IVD Mitte-Ost e.V.

Die DSGVO-Checkliste: Diese 7 Punkte müssen Sie jetzt beachten!

Ab dem, 25. Mai 2018, gilt die europäische Datenschutz-Grundverordnung (DSGVO), die ein in Europa weitgehend einheitliches Datenschutzrecht vorschreibt. Die Verordnung ist zwar bereits seit zwei Jahren in Kraft, allerdings war die Anwendung bisher noch nicht verpflichtend.

„Ab Freitag müssen Unternehmen, die personenbezogene Daten – beispielsweise beim Anlegen eines neuen Kunden - erheben und verarbeiten, die DSGVO erfüllen. Es ist also höchste Zeit, zu prüfen, ob im eigenen Unternehmen alle Verfahren bereits ordnungsgemäß laufen. Sofern das noch nicht der Fall ist, sollten Sie jetzt Last-Minute reagieren und Maßnahmen ergreifen“, sagt Sun Jensch, Bundesgeschäftsführerin des Immobilienverbandes IVD.

Jensch weiter: „Die Verunsicherung in den Unternehmen ist zu spüren. Es sind viele Details und Fragen der DSGVO noch ungeklärt. Mit einem Moratorium durch die Bundesregierung wäre der Wirtschaft geholfen. So könnten die offenen Fragen geklärt werden, beispielsweise bei der Auftragsdatenverarbeitung im Zusammenhang mit der Nutzung von Whats App und anderen Diensteanbietern. Die Unternehmen hätten zudem mehr Zeit für die komplexe Umsetzung der DSGVO.“

Die folgende Checkliste mit zunächst 7 wichtigen Punkten zur Umsetzung der DSGVO soll helfen. Der Datenschutzexperte Eric Drissler unterstützte den IVD bei der Zusammenstellung.

Top-7-Checkliste DSGVO

1. Datenerhebung auf der Website

Wenn auf der Website personenbezogene Daten erhoben werden (mittels eines Kontaktformulars, Social-Media-Plugins, wie Facebook o. ä.), müssen gegebenenfalls mehrere Anpassungen vorgenommen werden: In der Website muss ein SSL-Zertifikat integriert werden (https://). SSL dient der Verschlüsselung von Daten, die zwischen Server und Computer transportiert werden. Außerdem muss auf der Website eine Datenschutzerklärung eingebunden sein. Wird nicht auf eine Datenschutzerklärung hingewiesen, kann dies von Verbraucherschutz- und Wettbewerbsverbänden abgemahnt werden. Abmahnungen von Mitbewerbern sind grundsätzlich nicht zulässig. Zudem sollten die Webformulare geprüft werden, ob die darin geforderten Daten notwendig sind.

 

Es gibt im Internet einige kostenlose und kostengünstige Generatoren, mit deren Hilfe eine Datenschutzerklärung erstellt werden kann (e-recht24.de, Deutsche Gesellschaft für Datenschutz DGD etc.). Sofern hierauf zurückgegriffen wird, besteht die Pflicht, darauf hinzuweisen, dass diese Erklärung mit einem Generator des jeweiligen Anbieters erstellt wurde.

 

2. IT-Sicherheit

Neben der Website sollte auch die übrige IT sicher sein. Im Regelfall sind insbesondere bei kleineren Unternehmen, die keine besonderen Daten, wie zum Beispiel Gesundheitsdaten verarbeiten, Standardmaßnahmen ausreichend. Dazu gehören u. a. aktuelle Betriebssysteme und Anwendungen, Passwortschutz, regelmäßige Backups, Virenscanner und Benutzerrechte. Für den Schutz nicht elektronisch gespeicherter Daten sollte auch ein Aktenvernichter vorhanden sein. Tipp: Erstellen Sie eine Übersicht, welche technischen Maßnahmen Sie ergriffen haben, um Transparenz im eigenen Unternehmen herzustellen und um auf eine Überprüfung entsprechend vorbereitet zu sein.

