DSGVO-Check­liste schützt gegen Abmah­nungen

Vor fünf Monaten trat die Datenschutz-Grundverordnung (DSGVO) verbindlich in Kraft – und viele Firmenchefs kämpfen weiter mit dem Thema. Ausgeblieben ist bisher zwar die nach dem 25. Mai 2018 befürchtete Abmahnwelle gegen Unternehmen, die die DSGVO ignorieren oder Fehler bei der Umsetzung machen. Dafür haben Abzocker und Cyberkriminelle andere Wege gefunden, um den Betrieben zu schaden. Mit Verweis auf die Datenschutz-Grundverordnung verschickten sie etwa zahllose Phishing-E-Mails, in denen das Double-Opt-In zu einem Newsletter erbeten wurde, angeblich wegen neuer Datenschutzbestimmungen. Tatsächlich ging es darum, E-Mail-Adressen zu bestätigen, Account-Informationen zu erbeuten, sogar Viren auf den Rechner des Empfängers zu schleusen. Oder es gibt – wie derzeit – ominöse Abo-Angebote zur Verbesserung des betrieblichen Datenschutzes, bei denen der Kunde einer sogenannten „Datenschutz-Auskunftzentrale“ viel Geld für keine wirkliche Leistung zahlen soll – die Abzocke gleicht dem Modell wertloser Gewerberegister-Einträge, für die schon ein leichtfertiges „Ja“ an ganz anderer Stelle im Telefonat reichen kann.
Eine Datenschutzerklärung mit sieben Zeilen reicht nicht
Allerdings: Ganz ist das Thema Abmahnung nicht vom Tisch. Gerade untersagte das Landgericht Würzburg einem Freiberufler per einstweiliger Verfügung den weiteren Betrieb der Website. Ein Wettbewerber hatte per Abmahnung beanstandet, das Impressum enthalte eine nur sieben Zeilen umfassende Datenschutzerklärung, die nicht den Anforderungen von Art. 13 DSGVO entspräche. Tatsächlich hielten die Richter das für einen deutlich zu laxen Umgang mit der DSGVO – schließlich fehlten etwa Angaben zum nach Art. 4 Nr. 7 datenschutzrechtlich Verantwortlichen, zur Erhebung und Speicherung personenbezogener Daten durch die Website sowie zu Zwecken und Mitteln der Datenverarbeitung. Außerdem gab es keine Angaben zur Weitergabe von Daten an Dritte, über Cookies oder Analysetools sowie keine nach Art 13 Abs. 2 DSGVO ausdrücklich vorgeschriebenen Hinweise auf die Betroffenenrechte nach der DSGVO.
Bei DSGVO-Umsetzung auf Branchenbesonderheiten achten
Klingt dramatisch, ist es aber nicht. Viele Anforderungen der DSGVO sind gar nicht so kompliziert und umfassend, wie sie sich im Juristendeutsch manchmal lesen. Was der Unternehmer wirklich braucht, sind ein wenig Zeit, ein guter Plan und ein kompetenter Dienstleister, der ihn bei den wirklich schwierigen Fragen unterstützt – das wird in der Regel ein erfahrener Anwalt sein, der auch auf die Besonderheiten einer Branche eingehen kann. Dann lassen sich die laut Datenschutz-Grundverordnung nötigen Informations- und Dokumentationspflichten sowie Prozess- und Sicherheitsverbesserungen durchaus erfüllen. Wer sich also noch nicht mit der DSGVO beschäftigt hat, sollte dringend und strukturiert damit beginnen, bevor eventuell doch eine Abmahnwelle losgeht, am besten mithilfe folgender Checkliste.
DSGVO-Checkliste erleichtert Erfüllen der Anforderungen
Projektplan: Welche Aspekte der DSGVO betreffen Ihren Betrieb? Wer soll welche Punkte in welchem Zeitraum und mit wessen Unterstützung abarbeiten?Datenschutzbeauftragter: Braucht Ihr Unternehmen einen, weil regelmäßig über zehn Mitarbeiter automatisiert personenbezogene Daten verarbeiten? Oder bewegen Sie sich in einer Grauzone, was die Bewertung durch einen Experten erfordert? Wichtig ist zudem, bei der Besetzung der Position die Formalien einzuhalten.Datenübermittlungen in Drittstaaten: Speichern Sie Daten über Personen nicht nur auf Rechnern im eigenen Betrieb, sondern auch in der Cloud? Dann könnten sie de facto in Drittstaaten und sogar außerhalb der EU liegen – etwa, falls Sie die Kontakte