Die Datenschutzgrundverordnung

DSGVO: Tipps für Unternehmer

Wir stehen im laufenden Dialog mit dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit. Unser Ausschuss für Recht hat einen Fragenkatalog zu mehreren praktischen Aspekten der DSGVO aufgestellt. Die Antwort des HmbBfDI finden Sie hier zusammen mit den weiterführenden Dokumenten, auf die im Antwortschreiben verwiesen (nicht barrierefrei, PDF-Datei · 5182 KB) wird.

Datenschutzhinweise auf der Webseite auf den aktuellen Stand bringen

Websites benötigen eine Datenschutzerklärung. Das war auch vorher so! Sie müssen beispielsweise darüber informieren, welche personenbezogenen Daten von Ihnen erhoben werden, zu welchen Zwecken dies erfolgt und an wen diese unter Umständen übermittelt werden. Diese Unterrichtung hat in einer allgemeinen verständlichen Form zu erfolgen.
Wichtiger Hinweis: Das Institut für Informations-, Telekommunikations- und Medienrecht an der Westfälischen Wilhelms-Universität Münster hat eine Musterdatenschutzerklärung für die Firmen-Website erarbeitet.
Der "Leitfaden Rechtssichere Internetseiten & Online-Shops - DSGVO-konform" des Mittelstand 4.0 Kompetenzzentrums Saarbrücken bietet Tipps, Checklisten, Muster und Praxisbeispiele für Internetseiten und Online-Shops inklusive der Neuerungen durch die DSGVO.
Wir machen Sie darauf aufmerksam, dass die Datenschutzerklärung und der Leitfaden nur ein Muster sind und keine Gewähr auf Aktualität, Vollständigkeit und Richtigkeit bieten. Ein Mustertext kann weder jede individuelle Datenverarbeitung erfassen noch kann er die anwaltliche Beratung ersetzen. Wenden Sie sich dafür und für eine vertiefte und verbindliche Beratung zur DS-GVO bitte an die Hanseatische Rechtsanwaltskammer, um den Kontakt zu einem Fachanwalt zu erhalten.

Bestandsaufnahme der Datenverarbeitung im Unternehmen

Mit der Bestandsaufnahme beginnen, wo und wie Datenverarbeitung im Unternehmen stattfindet.
Die DSGVO verlangt von Unternehmen ein Verzeichnis aller Datenverarbeitungsaktivitäten. Von der Pflicht zum Führen eines Verzeichnisses der Verarbeitungstätigkeiten ausgenommen sind Unternehmen,
  • die weniger als 250 Mitarbeiter beschäftigten, sofern die von Ihnen vorgenommene Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt,
  • die Verarbeitung nicht nur gelegentlich erfolgt oder
  • nicht die Verarbeitung besonderer Datenkategorien gem. Art. 9 Abs. 1 DSGVO einschließt.

Verträge mit sogenannten "Auftragsverarbeitern" abschließen

Einen Auftragsverarbeitungsvertrag (AV) muss grundsätzlich jedes Unternehmen abschließen, das personenbezogene Daten im Auftrag, also durch einen Dienstleister verarbeiten lässt. Eine Auftragsverarbeitung liegt vor, wenn eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle personenbezogenen Daten im Auftrag eines Verantwortlichen verarbeitet.
Das bedeutet, dass der Verantwortliche gibt personenbezogene Daten an jemanden außerhalb seines Unternehmens (z.B. Mitarbeiterdaten an externe Buchhaltung) herausgibt oder den Einblick auf die eigene Datenhaltung (z.B. Wartung der eigenen IT durch externe Firmen) ermöglicht.
Ein zu schließender AV-Vertrag regelt die Rechte und Pflichten von Auftraggeber und Auftragnehmer. So soll u.a. gewährleistet werden, dass der Auftragnehmer die ihm anvertrauten Daten nur zu den Zwecken verarbeitet, für die der Auftraggeber die Daten erhoben hat. Vor allem aber wird der Dienstleister verpflichtet, die Daten in entsprechendem Maße zu schützen. Daher werden im Vertrag diesbezüglich auch Kontrollrechte eingeräumt.
Die einzelnen Rechte und Pflichten der Parteien bei der Auftragsverarbeitung regelt Art. 28 DSGVO. Die dort aufgeführten Kriterien stellen Mindestanforderungen an den AV-Vertrag dar.

Einwilligungen einholen und Widerrufsbelehrung beifügen

Im Datenschutzrecht gilt das sogenannte „Prinzip des Verbots mit Erlaubnisvorbehalt“. Das bedeutet, niemand darf mit personenbezogenen Daten von anderen umgehen, also Daten erheben, speichern oder weitergeben, wenn er nicht über eine ausdrückliche Einwilligung der betroffenen Person verfügt oder zumindest sich auf eine Rechtsgrundlage berufen kann, die ihm erlaubt oder sogar anordnet, diese Daten zu verarbeiten. Sie müssen allerdings sicherstellen, dass die Zweckbindung und die Erforderlichkeit der Daten beachtet wird.
In der Praxis wird die größte Bedeutung jenen Fällen zukommen, in denen die Daten für die Erfüllung eines Vertrags oder aufgrund einer rechtlichen Verpflichtung erforderlich sind oder aber die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und die Interessen der betroffenen Person nicht überwiegen.
Beispielsweise sind personenbezogene Daten dann erforderlich, wenn Sie jemandem etwas verkaufen. Dann darf der Käufer z.B. Namen, Kontaktdaten und Bankverbindungen erhalten. Grundsätzlich gilt also: Kann die Leistung über das Internet ohne diese erhobenen Nutzungsdaten nicht gewährleistet oder nicht abgerechnet werden, ist die Erhebung der Daten ohne Einwilligung erlaubt. Sobald Sie die Daten aber auch anderweitig verwenden, wie zum Beispiel für die Analyse es Kundenverhaltens, die Werbung oder den Newsletter reicht die Datenschutzerklärung nicht aus. Zusätzlich muss dann die Einwilligung des Betroffenen eingeholt werden und der Betroffene muss auch über sein Widerrufsrecht zur Nutzung seiner Daten informiert werden.
Achtung: Sie müssen den Kunden bereits vor Erklärung der Einwilligung auf sein Widerrufsrecht hinweisen. Der Betroffene muss auf sein Widerrufsrecht in einer verständlichen und von anderen Informationen getrennten Form hingewiesen werden.

Bestimmung eines Datenschutzbeauftragten

Unternehmen mit mehr als zehn Mitarbeitern, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, müssen in der Regel einen Datenschutzbeauftragten bestimmen.
Tipp: Umfangreiche Hinweise des hamburgischen Beauftragten für Datenschutz und Informationsfreiheit zu den Mindestanforderungen an die Fachkunde von betrieblichen Datenschutzbeauftragten finden Sie auf der Webseite des hamburgischen Beauftragten für Datenschutz und Informationsfreiheit.
Weitere und vertiefte Informationen zu den oben genannten Punkten finden Sie im Dokument "Die Datenschutzgrundverordnung (DS-GVO)"
Hinweis: Diese Informationen sollen Ihnen nur erste Hinweise geben und erheben daher keinen Anspruch auf Vollständigkeit. Obwohl sie mit größtmöglicher Sorgfalt erstellt wurden, kann eine Haftung für die inhaltliche Richtigkeit nicht übernommen werden.
Europäische Kommission: Vorschriften für Unternehmen und Organisationen
ec.europa.eu