nordpass logo

Eine einfache Anleitung zur DSGVO-Compliance

Was ist die DSGVO?

Die Datenschutz-Grundverordnung (DSGVO) ist ein Datenschutzgesetz, das von der Europäischen Kommission und dem Europäischen Parlament eingeführt und verabschiedet wurde und im Mai 2018 in Kraft trat.

Die DSGVO bietet Regeln und Leitlinien sowohl für europäische als auch für nicht-europäische Unternehmen, die Daten von europäischen Benutzern erheben, teilen und verwalten. Sie gibt EU-Bürgern das Recht, zu erfahren, welche Daten über sie erhoben werden und wie diese Daten gespeichert, geschützt und übertragen werden. Die DSGVO beinhaltet auch das Recht auf Vergessenwerden und das Recht auf Auskunft. Das bedeutet, dass Kunden die erhobenen Daten einsehen und deren Löschung fordern können.

Muss ich die DSGVO einhalten?

Alle Unternehmen, die Daten von Benutzern in der Europäischen Union erheben, unabhängig von ihrem Sitz, müssen die DSGVO einhalten. Die Nichteinhaltung der DSGVO kann zu hohen Bußgeldern führen, die bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen können, je nachdem, welcher Betrag höher ist.

Der Schutz der personenbezogenen Daten Ihrer Benutzer gemäß der DSGVO wirkt sich auf das gesamte Unternehmen aus, da die meisten Ihrer Verfahren möglicherweise überarbeitet und angepasst werden müssen. Es gibt jedoch keine klaren Regeln, die für jedes einzelne Unternehmen gelten. Wie du Daten schützt, hängt von der Art der Daten ab, die Ihr Unternehmen verarbeitet.

Einige DSGVO-Berater sagen, dass eine 100-prozentige DSGVO-Compliance nicht möglich sei, und dass die Erfüllung der DSGVO-Anforderungen eher darin bestehe, Ihre Datenverarbeitungsaktivitäten unter ethischen Gesichtspunkten zu überprüfen, statt Punkte auf einer Checkliste abzuhaken. Ein guter Ausgangspunkt ist, die 7 Prinzipien der DSGVO durchzugehen.

7 Grundsätze der DSGVO

  • Rechtmäßigkeit, Fairness und Transparenz. Daten müssen auf rechtmäßige, faire und transparente Weise verarbeitet werden.

  • Zweckbindung und Datenminimierung. Daten dürfen nur für bestimmte und legitime Geschäftszwecke erhoben werden.

  • Genauigkeit. Es sind alle erforderlichen Anstrengungen zu unternehmen, um die Daten auf dem aktuellen Stand zu halten. Wenn Daten ungenau oder veraltet sind, müssen sie gelöscht werden.

  • Begrenzte Aufbewahrung. Daten dürfen nur so lange gespeichert werden, wie es für die Bereitstellung von Produkten oder Dienstleistungen erforderlich ist. Eine längere Aufbewahrung darf nur für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke erfolgen.

  • Integrität und Vertraulichkeit. Unternehmen müssen alle erforderlichen Schritte unternehmen, um die Sicherheit personenbezogener Daten zu gewährleisten. Daten müssen vor unrechtmäßigen Zugriffen wie Datenschutzverstößen sowie vor versehentlichem Verlust, Zerstörung oder Beschädigung geschützt werden.

  • Rechenschaft. Die meisten Unternehmen sind verpflichtet, die Datenverarbeitung zu dokumentieren und diese bei Bedarf den zuständigen Aufsichtsbehörden vorzulegen.

So werden Sie DSGVO-konform

Bitte beachten Sie, dass die folgenden Informationen nur eine grobe Orientierung bieten. Sie dienen ausschließlich allgemeinen Informationszwecken und stellen keine Rechtsberatung dar. Die DSGVO besteht aus 11 Kapiteln, 99 Artikeln und fast zweihundert Erwägungsgründen. Um die DSGVO vollständig einzuhalten, empfehlen wir Ihnen, sich von Ihrem Rechtsbeistand oder der Aufsichtsbehörde juristisch beraten zu lassen.

  1. Überprüfen Sie alle Datenverarbeitungsverfahren

    Nehmen Sie sich Zeit und erstellen Sie eine Übersicht darüber, wie Ihr Unternehmen vom Anfang bis zum Ende Ihres Kundenerlebnisses Daten erhebt. Dies soll Ihnen dabei helfen, Punkte zu identifizieren, die Sie genauer überprüfen sollten. Beispiel:

    • Möglicherweise müssen Sie Mailing- und E-Mail-Listen überprüfen. Wenn Sie keine berechtigten Gründe für die Verarbeitung der Daten Ihrer Kunden zu Marketing- oder anderen Zwecken haben, dürfen Sie diese personenbezogenen Daten nicht verwenden. Prüfen Sie, ob es sinnvoll ist, separate Listen für Ihre europäischen Kunden zu erstellen.

    • Sie müssen sicherstellen, dass Sie berechtigte Gründe (z. B. Einwilligung, berechtigtes Interesse) für die Verarbeitung personenbezogener Daten für alle verschiedenen Datenerfassungskanäle haben, einschließlich Veranstaltungen, Newsletter-Abonnements oder sogar bezahlte Listen.

    • Überprüfen Sie Ihre zukünftigen EU-Marketingkampagnen, die möglicherweise darauf abzielen, Benutzerdaten zu erheben – möglicherweise müssen Sie die zugehörigen Prozesse anpassen.

