Home / Aktuelles & Termine / it.sec blog / DSGVO: Die 5vor12 Checkliste!

DSGVO - Die ultimative Checkliste für Zuspätkommer

Die Deadline rückt näher, die Übergangsfrist verstreicht und zum 25. Mai 2018 müssen die Anforderungen der EU-Datenschutz-Grundverordnung (DSGVO) umgesetzt sein. Wer jetzt noch nicht angefangen hat, wird vermutlich nicht mehr alles rechtzeitig hin bekommen. Die Aufsichtsbehörden sind aber sogar zur proaktiven Prüfungen verpflichtet, eine weitere Gnadenfrist ist nicht vorgesehen. Aus "üblicherweise gut unterrichteten Kreisen" ist zu vernehmen, dass es sicher Warnschüsse geben wird. Bislang geübte Datenschutz-Ignoranz kann nun teuer werden oder zumindest in ungeplante Arbeit mit behördlicher Umsetzungsfrist ausarten. Wir wollen Ihnen helfen zumindest für's Erste unterm Radar zu bleiben.

Unsere ultimative Checkliste für Zuspätkommer listet die subjektiv wichtigsten Punkte auf, die sie schnell noch adressieren sollten! Warum sind es die Wichtigsten? Unser Ranking richtet sich nach der Einfachheit der Implementierung der Maßnahmen, danach, ob ein Mangel direkt vom behördlichen Sessel aus erkennbar ist (z.B. auf der Webseite) und nach dem Ausmaß des zu erwartenden Ärgers. Am Ende spielen aber alle, die jetzt erst einsteigen mit dem Feuer und wir übernehmen keine Gewähr dafür, dass Sie damit durchkommen oder die Liste vollständig ist. Die Verpflichtung für eine komplette DSGVO Umsetzung besteht selbstredend weiter, aber eventuell können Sie ein wenig Zeit rausschinden oder fallen gar nicht erst auf.

Webseite:

  • Datenschutzerklärung angepasst?
    Deutlich erweiterte Informationspflichten, bspw. hinsichtlich genutzter Cookies und eingesetzter Website-Analyse-Software, aber auch bzgl. der Betroffenenrechte machen eine Neuformulierung der Datenschutzerklärung auf der Website erforderlich.
    Die Web-Site ist Ihre Visitenkarten und leicht von jedem in Minuten zu kontrollieren - übrigens auch vom Wettbewerb oder den bestimmt aufkommenden Abmahnkanzleien, die ein Geschäft riechen.
  • Transportverschlüsselung in place?
    Werden über Ihre Webseite personenbezogene Daten erfasst (hierfür genügt bereits ein Kontaktformular), so ist die Kommunikation zwischen Browser und Webserver zwingend nach dem Stand der Technik transportzuverschlüsseln. Hierfür benötigen Sie ein sogenanntes" Zertifikat", welche Sie Ihrem Web-Server bekannt machen müssen. Solche Zertifikate muss man (online) bei sogenannten Certificate Authorities (CA) kaufen. Ihr Web-Admin weiß in der Regel bescheid.
  • Datenminimierung berücksichtigt?
    Fragen Sie bei Ihren Online-Diensten nur die wirklich für den Betrieb notwendigen Daten ab? Für ein Newsletter-Abo genügt bspw. die E-Mailadresse, Anrede und Namen sind bestenfalls auf freiwilliger Basis erhebbar. Erzwingt man die Preisgabe von mehr Daten, verstößt man gegen das Gesetz.
  • Newsletter Double-Opt-In eingeführt?
    Denken Sie an das zwingend durchzuführende und zu dokumentierende Double-Opt-In-Verfahren! Übrigens auch verboten: die standardmäßig vorausgewählte Newsletter-Checkbox!

Interne Dokumentation:

