02. Juni 2023 Von Lisa Schmidt, DSGVO-Spezialistin

DSGVO-Compliance in der Praxis: Was Unternehmen beachten müssen

DSGVO-Compliance in der Praxis

Auch fünf Jahre nach Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) herrscht bei vielen Unternehmen Unsicherheit bezüglich der konkreten Umsetzung. Dieser Artikel gibt einen Überblick über die wichtigsten Anforderungen und praktische Tipps zur Erfüllung der DSGVO-Vorgaben.

Die DSGVO – mehr als nur ein Bußgeldrisiko

Seit dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO) verbindlich in allen EU-Mitgliedstaaten. Obwohl die Verordnung inzwischen etabliert ist, besteht bei vielen Unternehmen noch Unsicherheit bezüglich der korrekten Umsetzung. Diese Unsicherheit wird durch regelmäßige Bußgeldmeldungen verstärkt – allein in Deutschland wurden bis heute Bußgelder in Höhe von mehreren Millionen Euro verhängt.

Doch die DSGVO sollte nicht nur als Risiko, sondern auch als Chance betrachtet werden. Eine gute Datenschutzpraxis steigert das Vertrauen von Kunden und Geschäftspartnern und kann somit zu einem Wettbewerbsvorteil werden. Zudem führt die systematische Auseinandersetzung mit Datenverarbeitungsprozessen oft zu einer verbesserten Datenqualität und effizienteren Prozessen.

"Datenschutz ist nicht nur eine rechtliche Verpflichtung, sondern auch ein Qualitätsmerkmal. Unternehmen, die Datenschutz ernst nehmen, gewinnen das Vertrauen ihrer Kunden."

- Prof. Dr. Ulrich Kelber, Bundesbeauftragter für den Datenschutz

Die wichtigsten DSGVO-Anforderungen im Überblick

Um DSGVO-konform zu handeln, müssen Unternehmen verschiedene Anforderungen erfüllen. Hier sind die wichtigsten im Überblick:

1. Rechenschaftspflicht und Dokumentation

Die DSGVO verlangt von Unternehmen, dass sie die Einhaltung der Datenschutzgrundsätze nachweisen können. Dies bedeutet eine umfassende Dokumentationspflicht:

  • Verzeichnis von Verarbeitungstätigkeiten: Dieses Verzeichnis muss alle Prozesse dokumentieren, bei denen personenbezogene Daten verarbeitet werden – von der Kundendatenbank über das E-Mail-Marketing bis hin zur Videoüberwachung.
  • Datenschutz-Folgenabschätzung: Bei risikoreichen Verarbeitungen, etwa bei umfangreicher Verarbeitung besonderer Kategorien personenbezogener Daten oder systematischer Überwachung öffentlicher Bereiche, ist eine solche Abschätzung erforderlich.
  • Dokumentation von technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten.

2. Rechtmäßigkeit der Verarbeitung

Jede Verarbeitung personenbezogener Daten benötigt eine Rechtsgrundlage. Die wichtigsten sind:

  • Einwilligung: Diese muss freiwillig, informiert, unmissverständlich und jederzeit widerrufbar sein.
  • Vertrag: Die Verarbeitung ist für die Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen notwendig.
  • Rechtliche Verpflichtung: Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich.
  • Berechtigtes Interesse: Die Interessen des Unternehmens überwiegen die Interessen der betroffenen Person. Dies erfordert eine Interessenabwägung.

Checkliste: Anforderungen an eine wirksame Einwilligung

  • Freiwilligkeit: Keine Nachteile bei Nichteinwilligung
  • Informiertheit: Klare Information über Zweck, Art der Daten, Empfänger
  • Unzweideutigkeit: Aktive Handlung (kein vorangekreuztes Kästchen)
  • Widerrufbarkeit: Einfache Möglichkeit zum Widerruf
  • Nachweis: Dokumentation der Einwilligung
  • Altersgrenze: Bei Personen unter 16 Jahren Einwilligung der Eltern erforderlich

3. Betroffenenrechte gewährleisten

Die DSGVO stärkt die Rechte der Personen, deren Daten verarbeitet werden. Unternehmen müssen sicherstellen, dass sie diese Rechte erfüllen können:

