Startup Mittelständler Konzern Projekte Kontakt

DSGVO Checkliste

Was ist die Datenschutz-Grundverordnung? Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung, die den europäischen Datenschutz vereinheitlicht. Die DSGVO legt fest, wie Vereine, Behörden und Unternehmen mit personenbezogenen Daten umgehen sollen. In diesem Blogbeitrag werden wir genauer auf den Umgang mit personenbezogenen Daten eingehen. Um Unternehmen ausreichend Zeit für die Umstellung zu geben, wurde die Verordnung erst zwei Jahre nach ihrer Verabschiedung vollständig wirksam, nämlich von 2016 bis 2018.

Was ist ihr Ziel?

Ziel der DSGVO ist es, die unbefugte Einflussnahme oder die Kenntnis
von Daten im Vorfeld auszuschließen. Je sensibler die Daten sind, desto mehr Schutzmaßnahmen müssen aktiviert werden. Hier noch ein Auszug aus der DSGVO.

Datenschutz-Grundverordnung

Kapitel I – Allgemeine Bestimmungen

Art. 1 Gegenstand und Ziele

• (2) Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.

• (3) Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.

Für wen gilt die DSGVO?

Die DSGVO betrifft alle Unternehmen, dabei ist es irrelevant, ob diese Unternehmen im Internet sind oder nicht.
Ob Kundendaten, Newsletter, Werbemails, Werbung auf Social Media, Kanälen, Nutzer-Tracking oder Kundendaten, vieles wird durch die DSGVO verändert. Alle Unternehmen, die entweder in der EU ansässig sind, oder Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, müssen sich an die DSGVO halten.

Was sind überhaupt personenbezogene Daten?

Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Hier die Auswahl stichpunktartig:

• Namen

• Kennnummer

• Standortdaten

• Online-Kennung

• Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität einer Person

• Telefonnummer

• Kreditkarten- oder Personalnummer einer Person

• Kontodaten

• Kfz-Kennzeichen

• Informationen des Aussehens

• Anschrift

• Aufzeichnungen der Arbeitszeiten und Pausenzeiten

• IP-Adressen

• Meinungen

• Beurteilungen (Bsp. Beurteilung der Kreditwürdigkeit)

• Einschätzungen (Bsp. Einschätzung der Arbeitsleistung eines Arbeitnehmers)

Besonders schützenswert sind neben den personenbezogenen Daten vor allem die „Personendaten von hoher Relevanz“. Hier ebenfalls eine stichpunktartige Auswahl:

• Genetische Daten

• Biometrische Daten

• Informationen zur ethnischen Herkunft

• Politische Meinungen

• Religiöse/ weltanschauliche Überzeugung

• Gewerkschaftszugehörigkeit

Datenschutz-Grundverordnung

Kapitel I – Allgemeine Bestimmungen
Art. 4 Begriffsbestimmungen

• (1) „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann; – und folgende
• (2)-(4)

Kapitel II – Grundsätze
Art. 9 Verarbeitung besonderer Kategorien personenbezogener Daten

• (1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.
• (2)-(4)

Was für Strafen und Bußgelder drohen bei Verstößen der DSGVO?

Zuständig für die Verhängung der Bußgelder sind die nationalen Aufsichtsbehörden. Dabei ist es unerlässlich, dass die Bußgelder in jeden Fall abschreckend und verhältnismäßig sind.

• Hier ein kleiner Auszug aus dem Strafkatalog:

• Unerwünschte Werbe-E-Mail 5- 100 €

• Unerlaubte Verbreitung von besonders sensiblen personenbezogenen Daten 5.000 - 15.000 €

• Unerlaubter Anruf zu Zwecken der Direktwerbung 50 - 100 €

• E-Mail-Adresse in offenen Verteiler statt in BCC 500 - 1.000 €

• Verstoß gegen Informationspflichten 50 - 100 €

• Veröffentlichung von personenbezogenen Daten, die geeignet sind, Ehre und beruflichem Ruf zu schaden 50.000 €