  • Verzeichnis der Verarbeitungstätigkeiten vorhanden?
    Alle im Unternehmen vorhandenen Verarbeitungstätigkeiten von personenbezogenen Daten (egal ob On- oder Offline) sind in ein Verzeichnis aufzunehmen. Neben Angaben zum Verantwortlichen der Verarbeitung muss es u.a. Angaben zu von der Verarbeitung Betroffenen, den Zweck der Verarbeitung, Empfänger der Daten, Löschfristen sowie technischer und organisatorischer Maßnahmen zum Schutz der Daten enthalten. Das Verzeichnis ist Ausgangspunkt der Prüftätigkeit der Aufsichtsbehörden, es ist auf Anfrage innerhalb von zwei Wochen vorzulegen.
  • Plan zur Erfüllung von Betroffenenrechten vorhanden?
    Die DSGVO statuiert umfangreiche Betroffenenrechte. Besonders relevant ist hierbei das Recht des Betroffenen auf Datenauskunft, also auf Offenlegung aller zur Person gespeicherter Daten. Da Daten häufig nicht nur an einer Stelle gespeichert sind, sollte eine Checkliste definiert werden, welche Systeme bei welcher Art von Anfrage zu durchsuchen sind, um auf eine Anfrage innerhalb der gesetzlichen Frist von 30 Tagen reagieren zu können.
  • Technische und organisatorische Maßnahmen definiert und dokumentiert?
    Die DSGVO schreibt nun eindeutig vor, dass auch die technische Absicherung der Datenverarbeitung zu erfolgen hat, darüber hinaus sind organisatorische Maßnahmen zu treffen, um personenbezogene Daten zu schützen. Konkret bedeutet das bspw. zu prüfen, ob Firewall und Virenscanner noch dem Stand der Technik entsprechen, ob die Webseite hinreichend gegen Angriffe geschützt ist, aber auch ob die Büroräume vernünftig gegen unbefugten Zutritt gesichert sind. All die getroffenen Maßnahmen sind selbstverständlich zu dokumentieren und regelmäßig auf ihre Angemessenheit und Wirksamkeit zu prüfen.
  • Löschfristen eingehalten?
    Die DSGVO legt besonderes Augenmerk auf Löschfristen – und auch deren Einhaltung. Die gängige Unternehmenspraxis, Daten ‚unendlich‘ zu speichern dürfte damit ein Ende haben. Dies schafft v.a. zwei Herausforderungen: die Definition der ‚richtigen‘ Fristen unter Beachtung gesetzlicher Aufbewahrungspflichten, aber auch die technische Möglichkeit, Daten tatsächlich (datenschutzkonform) zu löschen.
    Interessante Fragen kommen hier auf uns zu, wie z.B.: wie ist mit Archiven zu verfahren, aus denen ich gar keine Daten selektiv löschen kann? Und was ist eigentlich genau "Löschen" im Einzelfall.

Juristische Vorbereitung:

  • Verträge zur Auftragsverarbeitung DSGVO konform?
    Bereits unter der Geltung des ‚alten‘ BDSG war es verpflichtend, mit Dienstleistern, die für den Verantwortlichen personenbezogene Daten in dessen Auftrag verarbeitet haben, einen Vertrag zu schließen, der Rechte und Pflichten im Hinblick auf diese Verarbeitung ausdrücklich regelt. All diese Verträge sind – soweit überhaupt vorhanden – an die Bestimmungen der DSGVO anzupassen bzw. erstmalig abzuschließen. Es gilt – ohne Vertrag zur Auftragsverarbeitung kein gesetzeskonformer Einsatz des Dienstleisters. Hierunter fallen auch Verträge, an die man nicht gleich denkt, wie beispielweise in Bezug auf im Unternehmen eingesetzte Messenger-Apps, Datenspeicherung in der Cloud und dergleichen.
  • Arbeitsverträge und Mitarbeiterschulung DSGVO konform?
    Die meisten Arbeitsverträge enthalten Klauseln zu Datenschutz, Verschwiegenheit und Datengeheimnis. Auch hier besteht - nicht nur terminologischer - Anpassungsbedarf. Eine ganze Reihe häufig zitierter Normen hat sich vorschoben oder aber ist inhaltlich in anderen Bestimmungen aufgegangen. Darüber hinaus sind selbstverständlich auch die Mitarbeiter auf die neuen Anforderungen der DSGVO zu schulen; nur so kann die notwendige Awareness geschaffen und ‚Leichtsinnsfehler‘ beim Umgang mit personenbezogenen Daten vermieden werden.

Vorstehende Punkte geben einen subjektiv priorisierten Überblick über die drängendsten Anforderungen im Hinblick auf den 25. Mai 2018 - keineswegs über alle. Wer bislang noch nicht ernsthaft mit der Prüfung des Handlungsbedarfs und im zweiten Schritt der Umsetzung begonnen hat, steht vor einer immensen Herausforderung und einem nicht unerheblichen Risiko. Schließlich wurde der Bußgeldrahmen für Verstöße auf bis zu € 20 Mio. oder 4% des weltweiten Konzern-Vorjahres-Umsatzes angehoben. Diese Höhen sind natürlich eher an Großkonzerne gerichtet. Aber auch ein einige tausend Euro und eine behördlich gesetzte First zur Umsetzung sind nicht besonders erstrebenswert.

Und Bußgelder werden dazu noch nicht nur fällig, wenn etwas passiert ist, sondern auch aufgrund der einfachen Nichterfüllung von Anforderungen.

Und merke: wenn es zum Schwur kommt ist es besser etwas vorzeigbar in Arbeit zu haben und noch nicht fertig zu sein, als noch nicht damit begonnen zu haben!

Ihre Autoren und potentiellen Helfer in der Not:

Stephan A. Klein, Dr. Bettina Kraft, Holger Heimann