveau zu sichern. Achten Sie insbesondere darauf, wer Zugriff auf die Daten hat und dass Ihre Computer vor Hacking-Angriffen geschützt ist.

Nach oben

b) Reaktionsmechanismen bei Datenverletzungen: Meldepflicht

Sollte es trotz der getroffenen Maßnahmen zu einer Datenpanne kommen, sind Sie verpflichtet, diese Panne der Datenschutzbehörde und unter Umständen auch der betroffenen Person zu melden (Art. 33, 34 DSGVO).

Voraussetzungen der Meldepflicht: Sie müssen melden, wenn eine Verletzung des Schutzes personenbezogener Daten eingetreten ist. Wann dies der Fall ist, regelt § 4 Nr. 12 DSGVO. Es bedarf eines Sicherheitsdefizits, das egal ob rechtswidrig oder unbeabsichtigt entweder:

  • zur Vernichtung
  • zum Verlust
  • zur Veränderung
  • zur unbefugten Offenlegung oder
  • zum unbefugten Zugang

von/zu personenbezogenen Daten führt. Eine Ausnahme von der Meldepflicht besteht, wenn die Datenschutzverletzung voraussichtlich zu keinem Risiko für Rechte und Freiheiten der betroffenen Person führt. Hier müssen sie selbst eine Prognose über die Auswirkungen der Datenpanne anstellen.

Beispiel für eine wahrscheinlich risikolose Datenverletzung: Ein Unternehmen betreibt einen E-Mailverteiler mit zehn Kunden für ein anstehendes Projekt. Die Empfänger können jeweils auch die anderen Adressaten des Verteilers einsehen. Da dafür keine Einwilligung und auch sonst kein Rechtfertigungsgrund vorliegt, handelt es sich jeweils um eine unbefugte Offenlegung der E-Mailadresse gegenüber den anderen Kunden. Es gehen aber aller Voraussicht nach keine Risiken für die Kunden von dieser Datenverletzung aus, so dass keine Meldung an die Aufsichtsbehörden erfolgen muss.

Adressat der Meldung: In jedem Fall sind Datenverletzungen an die Aufsichtsbehörde zu melden (Art. 33 DSGVO). Hat die Datenschutzverletzung auch ein hohes Risiko für die betroffene Person zur Folge, so ist auch diese zu benachrichtigen (Art. 34 DSGVO), es sei denn, dass einer der Ausschlussgründe des Art. 34 Abs. 3 DSGVO vorliegt.

Inhalt der Meldung: Die Meldung muss gemäß Art. 33 Abs. 3, 34 Abs. 2 DSGVO enthalten:

  • Beschreibung der Datenpanne (für die betroffenen Person in einfacher Sprache),
  • Namen und Kontaktdaten des Datenschutzbeauftragten oder einer anderen Anlaufstelle,
  • Beschreibung der wahrscheinlichen Folgen des Zwischenfalls
  • Beschreibung der von Ihnen ergriffenen Maßnahmen zur Behebung der Datenverletzung

Meldefrist: Die Meldung an die Behörde muss innerhalb von 72 Stunden, nachdem Ihnen die Verletzung bekannt geworden ist, an die Aufsichtsbehörde gemeldet werden. Halten Sie diese Frist nicht ein, müssen Sie dies begründen (Art. 33 Abs. 1 DSGVO).

Überblick: Meldepflicht

  • erforderlich bei Datenverletzung (Hackerangriffen oder Datenverlusten bei Systemstörungen), außer es besteht kein Risiko für die betroffene Person.
  • zu richten an zuständige Aufsichtsbehörde (Landesdatenschutzbeauftragte/r); ggf. auch an betroffene Person.
  • innerhalb von 72 Stunden.

☐ Stellen Sie sicher, dass Sie bei einer Verletzungen der Datensicherheit die Meldepflichten beachten, z.B. durch Zuweisung der Aufgabe oder Vermerk in einem internen Leitfaden.

