28.01.2025Fachbeitrag

Wie gestaltet man den eigenen Betrieb datenschutzkonform?

Datenschutzexperte Mannus Weiß gibt einen Überblick zu den wichtigsten Anforderungen der DSGVO.

Anforderungen der Datenschutz-Grundverordnung (DSGVO) an jedes Unternehmen

Damit ein Unternehmen DSGVO-konform aufgestellt ist, muss es folgende Anforderungen erfüllen:

  1. Ein Verzeichnis der Verarbeitungstätigkeiten muss erstellt werden. In diesem Verzeichnis werden sämtliche Datenverarbeitungsvorgänge zusammen mit den zugrunde liegenden rechtlichen Grundlagen und Zugriffsmöglichkeiten dokumentiert. Dazu gehören beispielsweise die Zeiterfassung, Lohn- und Finanzbuchhaltung, E-Mail-Verarbeitung, Homeoffice-Regelungen, Nutzung des CRM-Systems, Softwareanwendungen, Videoüberwachung und Clouddienste. Ein solches Verzeichnis kann, selbst bei kleinen Unternehmen, leicht bis zu 150 Seiten umfassen.
  2. Es ist erforderlich, eine Liste der technischen und organisatorischen Maßnahmen (TOM-Liste) zu erstellen. Diese beschreibt die Vorkehrungen, die das Unternehmen trifft, um die Sicherheit personenbezogener Daten zu gewährleisten. Beispiele hierfür sind der Einsatz von Antivirusprogrammen, Firewalls, regelmäßige Backups und die Festlegung von Zugriffsbeschränkungen. Auch ein Berechtigungskonzept sollte dokumentiert werden.
  3. Es muss geprüft werden, ob bereits Verträge zur Auftragsverarbeitung (AV-Verträge) bestehen oder ob solche noch abgeschlossen werden müssen. AV-Verträge sind beispielsweise mit dem Webhoster, dem IT-Dienstleister, dem Cloud-Anbieter oder dem Unternehmen, das die Druckerwartung übernimmt, erforderlich.
  4. Die Datenschutzerklärung sowie gegebenenfalls das Cookie-Banner müssen einer sorgfältigen Überprüfung unterzogen werden. In der Praxis wird in über 90 % der Fälle ein Fehler festgestellt. So kommt es häufig vor, dass Webmaster Tools wie Google Analytics installieren, ohne dass diese vom Kunden tatsächlich genutzt oder benötigt werden. Dies kann zu Beschwerden von Kunden oder Wettbewerbern führen, die eine Überprüfung durch die Behörden zur Folge haben. Wer Tracking-Tools ohne eine funktionierende Einwilligung der Besucher verwendet (etwa ohne funktionierendes Cookie-Banner), muss mit der Zusendung eines Fragekatalogs rechnen, welcher in der Regel nicht ohne weiteres beantwortet werden kann und mit Kosten verbunden ist.
  5. Ein Datenschutzkonzept und ein Löschkonzept müssen erstellt werden. Darüber hinaus sollten verschiedene Unternehmensrichtlinien, wie etwa eine Homeoffice-Richtlinie und eine IT-Nutzungsrichtlinie, formuliert werden. Zudem ist es notwendig, sowohl die Mitarbeitende als auch die Kunden über die Verarbeitung ihrer Daten zu informieren und sie zur Wahrung des Datenschutzgeheimnisses sowie zur Einhaltung des TDDDG zu verpflichten.
  6. Zu Beginn müssen alle Beschäftigte, die mit der Verarbeitung von Daten betraut sind, in Datenschutzfragen geschult werden. Es sollte zudem jährlich überprüft werden, ob Datenschutzbeauftragte bestellt werden müssen. Diese Position erfordert eine spezifische fachliche Qualifikation, darf nicht in einem Interessenskonflikt stehen und kann weder von der Geschäftsführung noch von IT- oder Marketingverantwortlichen übernommen werden.

 

Wie kann man sicherstellen, dass man diese Kriterien vollständig erfüllt und DSGVO-konform aufgestellt ist?

Das Unternehmen sollte sich auf jeden Fall an eine zertifizierte Fachperson wenden und sich beraten lassen, bevor es sich selbst an den Dokumentationen versucht. Das erspart viel Arbeit und auch Kosten.

 

Wie steht das Hinweisgeberschutzgesetz im Zusammenhang mit dem Datenschutz?

Jedes Unternehmen ab 50 Beschäftigten muss das Hinweisgeberschutzgesetz seit Ende 2023 umgesetzt haben. Dort muss eine interne Meldestelle eingerichtet werden, bei der Personen, welche im beruflichen Kontext mit dem Unternehmen stehen, im Falle von z. B. Diskriminierungen, Übergriffigkeiten, Diebstähle, melden können.

Bei der Einrichtung einer solchen Meldestelle muss eine sogenannte Datenschutzfolgenabschätzung (DSFA) erstellt werden. Dafür benötigt man in der Regel fachlichen Beistand oder lagert diese Meldestelle an ein externes Fachunternehmen aus.

 

Weitere Informationen sind der „Checkliste für DSGVO-Anforderungen“ zu entnehmen: DSGVO-Checkliste.

Mehr zu diesen Themen