Die fünf Umsetzungs­schwierig­keiten der DSGVO für Unternehmen

Die Datenschutz-Grundverordnung (kurz: DSGVO) verlangt den Verantwortlichen neben den alltäglichen Geschäft vieles ab. Gerade kleine und mittelständische Unternehmen haben oft Schwierigkeiten und stehen vor großen Herausforderungen bei der Einhaltung und der Umsetzung von datenschutzrechtlichen Vorgaben. Schließlich ist die Umsetzung der DSGVO nicht von der Unternehmensgröße abhängig.

Die DSGVO ist eine Verordnung des Europäischen Parlaments und des Rates, die die Regeln zur Verarbeitung personenbezogener Daten durch nicht-öffentliche (private Unternehmen) und öffentliche Stellen (Behörden) EU-weit im Zeitalter der Digitalisierung vereinheitlicht. Als Ziel verfolgt die DSGVO einerseits einen umfassenden Verbraucherschutz und andererseits soll durch die DSGVO der innereuropäische Verkehr personenbezogener Daten geschützt und gestärkt werden. Die Ziele sollen mittels abschreckender Bußgelder durchgesetzt werden.

Doch die Notwendigkeit datenschutzkonform zu handeln ist nicht nur in Verbindung mit möglichen Bußgeldern und Reputationsverlusten zu sehen, sondern sollte in Anbetracht der wachsenden Bedeutung des Datenschutzes bei Verbrauchern und im B2B-Geschäft durchaus als Wettbewerbsvorteil genutzt werden. Aus diesem Grund sollten Unternehmen von Beginn an die nachfolgenden Themen auf Ihrer Agenda haben und sich um eine rechtskonforme Umsetzung bemühen.

1. Rechtskonforme Webseiten

Die eigene Webseite ist mittlerweile zum Aushängeschild des Unternehmens geworden und birgt gerade deshalb viel Potential für datenschutzrechtliche Abmahnungen. Fehlerhaft bei der datenschutzkonformen Umsetzung einer Webseite sind oftmals

• ein nicht rechtskonformer Cookie-Hinweis,
• eine nicht vorhandene Einwilligung der Webseiten-Nutzer vor dem Start einwilligungsrelevanter Verarbeitungsvorgänge,
• eine nicht datenschutzkonforme Einbindung der Social Media Plug-Ins
• und/oder eine fehlerhafte oder unvollständige Datenschutzinformation.

Einer Studie des Fachverbands deutscher Webseiten-Betreiber (FdWB) zufolge weisen über 41 % der Webseiten gravierende Mängel auf, wodurch sie gegen Rechtsvorschriften verstoßen und für Abmahnungen gefährdet sind.

Alle Webseiten, die nicht nur technisch notwendige Cookies setzen, bzw. die, die der Einwilligungspflicht aus § 15 Abs. 3 S. 1 TMG unterliegen, benötigen den sogenannten Cookie-Banner. Auch in einem Cookie-Banner muss ausführlich über die Verarbeitung informiert werden, für die man die Einwilligung des Nutzers möchte. Eine allgemeine Einwilligung für alle Verarbeitungsvorgänge kann nicht erteilt werden. Was Sie über die Gestaltung eines rechtskonformen Cookie-Banners wissen müssen, erfahren Sie in unserem Blogbeitrag "Webseiten-Tracking verbessern".

Wer personenbezogene Daten verarbeitet, muss über die Verarbeitung der Daten vor Beginn der Verarbeitung informieren. Doch Vorsicht bei der Verwendung von Mustervorlagen aus dem Internet. Standards, wie die Beschreibung des Verantwortlichen und der Betroffenenrechte, können oftmals unbedenklich in die eigene Datenschutzinformation übernommen werden. Informationen zu den einzelnen Verarbeitungsvorgängen, die im Zusammenhang mit dem Nutzen und dem Betreiben der Webseite existieren und in denen konkrete personenbezogene Daten verarbeitet werden, sind unbedingt individuell zu gestalten.

Wer auf seiner Webseite noch einen eigenen Webshop betreibt, muss neben den "Standard"-Anforderungen des Datenschutzes noch weitere datenschutzrechtliche Punkte wie beispielsweise Informationen zur Bestellabwicklung, zum Benutzerkonto oder zum Zahlungsverkehr preisgeben.

2. Auftragsverarbeitung

Das Outsourcen von Arbeitsprozessen wird im Sinne der DSGVO als Auftragsverarbeitung deklariert und ist in Art. 28 DSGVO geregelt. Ein Unternehmen lagert einzelne Prozesse und teilweise auch ganze Aufgabenbereiche auf externe Dienstleister aus. Der Dienstleister (Auftragnehmer) verarbeitet nach Weisung die personenbezogenen Daten des Verantwortlichen (Auftraggeber). Dadurch wird dem Unternehmen ermöglicht, das Fachwissen von unternehmensfremden Stellen effizient und flexibel in eigene Unternehmensprozesse einzubinden.

Die Auftragsverarbeitung erfolgt auf Grundlage eines Vertrages, der in Art. 28 Abs. 3 DSGVO inhaltlich geregelt ist. Der Auftragsverarbeitungsvertrag (kurz: AV-Vertrag) sollte inhaltlich die Art der personenbezogenen Daten, den Gegenstand sowie Zweck der Verarbeitung regeln. Des Weiteren muss der Auftragsverarbeiter in seinem Unternehmen bzw. seinen Prozessen dem Auftraggeber hinreichend Garantien bieten, dass geeignete technische und organisatorische Maßnahmen durchgeführt werden, so dass die Verarbeitung der personenbezogenen Daten im Einklang mit den Rechten und Pflichten aus der Datenschutzverordnung steht.

