DSGVO: Checkliste für mittelständische Unternehmen

Es gibt viele Checklisten zur Umsetzung der DSGVO, die teilweise in ihrem Bemühen möglichst umfassend zu sein sehr ausufern. Ich möchte im Folgenden eine kleine, einfache Checkliste zur Verfügung stellen, gerade ohne Anspruch vollständig zu sein, sondern mit dem Anspruch, einen Einstieg in die Thematik für die kleinen mittelständischen Betriebe zu geben, die weiterhin in starker Verunsicherung leben.

1. Verzeichnis von Verarbeitungstätigkeiten

Sie sollten als erstes prüfen, ob Sie ein solches Verzeichnis zwingend brauchen. Grundsätzlich ist es in jedem Fall ein guter Ansatz, da jeder einen Überblick haben sollte, mit welchen Daten er eigentlich in seinem Unternehmen hantiert, daher wäre meine Empfehlung, so oder so ein solches Verzeichnis zu erstellen.

Ansonsten gelten folgende Überlegungen:

Wenn nur gelegentlich mit Kundendaten (und Mitarbeiterdaten) gearbeitet wird, ist kein hohes Risiko für die Betroffenen erkennbar und aus diesem Grund muss kein Verzeichnis von Verarbeitungstätigkeiten geführt werden. Der Regelfall hinsichtlich Kundendaten wird ein Lokal ausgerichteter stationärer Verkaufsbetrieb sein wie etwa ein Kiosk, Metzgerei oder Bäckerei. Wenn Sie ein Kundenbindungssystem anbieten wie etwa eine Kundenkarte werden Sie ein solches Verzeichnis führen müssen.

Bezüglich der Mitarbeiterdaten gilt, dass wenn die Personalverwaltung samt Lohnabrechnung komplett auf einen Steuerberater ausgelagert wurde, dieser selbst datenschutzrechtlich Verantwortlicher ist; daher kommt hier dann auch bei Angestellten nur der gelegentliche Umgang mit Mitarbeiterdaten in Betracht.

2. Datenschutz-Verpflichtung von Beschäftigten

Sie sollten darauf achten, dass Beschäftigte zu informieren und zu verpflichten sind, den Datenschutz zu beachten. Dies gilt ausdrücklich auch bei nur gelegentlichem Umgang mit Kundendaten!

3. Informationspflichten

Sie müssen grundsätzlich sowohl ihre Angestellten als auch ihre Kunden vor der Erhebung von Daten darauf hinweisen, welche Daten zu welchem Zweck erhoben werden. Achten Sie darauf, dass bei jeder Datenerhebung entsprechende Hinweise erfolgen.

Hinweis: An dieser Stelle zeigt sich der Sinn des Verfahrensverzeichnisses – es führt Ihnen vor Augen, wo solche Informationen eine Rolle spielen.

4. Löschung von Daten

Erhobene Daten sind zu löschen wenn sie nicht mehr benötigt werden. Ein Löschkonzept muss erstellt werden und auch hier brauchen Sie eine Übersicht, welche Daten überhaupt wann und wozu erhoben wurden (darum nochmals der Hinweis: Erstellen Sie doch kurzerhand ein Verfahrensverzeichnis!). Viele Daten werden Sie schon aus steuerlichen Gründen länger aufheben müssen, 10 Jahre ist hier die Regelfrist. Allerdings wird es kaum Gründe geben, ein Kundenkonto nicht zu löschen, wenn der Kunde hier über Jahre hinweg keine Aktivität entfaltet hat.

5. Auftragsverarbeitung

Prüfen Sie, ob eine Auftragsverarbeitung abgeschlossen werden muss. Für Ihren Steuerberater werden Sie so etwas nicht brauchen, bei eingesetzter Software jedenfalls dann wenn ein Fernzugriff für einen externen Dienstleister möglich ist und für die Webseite oder digitale Dienste ist es dann notwendig, wenn dort Daten von Kunden verarbeitet werden (etwa in einem Online-Shop oder digitalen Kundensystem). Ebenso sollten Sie prüfen, ob bei einem eingesetzten Zahlungsdienstleister (etwa für Kartenzahlungen) ein solcher Vertrag notwendig ist.

6. IT-Sicherheit

Möglicherweise benötigen Sie ein Sicherheitskonzept, jedenfalls im stationären Handel wird dies nicht zwingend anzunehmen sein, hier reichen regelmäßig Standardmaßnahmen wie Passwortschutz, Software-Firewall und Virenscanner.

Wichtig: Wenn es zu Datenschutzverletzungem kommt, etwa dem Diebstahl von Daten, ist regelmäßig die Aufsichtsbehörde zu unterrichten und teilweise muss – wenn ein hohes Risiko besteht, etwa weil es sich um sensible Daten handelt – eine Information der betroffenen Personen erfolgen.

7. Videoüberwachung

Wenn eine Videoüberwachung stattfindet ist diese einmal verhältnismäßig aufzubauen, andererseits muss für die notwendige Ausweisung Sorge getragen werden.

8. Datenschutzbeauftragter

Viele Unternehmen treibt die Frage um, ob ein Datenschutzbeauftragter zu bestellen ist – diese Frage stelle ich bewusst an das Ende. Gerade der Einzelhandel wird eher selten davon betroffen sein, bei KMU kommt es im Übrigen darauf an. Es gilt die Faustformel, dass ein Datenschutzbeauftragter zu benennen ist, wenn mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Allerdings muss im Auge behalten werden, wann jemand eigentlich „Ständig beschäftigt“ mit der Verarbeitung personenbezogener Daten ist. Ausdrücklich ausgenommen ist nämlich der nur gelegentliche Umgang mit personenbezogenen Daten, wie man es etwa bei einem Verkäufer im stationären Handel oder der Bedienung in einem Restaurant (die Tischreservierungen bearbeitet und Zahlungsdaten entgegen nimmt) annehmen können sollte.

Fachanwalt für IT-Recht Jens Ferner

Rechtsanwalt und Fachanwalt für IT-Recht in Alsdorf, Aachen. Tätig als externer Datenschutzbeauftragter für Unternehmen in der Region Aachen, Heinsberg und Düren.

Letzte Artikel von Fachanwalt für IT-Recht Jens Ferner (Alle anzeigen)