    Zu diesem Zeitpunkt ist es auch ratsam, eine Person (oder das gesamte Team) in Ihrer Marketingabteilung damit zu beauftragen, eine Rechtsanwaltskanzlei zu konsultieren, die sich auf die DSGVO spezialisiert hat. Diese Person oder dieses Team sollte eng mit einem Datenschutzbeauftragten (DSB) zusammenarbeiten, wenn das Unternehmen eine solche Person ernannt hat. Datenschutzbeauftragte können Ihre Marketingkampagnen überprüfen und genehmigen.

  2. Gestalten Sie Ihre Website DSGVO-konform

    Wenn Sie eine Website haben, erheben Sie bestimmt auf die eine oder andere Weise Daten. Damit Ihre Website der DSGVO entspricht, sollten Sie Folgendes beachten:

    • Einfügen einer Cookie-Zustimmung. Alle Webformulare müssen über eine Cookie-Zustimmung verfügen, die Besucher über die Art der von Ihnen erhobenen Daten informiert und ihnen die Möglichkeit gibt, in eine solche Nachverfolgung ausdrücklich einzuwilligen, wenn sie dies möchten.

    • Einfügen einer Altersüberprüfung. Wenn Ihre Besucher jünger als 16 Jahre sind (die Altersgrenze kann in einigen EU-Ländern abweichen), erfordert die DSGVO die Zustimmung der Erziehungsberechtigten zur Datenerhebung. Stellen Sie sicher, dass Sie eine solche Überprüfung einschließen.

    • Aktualisieren Sie Ihre Formulare zur Datenerhebung. Diese muss in einer leicht verständlichen Sprache angeben, welche Daten zu welchem Zweck erhoben werden. (Eine vollständige Liste der Informationen, die einem Benutzer vorgelegt werden müssen, finden Sie in den Artikeln 13 und 14 der DSGVO.) Wenn Ihr Unternehmen außerhalb der EU tätig ist, müssen Sie auch das Feld „Wohnsitzland“ hinzufügen, damit Sie Ihre Datenbanken bei Bedarf trennen können.

  3. Aktualisieren Sie Ihre aktuelle Datenbank.

    Sie sollten Ihre Datenbank regelmäßig aktualisieren. Sie können Ihren Kunden dazu eine E-Mail senden, über die sie auswählen können, welche Art von Informationen sie erhalten möchten. Das erhöht die Wahrscheinlichkeit, dass sich Ihre Kunden nicht ganz abmelden. Jede Korrespondenz sollte auch eine Schaltfläche „Abmelden“ oder „Einstellungen aktualisieren“ enthalten.

    Außerdem dürfen Sie keine Benutzer kontaktieren, die sich zuvor abgemeldet haben. Dies verbietet die Datenschutzrichtlinie für elektronische Kommunikation.

  4. Machen Sie sich auf das Schlimmste gefasst

    Eines der Hauptziele der DSGVO besteht darin, Unternehmen hinsichtlich ihrer Datenverarbeitungsaktivitäten transparenter zu machen. Deshalb müssen Sie auch Ihre Datenschutzrichtlinie mit allen von Ihnen vorgenommenen Änderungen aktualisieren. Formulieren Sie klar und prägnant. Ihre Benutzer müssen die Informationen leicht finden können, insbesondere, welche Daten Sie erheben, zu welchem Zweck, an wen Sie sie weitergeben und warum, wie sie gespeichert werden, wie sie auf diese Daten zugreifen können und wie sie deren Löschung beantragen können. (Eine vollständige Liste der Informationen, die Ihre Datenschutzrichtlinie enthalten muss, finden Sie in den Artikeln 13 und 14 der DSGVO.)

    Aktualisieren Sie Ihre Datenschutzrichtlinie immer dann, wenn Sie Ihre Datenverarbeitungsprozesse aktualisieren. Es ist auch ratsam, regelmäßige Datenschutz- und Sicherheitsprüfungen durchzuführen. Lassen Sie nichts im Unklaren. Informieren Sie Ihre Kunden über alle Änderungen Ihrer Datenverarbeitungsprozesse und alle Probleme, die ihre Privatsphäre in positiver oder negativer Hinsicht beeinflussen könnten.

  5. Aktualisieren Sie Ihre Datenschutzerklärung

    Gemäß DSGVO müssen Verstöße innerhalb von 72 Stunden gemeldet werden (mit einigen Ausnahmen). Aus diesem Grund empfiehlt es sich, einen Notfallplan für den Fall einer Datenpanne zu erstellen und Ihre Mitarbeiter darüber zu informieren, was in solchen Fällen zu tun ist. Bedenken Sie dabei:

    • Wie sollten Mitarbeiter mit Kundenkontakt die Anfragen von Kunden beantworten?

    • Wie gehen Sie mit Social-Media-Kanälen um und verfügen Sie über genügend Personal, um auf alle Nachrichten zu antworten?

    • Welche Kanäle nutzen Sie, um ggf. Betroffene, wie Ihre Kunden und Lieferanten, zu informieren?

    • Wie informierst Sie die Medien und welche Kanäle nutzen Sie, um die Öffentlichkeit auf dem Laufenden zu halten?

    • Wie kommunizieren Sie das Datenleck intern?

    • Welche Verfahren befolgen Sie, wenn Ihre Kunden sich beschweren oder Rückerstattungen erhalten möchten?

    • Wie stellen Sie sicher, dass sich ein solcher Fall nicht wiederholt?

    Die DSGVO ist kein einmaliges Projekt, und Sie sollten sie nicht als solches auffassen. Vielmehr geht es um die kontinuierliche Verbesserung der Datenschutz- und Sicherheitsstandards in Ihrem Unternehmen.