Herausfordernd bei der Auftragsverarbeitung ist für viele Unternehmen, dass sie nicht wissen, dass mit jedem Dienstleister ein separater Vertrag geschlossen werden muss. Auch die Anlagen des Vertrages müssen hinreichend definiert werden.

3. Datenschutzbeauftragter

Für zahlreiche Unternehmen besteht eine Pflicht zur Benennung eines Datenschutzbeauftragten; auch kann die Bestellung eines Datenschutzbeauftragten auf freiwilliger Basis oder in Zweifelsfällen erfolgen. Ein Datenschutzbeauftragter ist eine natürliche Person, der von einem Unternehmen oder einer öffentlichen Stelle benannt wird, um die Einhaltung des Datenschutzes sicherzustellen und zu überwachen.

Ein Datenschutzbeauftragter ist auf jeden Fall immer dann zu benennen, wenn im Unternehmen in der Regel mindestens 20 Mitarbeiter mit der Verarbeitung personenbezogener Daten beschäftigt sind. Unabhängig von dieser Mitarbeiterzahl ist jedoch auch ein Datenschutzbeauftragter erforderlich, sobald das Unternehmen gem. Art. 35 DSGVO eine Datenschutz-Folgeabschätzung durchführen muss. Ein Datenschutzbeauftragter ist auch dann zu benennen, wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.

4. Datenschutz-Schulung der Mitarbeiter

Die Themen Datenschutz & Datensicherheit betreffen mittlerweile alle Unternehmensprozesse und sind durch fortschreitende Digitalisierung zu wichtigen Key-Facts für den Unternehmenserfolg geworden. Datenschutz, insbesondere die DSGVO, und die rechtlichen Rahmenbedingungen im Bereich der Datensicherheit können nur so gut und effektiv umgesetzt werden, wie Mitarbeiter über die einzelnen Themen informiert und in der Tiefe geschult sind. Die DSGVO enthält mit Art. 32 DSGVO sogar eine solche datenschutzrechtliche Schulungspflicht.

Schließlich ist eine Schulung der Mitarbeiter im Datenschutz unabdingbar, denn die Wahrscheinlichkeit für Gefahrenstellen erhöht sich, wenn nur der Datenschutzbeauftragte des Unternehmens entsprechend geschult ist. Eine Datenschutz-Panne wird sich nie ganz vermeiden lassen, aber das Risiko kann deutlich reduziert werden. Auf unserer Webseite finden Sie weitergehende Informationen zu der Schulungspflicht und unserem Schulungsangebot.

5. Dokumentationspflicht

Nach der in Art. 5 Abs. 2 DSGVO statuierten Rechenschaftspflicht ist der Verantwortliche für die Einhaltung der DSGVO im Allgemeinen verantwortlich und muss deren Einhaltung nachweisen können. Neben dem Nachweis, dass man personenbezogene Daten datenschutzkonform verarbeitet, verlangt die DSGVO weitere Nachweise zur Datenschutzkonformität wie beispielsweise das Führen eines Verarbeitungsverzeichnisses oder die Wahrung der Betroffenenrechte.

Die Pflicht, die Nachweise zu führen, betrifft wieder einmal jedes Unternehmen, das nicht nur gelegentlich Daten verarbeitet. Jedes Unternehmen, das Mitarbeiter beschäftigt, verarbeitet personenbezogene Daten nicht nur gelegentlich und ist zum Beispiel zum Führen eines Verarbeitungsverzeichnisses verpflichtet.

Nach Art. 30 Abs. 1 DSGVO sind im Verarbeitungsverzeichnis des Verantwortlichen folgende Angaben je Verarbeitungsprozess zu machen:

• Name und Kontaktdaten des Verantwortlichen und ggf. des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten
• Zwecke der Verarbeitung
• Eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
• Die Kategorien von Empfängern gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländer oder internationale Organisationen
• Ggf. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Art. 49 Abs. 1 Uabs. 2 DSGVO genannten Datenübermittlungen die Dokumentierung geeigneter Garantien
• Angabe von vorgesehenen Fristen für die Löschung der personenbezogenen Daten
• Beschreibung der technischen und organisatorischen Maßnahmen gem. Art. 32 Abs. 1 DSGVO

Zur Wahrung der Betroffenenrechte müssen neue Prozesse eingerichtet werden, die eine Reaktionszeit von vier Wochen ermöglichen. Die Rechte und Freiheiten der natürlichen Person wird in der DSGVO als Betroffenenrechte deklariert. Es gibt in Kapitel drei (Art. 12 - Art. 23 DSGVO) einen umfassenden Katalog an Vorgaben für Datenverarbeiter, die die Transparenz gewährleisten und die Persönlichkeitsrechte schützen sollen. Die zu ergreifenden Maßnahmen als Verantwortlicher reichen von Auskunftsersuchen und Einschränkungen der Verarbeitung bis hin zum Recht auf Datenübertragbarkeit und Vergessenwerden. Weitere Informationen, wie man den Betroffenenrechten gerecht werden kann, erfahren Sie in unserem Seminar DSGVO-Ziel: Betroffenenrechte.

Referenzen

1. https://fdwb.de/studie-des-fdwb-von-2-500-webseiten-2020/