 

3. Verzeichnis über Verarbeitungstätigkeit

Erstellen Sie ein Verzeichnis über Verarbeitungstätigkeiten. Hierin ist abstrakt darzulegen, inwiefern und welche personenbezogene Daten wofür verarbeitet werden. Ein Muster für ein derartiges Verzeichnis finden Sie unter Praxishilfen DSGVO auf der Internetseite der Gesellschaft für Datenschutz und Datensicherheit e.V. (www.gdd.de). Das Verzeichnis muss der Behörde auf Nachfrage vorgelegt werden können. Kunden haben hierauf keinen Anspruch.

 

4. Datenerhebung nur noch aufgrund einer Rechtsgrundlage

Oftmals liest man, dass eine Datenerhebung nur aufgrund einer Einwilligung des Betroffenen möglich ist. Das stimmt nur teilweise. Denn es gibt noch weitere Rechtsgrundlagen, auf denen eine Datenerhebung zulässig ist. Nach Art. 6 Abs. 1 lit. b) DSGVO ist die Verarbeitung personenbezogener Daten für die Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen rechtmäßig. Dies ist beispielsweise dann der Fall, wenn die Datenverarbeitung aufgrund einer Interessentenanfrage erfolgt.

 

5. Transparenz herstellen

Neue Kunden müssen darüber informiert werden, welche Daten wofür gespeichert werden. Dies erfolgt in einer abstrakten Darstellung. Auf den Seiten der gdd.de erhalten Sie ein Musterinformationsblatt dazu.  Der Erhalt des Informationsblattes muss nicht gegengezeichnet werden. Erfolgen die Informationen nicht, hat dies keine Auswirkung auf den möglichen Vertrag.

 

6. Erforderlichkeit eines Datenschutzbeauftragten prüfen

Ein Datenschutzbeauftragter ist erforderlich, wenn 10 oder mehr Personen ständig mit der automatisierten Datenverarbeitung befasst sind. Es kann ein in- oder externer Datenschutzbeauftragter benannt werden. Fällt die Wahl auf einen internen, sollten folgende Voraussetzungen erfüllt sein:

  • eine gewisse berufliche Qualifikation,
  • das Fachwissen auf dem Gebiet des Datenschutzes und der Datenschutzpraxis,
  • die Fähigkeiten zur Erfüllung der gesetzlich definierten Aufgaben und
  • interessenkonfliktfrei (nicht: IT-Beauftragter, Personalabteilung, Geschäftsführung).

 

7. Newslettermarketing

Haben Sie einen Newsletter, können Sie diesen grundsätzlich weiter an Ihren Bestandskundenverteiler versenden. Voraussetzung sind hierfür geregelt in § 7 Abs. 3 UWG. Unter anderem müssen Sie die E-Mailadresse von der jeweiligen Person im Zusammenhang mit einem Geschäft erhalten haben. Des Weiteren muss bei der Erhebung auf das jederzeitige Widerspruchsrecht hingewiesen worden sein. Sie müssen im Newsletter die Möglichkeit bieten, den Newsletter jederzeit abzubestellen. Sicherheit ist letztlich aber nur gewährleistet, wenn Sie alle Adressaten anschreiben und bitten, ihre Einwilligung noch einmal zu erteilen. Dies ist aus Gründen der Beweissicherheit zu empfehlen. Folgende Voraussetzungen sollten Sie dabei erfüllen:

  • Die Einwilligung muss durch eine ausdrückliche Handlung des Adressaten (bewusst und eindeutig) erfolgen (z. B. mittels Opt-In Checkbox oder Bestellbutton).
  • Die Einwilligung des Adressaten muss protokolliert werden (Logfiles). Zusätzlich könnte zur Beweissicherung das double Opt-In-Verfahren verwendet werden (Opt-In Bestellung + Opt-In mittels Bestätigungsmail, dass Newsletter bestellt werden soll).
  • Der Inhalt der Einwilligungserklärung muss jederzeit für den Adressaten abrufbar sein (Datenschutzerklärung).
  • Zudem muss der Adressat nach § 13 Abs. 3 TMG vor Erklärung seiner Einwilligung auf die jederzeitige Widerrufsmöglichkeit (Abbestellmöglichkeit) hingewiesen werden.

 

Anmerkung: Die Mitglieder des IVD erhalten über den internen Mitgliederbereich (www.ivd.net) alle Informationen und Hilfsmaterialien zur DSGVO.

Kommentare sind geschlossen.