  • Informationspflichten: Transparente Information über die Datenverarbeitung in einer Datenschutzerklärung
  • Auskunftsrecht: Betroffene können Auskunft darüber verlangen, welche Daten über sie gespeichert sind
  • Recht auf Berichtigung: Falsche Daten müssen korrigiert werden
  • Recht auf Löschung ("Recht auf Vergessenwerden"): Unter bestimmten Umständen müssen Daten gelöscht werden
  • Recht auf Einschränkung der Verarbeitung: Die Verarbeitung kann in bestimmten Fällen eingeschränkt werden
  • Recht auf Datenübertragbarkeit: Daten müssen in einem strukturierten, gängigen Format bereitgestellt werden können
  • Widerspruchsrecht: Betroffene können der Verarbeitung widersprechen

4. Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen

Die DSGVO fordert "Privacy by Design" und "Privacy by Default":

  • Privacy by Design: Datenschutz muss bereits bei der Entwicklung und Konzeption von Produkten und Dienstleistungen berücksichtigt werden.
  • Privacy by Default: Standardmäßig dürfen nur die Daten verarbeitet werden, die für den jeweiligen Zweck erforderlich sind.

Typische Herausforderungen und praktische Lösungsansätze

1. Veraltete Einwilligungen und Cookie-Banner

Eine der häufigsten Schwachstellen in der Praxis sind nicht DSGVO-konforme Einwilligungen und Cookie-Banner. Viele Websites nutzen immer noch "Opt-out"-Lösungen oder setzen nicht-essenzielle Cookies ohne Einwilligung.

Praxistipp: Implementieren Sie ein transparentes Cookie-Management-System mit "Opt-in"-Mechanismus. Cookies sollten nach Kategorien (notwendig, Analyse, Marketing) gruppiert werden, und der Nutzer sollte die Möglichkeit haben, gezielt auszuwählen. Notwendige Cookies dürfen ohne Einwilligung gesetzt werden, alle anderen nur nach aktiver Zustimmung.

2. Auftragsverarbeitungsverträge fehlen

Wenn externe Dienstleister im Auftrag des Unternehmens personenbezogene Daten verarbeiten (z.B. Cloud-Anbieter, E-Mail-Marketing-Dienste, externe IT-Dienstleister), ist ein Auftragsverarbeitungsvertrag (AVV) erforderlich.

Praxistipp: Erstellen Sie eine Liste aller Dienstleister, die für Ihr Unternehmen personenbezogene Daten verarbeiten, und prüfen Sie, ob AVV vorliegen. Viele Anbieter stellen standardisierte AVV bereit. Achten Sie bei internationalen Anbietern besonders auf die Regelungen zum Datentransfer in Drittländer (insbesondere nach dem Schrems-II-Urteil).

3. Verzeichnis von Verarbeitungstätigkeiten unvollständig

Das Verzeichnis von Verarbeitungstätigkeiten (VVT) ist ein zentrales Dokument der DSGVO-Compliance, wird aber oft vernachlässigt oder unvollständig geführt.

Praxistipp: Entwickeln Sie einen strukturierten Prozess zur Erfassung aller Verarbeitungstätigkeiten. Beziehen Sie dabei alle Abteilungen ein und aktualisieren Sie das Verzeichnis regelmäßig, insbesondere bei neuen Verarbeitungsprozessen. Es gibt spezielle Software für das Datenschutzmanagement, die diesen Prozess erleichtern kann.

"Das Verzeichnis von Verarbeitungstätigkeiten ist nicht nur eine lästige Pflicht, sondern ein wertvolles Instrument, um Transparenz über die eigenen Datenströme zu gewinnen."

- Lisa Schmidt, Hammarazzi Cybersicherheit

4. Datenpannen erkennen und melden

Viele Unternehmen sind unsicher, wann eine meldepflichtige Datenpanne vorliegt und wie sie darauf reagieren sollen. Die DSGVO verpflichtet zur Meldung einer Datenpanne an die Aufsichtsbehörde innerhalb von 72 Stunden, wenn ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht.

Praxistipp: Entwickeln Sie einen Incident-Response-Plan, der klar definiert, wer im Unternehmen für die Bewertung und Meldung von Datenpannen zuständig ist. Schulen Sie Ihre Mitarbeiter, damit sie potenzielle Datenpannen erkennen und unverzüglich an die zuständige Stelle im Unternehmen melden.