von Mitarbeitern oder Kunden im iPhone speichern und über iCloud verwalten.Auftragsdatenverarbeitung: Erst brauchen Sie einen Überblick, welche Dienstleister auf welche Daten zugreifen. Dann müssen Sie deren Umgang mit diesen Daten im Sinne der DSGVO vertraglich regeln. Zudem sollten Sie prüfen, ob manche Datenzugriffe überflüssig sind und deshalb künftig schlicht verhindert werden.Vertragsmanagement: Klären Sie, welche Haftungs- und Datenschutzregeln derzeit in Verträgen stehen und ob die Formulierungen angepasst werden müssen.Betriebsvereinbarungen: Auch viele innerbetriebliche Prozesse betreffen den Umgang mit personenbezogenen Daten, etwa bei der Zeiterfassung oder der Nutzung von Firmenwagen. Hier dürften entsprechende Veränderungen erforderlich sein.Informations- und Auskunftspflichten: Welche Vorgaben hat Ihr Unternehmen bisher erfüllt, welche Neuerungen ergeben sich durch die DSGVO? Daraus könnten sich auch Anforderungen zur Datenlöschung ergeben.Formulare und Einwilligungen: Im Umgang mit Kunden wie auch mit Mitarbeitern oder Geschäftspartnern kommen verschiedenste Arten von Dokumenten zum Einsatz. Sie alle müssen an die DSGVO angepasst werden. Dazu zählen auch Aushänge – etwa die Info, dass jemand sich in einem Firmenbereich bewegt, der videoüberwacht ist.Datenschutzerklärung und Webtracking: Ganz wichtig ist, dass Betreiber von Websites hier umfassend alle Anforderungen der Datenschutz-Grundverordnung erfüllen, wie das Urteil des Landgerichts Würzburg zeigt. Wer sich eine Blöße gibt, ist besonders anfällig für Abmahnungen, da Fehler beim Online-Auftritt von jedem ganz einfach aufgedeckt werden können.Prozesse und Schulungen: Themen wie die Datenschutz-Folgenabschätzung mögen für kleine Betriebe aufgeblasen klingen – obwohl sie etwa beim Einsatz von Anlagen zur Videoüberwachung oder biometrischen Zugangssystemen wichtig ist. Aber zumindest grundlegende Überlegungen zum vorsichtigeren Umgang mit Daten sowie zum praktischen Vorgehen im Ernstfall muss jeder Firmenchef anstellen, selbst wenn sein Unternehmen technisch nicht zu den Überfliegern zählt – etwa für die Meldung einer möglichen Datenpanne und die konkrete Reaktion, wie ein Datenleck zu schließen wäre. Dies erfordert auch eine intensive Schulung der Mitarbeiter, damit die Vorgaben der DSGVO nicht nur auf Papier festgehalten, sondern auch in der Praxis gelebt werden.
Neue Vorgaben der DSGVO mit dem Anwalt besprechen
Selbst das erfolgreiche Abarbeiten dieser Checkliste ist aber keine Garantie, in Sachen DSGVO völlig aus dem Schneider zu sein. Neue Rechtsgebiete entwickeln sich teilweise rasch weiter. Daher sollten Unternehmer regelmäßig mit dem Anwalt darüber reden, ob sie aufgrund einer neuen Rechtsauslegung eventuell beim Thema Datenschutz und Datensicherheit nachlegen müssen. In seiner einstweiligen Verfügung wegen der knappen Datenschutzerklärung hat das Landgericht Würzburg etwa die Frage gestreift, ob jede Website, die Daten verarbeitet, auch verschlüsselt sein muss: „Da die Antragsgegnerin jedenfalls über ein Kontaktformular Daten erheben kann, ist zwingend auch eine Verschlüsselung der Homepage erforderlich, die hier fehlt.“ Sollte sich die Meinung durchsetzen, würden viele Unternehmer vor der Wahl stehen, Verschlüsselungstechnologien zu integrieren oder auf Kontaktformulare zu verzichten.
EU-Datenschutz-Grundverordnung

Quelle: https://www.trialog-magazin.de/2018/10/19/eine-dsgvo-checkliste-schuetzt-gegen-abmahnungen/

Trialog Unternehmerblog

Über Trialog Unternehmerblog

Der TRIALOG-Unternehmerblog ist eine Plattform für und von mittelständischen Unternehmern.
Dieser Beitrag wurde unter TRIALOG - Der Unternehmerblog veröffentlicht. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.