Nach oben

8. Dokumentation (Datenschutzkonzept)

Art. 5 Abs. 2 DSGVO regelt eine Rechenschaftspflicht für den Verantwortlichen. Danach müssen Sie in der Lage sein, nachzuweisen, dass Sie die Grundsätze der Datenverarbeitung einhalten. Weil sich diese Grundsätze in allen konkreten Normen der DSGVO wiederfinden, wird ein Verstoß gegen eine DSGVO-Vorschrift immer auch einen Verstoß gegen einen Grundsatz nach Art. 5 DSGVO beinhalten. Im Umkehrschluss müssen Sie also nachweisen können, dass Sie sich an die DSGVO halten. Dies wird konkretisiert durch Art. 24 Abs. 1 DSGVO. Danach sind Sie als Verantwortlicher verpflichtet, geeignete technische und organisatorische Maßnahmen zu treffen, um den Nachweis erbringen zu können, dass Sie die DSGVO umsetzen.

a) Dokumentieren Sie alle relevanten Maßnahmen

Den Nachweispflichten der DSGVO können Sie nur durch eine umfassende Dokumentation aller getroffenen Maßnahmen auf dem Gebiet des Datenschutzes nachkommen. Halten Sie deshalb genau fest, wie Sie diese Checkliste umsetzen.

b) Datenverarbeitungsverzeichnis

Eine besondere Form der Dokumentationspflicht ist das Datenverarbeitungsverzeichnis nach Art. 30 DSGVO. Hier müssen Sie alle Datenverarbeitungen in einer bestimmten (in Art. 30 DSGVO näher geschilderten) Weise festhalten. Dankenswerterweise stellen die deutschen Datenschutzbehörden hierzu eine offizielle Mustervorlage zur Verfügung.

Zwar gibt es in Art. 30 Abs. 5 DSGVO grundsätzlich auch Ausnahmen. Diese sind allerdings so vage gehalten, dass wir dringend empfehlen, in jedem Fall ein Datenverarbeitungsverzeichnis anzulegen. Das Datenverarbeitungsverzeichnis hilft Ihnen zum einen, der generellen Dokumentationspflicht nachzukommen, zum anderen wird es Ihnen nach Durchführung von Punkt 1 der Checkliste keinen nennenswerten Aufwand mehr bereiten.

Überblick: Musteraufbau eines Datenverarbeitungsverzeichnisses

I. Vorblatt mit allgemeinen Angaben

  1. Angaben zum verantwortlichen Unternehmen: Kontaktdaten, Vertreter, ggf. Registergericht und Nummer
  2. Kontaktdaten des Datenschutzbeauftragten
  3. allgemein getroffene technische und organisatorische Maßnahmen zur Datensicherheit

II. Verarbeitungstätigkeit 1 (z.B. Lohnabrechnung)

  1. ggf. verantwortliche Abteilung und Ansprechpartner,
  2. Zwecke der Verarbeitung (z.B. Durchführung des Arbeitsvertrags, § 26 Abs. 1 S. 1 BDSG),
  3. Beschreibung der Kategorien betroffener Personen (z.B. Beschäftigte),
  4. Beschreibung der Kategorien von personenbezogenen Daten (z.B. Name, Tätigkeit, Beschäftigungsverhältnis, Personalnummer, Vertragsnummer, Kontodaten, Gehalt),
  5. Kategorien von Empfängern, ggü. denen die Daten offengelegt worden sind oder noch werden (z.B. Bank, Sozialversicherung, Finanzamt) und Nennung der konkreten Empfänger (z.B. Sparda-Bank Mainz, Finanzamt Mainz-Mitte),
  6. Fristen für die Löschung der verschiedenen Datenkategorien (z.B. 10 Jahre),
  7. ggf. Technische und organisatorische Maßnahmen (Verweis auf allgemein getroffene technische und organisatorische Maßnahmen).

III. Verarbeitungstätigkeit 2 (z.B. Vertragsdatenmanagement)

→ wie II.

Diese Informationen lassen sich gut in die Mustervorlage der deutschen Datenschutzbehörden einbauen.

c) Optional: Zusammenfassung der Dokumentationen als Datenschutzkonzept

Wenn Sie alle wesentlichen Vorgänge dokumentiert haben, kann es sich lohnen, dies zu einem umfassenden Datenschutzkonzept ihres Unternehmens zusammenzufassen. Ein Datenschutzkonzept ist nicht verpflichtend, bündelt aber zum einen Ihre Dokumentationen an einem Ort und kann zum anderen positiv auf die Außenwirkung Ihres Unternehmens einzahlen.

d) Besondere Dokumentationspflichten

Über die vorstehenden Punkte hinaus regelt die DSGVO eine Vielzahl an spezielleren Dokumentations- und Nachweispflichten, zum Beispiel die Dokumentation von Datenpannen (Art. 33 Abs. 5 DSGVO), die Dokumentation von Weisungen im Rahmen der Auftragsverarbeitung (Art. 28 Abs. 3 lit. a DSGVO) oder die Pflicht zum Nachweis der Einwilligung der betroffenen Person (Art. 7 Abs. 1 DSGVO).