Datenschutz im Zeitalter von Remote Work und Cloud Computing

Moderne Arbeitsformen stellen besondere Anforderungen an den Datenschutz. Hier einige spezifische Hinweise:

Homeoffice und Remote Work

Die Arbeit im Homeoffice birgt besondere Datenschutzrisiken, die adressiert werden müssen:

  • Sichere VPN-Verbindungen für den Zugriff auf Unternehmensdaten
  • Verschlüsselung von Endgeräten
  • Klare Regelungen für die Nutzung privater Geräte (BYOD-Richtlinie)
  • Sensibilisierung der Mitarbeiter für Datenschutz im häuslichen Umfeld

Cloud-Services

Bei der Nutzung von Cloud-Diensten sind folgende Aspekte zu beachten:

  • Sorgfältige Auswahl des Anbieters unter Berücksichtigung von Datenschutzaspekten
  • Abschluss von Auftragsverarbeitungsverträgen
  • Bei Anbietern aus Drittländern: Prüfung der Rechtmäßigkeit des Datentransfers nach dem Schrems-II-Urteil
  • Wenn möglich: Nutzung von Verschlüsselung, bei der nur das Unternehmen die Schlüssel besitzt

Praktische Schritte zur DSGVO-Compliance

Unternehmen, die ihre DSGVO-Compliance verbessern möchten, sollten systematisch vorgehen:

  1. Bestandsaufnahme: Identifizieren Sie alle Prozesse, bei denen personenbezogene Daten verarbeitet werden.
  2. Gap-Analyse: Vergleichen Sie den Ist-Zustand mit den DSGVO-Anforderungen und identifizieren Sie Handlungsbedarf.
  3. Maßnahmenplan: Erstellen Sie einen priorisierten Plan zur Schließung der Lücken.
  4. Dokumentation: Sorgen Sie für eine vollständige Dokumentation aller Verarbeitungstätigkeiten und Maßnahmen.
  5. Mitarbeitersensibilisierung: Schulen Sie Ihre Mitarbeiter regelmäßig zu Datenschutzthemen.
  6. Regelmäßige Überprüfung: Datenschutz ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Führen Sie regelmäßige Überprüfungen durch.

Inhalte einer DSGVO-Schulung für Mitarbeiter

  • Grundlagen des Datenschutzrechts
  • Identifikation personenbezogener Daten
  • Sicherer Umgang mit Daten im Arbeitsalltag
  • Erkennen und Melden von Datenpannen
  • Umgang mit Betroffenenanfragen
  • Spezifische Regeln für die jeweiligen Abteilungen

Fazit: Datenschutz als Chance

Die DSGVO stellt Unternehmen vor Herausforderungen, bietet aber auch Chancen. Ein systematisches Datenschutzmanagement führt nicht nur zu rechtlicher Compliance, sondern auch zu effizienteren Prozessen, höherer Datenqualität und gestärktem Kundenvertrauen.

Wichtig ist, Datenschutz nicht als einmaliges Projekt, sondern als kontinuierlichen Prozess zu verstehen, der in die Unternehmenskultur integriert werden muss. Unternehmen, die Datenschutz ernst nehmen und proaktiv umsetzen, können dies als Wettbewerbsvorteil nutzen und sich als vertrauenswürdige Partner positionieren.

Lisa Schmidt

Über die Autorin

Lisa Schmidt ist DSGVO-Spezialistin bei Hammarazzi Cybersicherheit. Sie berät Unternehmen bei der Umsetzung von Datenschutzanforderungen und unterstützt bei der Entwicklung datenschutzkonformer IT-Lösungen. Als zertifizierte Datenschutzbeauftragte verfügt sie über umfangreiche Erfahrung in der Begleitung von Datenschutzprojekten in verschiedenen Branchen.

Teilen Sie diesen Artikel:

Das könnte Sie auch interessieren

Ransomware-Angriffe auf deutsche Unternehmen
15. Juli 2023

Ransomware-Angriffe auf deutsche Unternehmen nehmen zu

Die Zahl der Ransomware-Angriffe auf deutsche Unternehmen steigt rasant. Wir analysieren die aktuellen Trends und geben Tipps zur Prävention.

Weiterlesen
Zero Trust Architektur
18. Mai 2023

Zero Trust Architektur: Die Zukunft der Unternehmenssicherheit

Das Zero-Trust-Modell gewinnt in der Cybersicherheit immer mehr an Bedeutung. Wir erklären die Prinzipien und Vorteile dieses Sicherheitskonzepts.

Weiterlesen