• Veröffentlichung von Videos/ Bilder/ Abbildungen natürlicher Personen ohne Einwilligung 1.000 – 10.000 €

• Veröffentlichung von Namen natürlicher Personen ohne Einwilligung 1.000 – 8.000 €

• Löschungsrecht nicht nachgekommen 500 – 1.000 €

• Keine ausreichenden technisch-organisatorischen Maßnahmen nach 1.000 – 2.000 €

• Nichtbeachtung des Transparenzgebots 250 – 500 €

• Kein Auftragsverarbeitungsvertrag mit Dritten DSGVO geschlossen 2.500 – 5.000 €

• Auskunftsrecht nicht nachgekommen 250 – 500 €

• Berichtigungsrecht nicht nachgekommen 250 – 500 €

• Recht auf Datenübertragung nicht nachgekommen 250 – 500 €

• Recht auf Widerspruch nicht nachgekommen 1.000 – 2.000 €

Hier ein kleines Beispiel

Notebooksbilliger wurde von der Landesdatenschutzbeauftragten zu einer Zahlung von 10,4 Millionen € aufgefordert. notebooksbilliger überwachte seine Beschäftigten über zwei Jahre per Video. Aufenthaltsbereiche, Lager, Verkaufsräume, und Arbeitsplätze wurden unter anderem von den unzulässigen Kameras erfasst.

Die Landesbeauftragte für den Datenschutz Niedersachsen: „lfd-Niedersachsen verhängt bussgeld über 10,4 millionen Euro gegen notebooksbilliger.de“
in: Internetseite lfd-Niedersachsen,
vom 08.01.2021
URL:
https://lfd.niedersachsen.de/startseite/infothek/presseinformationen/lfd-niedersachsen-verhangt-bussgeld-uber-10-4-millionen-euro-gegen-notebooksbilliger-de-196019.html

Unsere Checkliste für Sie

Um das Chaos mit der Datenschutz-Grundverordnung ein wenig zu minimieren, haben wir für Sie hier unsere Checkliste.

1. Datensicherheit

• Nutzen sie sichere Passwörter?

• Erhalten Ihre Projekte regelmäßig Sicherheitsupdates?

• Hat Ihre Webseite ein SSL-Zertifikat?

2. Shopping

• Wurde bei Ihrer Website sichergestellt, dass die Besucher für Ihre Passwörter eine bestimmte Komplexität einhalten müssen?

• Müssen sich Ihre Kunden um eine Bestellung durchzuführen, registrieren lassen?

• Falls ja, wird dies auf Ihrer Seite beschrieben?

• Werden auf Ihrer Seite externe Dienstleister zur Zahlungsabwicklung verwendet?

• Falls ja, wird in Ihrer Datenschutzerklärung dies aufgelistet und darauf hingewiesen, welche Daten übertragen werden könnten?

3. Analyseprogramme

• Benutzen Sie für Ihr Projekt ein Analysetool/Analyseprogramm?

• Werden IP-Adressen anonymisiert?

• Auf welchen Server liegen die Daten?

• Falls die Daten bei einem Drittanbieter liegen, sind die Daten geschützt und haben Sie mit dem Anbieter einen Vertrag zur Auftragsdatenverarbeitung abgeschlossen?

4. Newsletter und Formulare

• Sind Formulare auf Ihrer Website eingebunden, die personenbezogene Daten übermitteln?

• Falls ja, werden die Besucher über den Werdegang ihrer Daten aufgeklärt?

• Auf welchen Server liegen die Daten?

• Falls die Daten bei einem Drittanbieter liegen, sind die Daten geschützt und haben Sie mit dem Anbieter einen Vertrag zur Auftragsdatenverarbeitung abgeschlossen?

• Benutzen Sie einen Newsletter-Anbieter?

• Falls ja, Haben Sie mit dem Anbieter einen Vertrag zur Auftragsdatenverarbeitung abgeschlossen?

• Wird der Kunde auf seine Möglichkeiten transparent und offen bei Ihrem Eintragungsformular hingewiesen?