Wenn Sie wie von uns empfohlen ohnehin alle wesentlichen Schritte dokumentieren, müssen Sie aber diesbezüglich keine weiteren Maßnahmen treffen.

Halten Sie alle Schritte zur Einhaltung der DSGVO auf eine Weise fest, dass Sie deren Umsetzung nachweisen können.

Lassen Sie sich beispielsweise Schulungen von Mitarbeitern schriftlich bestätigen, holen Sie Einwilligungen nur schriftlich ein, dokumentieren Sie die Bearbeitung von Anträgen betroffener Personen (z.B. durch Abspeichern des E-Mail-Verkehrs) und lassen Sie sich den Erhalt von Informationsschreiben (nach Art. 13, 14 DSGVO) bestätigen.

☐ Legen Sie ein Datenverarbeitungsverzeichnis an und aktualisieren Sie es regelmäßig. Nutzen Sie hierzu folgende Vorlage der deutschen Aufsichtsbehörden.

Optional: Fassen Sie alle dokumentierten Schritte zu einem Datenschutzkonzept zusammen. Nutzen Sie dafür eine Vorlage.

Nach oben

9. Schulung und Verpflichtung von Beschäftigten

Gemäß Art. 29, 32 Abs. 4 DSGVO sind Sie als Verantwortlicher für die Einhaltung des Datenschutzes durch Ihre Beschäftigte verantwortlich. Die Datenschutzaufsichtsbehörden empfehlen hier insbesondere eine Verpflichtung Ihrer Mitarbeiter auf die Einhaltung der Regeln des Datenschutzes. Dem sollte eine zumindest kurze Schulung vorangehen, um den richtigen Umgang auch tatsächlich zu gewährleisten.

☐ Schulen Sie Ihre Beschäftigten in den wesentlichsten Prinzipien des Datenschutzes. Orientierung kann folgende Vorlage bieten.

☐ Verpflichten Sie Ihre Beschäftigten auf die Einhaltung des Datenschutzes. Nutzen Sie dafür die Vorlage der Deutschen Datenschutzkonferenz.

Benötigen Sie professionelle Unterstützung bei der Umsetzung der DSGVO-Vorgaben in Ihrem Unternehmen? Nutzen Sie unsere kostenlose und unverbindliche Ersteinschätzung.

Hinweis: Dieser Beitrag wurde unter Mitwirkung unseres wissenschaftlichen Mitarbeiters Felix Wichert erstellt.

Nach oben

Autor:

Niklas Plutte ist Rechtsanwalt und Fachanwalt für gewerblichen Rechtsschutz mit Sitz in Mainz. Folgen Sie ihm bei Twitter und Facebook!

4 Kommentare Schreibe einen Kommentar

  1. Punkt 1. erster Satz:

    Die DSGVO dient dem Schutz personenbezogener Daten.

    Nein, tut sie nicht! Autsch!

    Art. 1 EU DSGVO
    (1) Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
    (2) Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.

    Antworten

    • Hehe, vielen Dank für Ihren Hinweis. Das ist richtig, aber es bleibt ja nicht beim ersten Satz. Ich denke, man darf dem User zumuten, dass er weiter liest. Nachfolgend wird ja insbesondere die Verarbeitung von personenbezogenen Daten erläutert. Vielleicht als Hintergrund: Bei einem Artikel zur DSGVO, der für Nichtjuristen verständlich sein soll, ist es in der Tat schwierig zu beurteilen, wie „juristisch“ der Text formuliert sein darf, ohne Leser abzuschrecken. Aus meiner Sicht ist eine gewisse Vereinfachung zugunsten der Verständlichkeit okay. Natürlich kann man aber darüber streiten, wie weit eine Vereinfachung reichen darf. Ich bin also gar nicht anderer Meinung als Sie. Um es kurz zu machen: im Gegensatz zu unserem Text ist Ihr Hinweis juristisch absolut korrekt – und gleichzeitig schwerer verständlich ;)

      Antworten

  2. Tolle Zusammenstellung. Für mich als Startup-Unternehmer leicht verständlich, ohne Jurist noch Datenschutz-Freak zu sein. Mit der Abarbeitung habe ich das Gefühl, dass ich habe mich um das Wichtigste zum Thema Datenschutz gekümmert habe. Ich selbst will mir für diese Tätigkeiten keine 1 geben, aber eine 2 wird das mit diesem Guide allemal :-)

    Antworten

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.


Kostenlose Ersteinschätzung