Datenschutz im Unternehmen: Checkliste

Was müssen Unternehmen nach der DSGVO intern alles regeln?

Fachlich geprüft von: Rechtsanwalt Sören Siebert Rechtsanwalt Sören Siebert
(9 Bewertungen, 2.78 von 5)

Das Wichtigste in Kürze

  • Datenschutz im Unternehmen richtet sich in Deutschland vor allem nach der DSGVO und dem BDSG-neu.
  • Unternehmen sind dazu angehalten, verschiedene datenschutzrechtliche Maßnahmen zu ergreifen, um Datensicherheit zu gewährleisten.
  • Halten sich Unternehmen (egal welcher Größe) nicht an die Datenschutzbestimmungen, drohen hohe Bußgelder und Abmahnungen.

Worum geht's?

Nicht nur nach außen, also etwa in der Datenschutzerklärung, muss datenschutzrechtlich alles korrekt abgebildet sein. Selbstverständlich müssen Sie die Datenschutzprozesse, die die DSGVO vorschreibt, auch im Unternehmen umsetzen. Wichtige Themen sind hier vor allem der Datenschutzbeauftragte, die Auftragsverarbeitung und das Verfahrensverzeichnis. Wie Sie den Datenschutz im Unternehmen richtig umsetzen, lesen Sie in unserem Artikel.

1. Warum ist Datenschutz für Unternehmen so wichtig?

Zuallererst bilden die Datenschutzgrundverordnung (auch Datenschutz-Grundverordnung, kurz: DSGVO) und das neue Bundesdatenschutzgesetz (BDSG-neu) einen gesetzlichen Rahmen für den Datenschutz in Deutschland. Die DSGVO ersetzt dabei seit 2018 die EU-Datenschutzrichtlinie und gilt in der gesamten Europäischen Union. Unternehmen und Behörden müssen sich an das Datenschutzrecht halten. Tun Sie dies nicht, kassieren Sie empfindliche Bußgelder und Abmahnungen. Das kann vor allem für kleinere und mittlere Unternehmen schnell existenzgefährdend sein.

Außerdem steigt die Sensibilität der Bevölkerung bezüglich des Datenschutzes stetig an. Internetnutzern ist die Sicherheit und der Umgang mit personenbezogenen Daten wichtig und somit kann ein guter Datenschutz im Unternehmen ein Wettbewerbsvorteil für Sie sein.

Unternehmen stehen in der Pflicht, die personenbezogenen Daten ihrer Kunden, Mitarbeiter und Geschäftspartner in besonderem Maße zu schützen. Dafür müssen entsprechende Maßnahmen ergriffen werden. Welche dies sind, erläutern wir in den folgenden Kapiteln.

2. Wann brauche ich nach der DSGVO einen Datenschutzbeauftragten?

Sie sind als Unternehmer in fünf Fällen verpflichtet, einen Datenschutzbeauftragten zu bestellen, damit Datenschutz und Datensicherheit gewährleistet wird. Diese lauten wie folgt:

  1. Sensible Daten
    Sie verarbeiten besondere Kategorien von Daten gemäß Artikel 9 DSGVO
    Beispiele: Gesundheitsdaten, Daten zur rassischen und ethnischen Herkunft, genetische Daten, Daten zur sexuellen Orientierung
  2. Überwachung von betroffenen Personen ist Ihre Kerntätigkeit
    Ihre Kerntätigkeit macht eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich.
    Beispiele: Verarbeitung von Gesundheitsdaten für ein Krankenhaus, Verarbeitung von Adressdaten für Auskunfteien
  3. Mindestens 20 Mitarbeiter
    Sie beschäftigen in der Regel mindestens 20 Personen (als Angestellte oder auch freie Mitarbeiter) ständig mit der automatisierten Verarbeitung personenbezogener Daten.
  4. Datenschutz-Folgenabschätzung
    Ihr Unternehmen ist verpflichtet, eine Datenschutz-Folgenabschätzung durchzuführen (Artikel 35 DSGVO).
  5. Markt- oder Meinungsforschung
    Sie verarbeiten personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung.

Sie können aber auch immer freiwillig einen Datenschutzbeauftragten bestellen. Sinnvoll ist das, wenn Sie Ihre internen Prozesse besser im Blick haben wollen. Und auch nach außen hin macht es einen guten Eindruck, weil es zeigt, dass Ihnen der Datenschutz Ihrer Kunden wichtig ist.

Praxis-Tipp

Sie wollen den Datenschutz im Unternehmen überprüfen lassen? Unsere Partnerkanzlei Siebert Lexow bietet dazu einen Datenschutz-Audit an. Unsere versierten Anwälte überprüfen Ihre Datenschutzprozesse. Ein Datenschutzexperte nimmt Sie an die Hand und klärt offene Fragen.

Was mache ich, wenn ich einen Datenschutzbeauftragten haben will?

Wenn Sie einen Datenschutzbeauftragten benennen wollen oder müssen, ist noch Folgendes wichtig zu wissen:

  • Form: Sie müssen den Datenschutzbeauftragten schriftlich benennen.
  • Aufgaben: Der Datenschutzbeauftragte
    • überwacht die Einhaltung der Datenschutzgrundsätze im Unternehmen.
    • führt das Verarbeitungsverzeichnis.
    • unterstützt bei der Datenschutz-Folgenabschätzung.
    • ist innerhalb und außerhalb des Unternehmens (Behörden) für den Datenschutz zuständig.
  • Ausbildung: Er muss keine besondere Qualifikation nachweisen. Sinnvoll ist aber eine juristische Ausbildung oder ein Zertifikat vom TÜV oder der IHK.
  • Intern oder extern: Der Datenschutzbeauftragte kann aus Ihrem Unternehmen kommen oder ein externer Datenschutzbeauftragter sein. Beides hat Vor- und Nachteile: Interne Datenschutzbeauftragte kennen das Unternehmen und die Prozesse gut, es besteht aber die Gefahr, dass er nicht weisungsfrei arbeitet.

Wichtig

Sobald Sie den Datenschutzbeauftragten benannt haben, müssen Sie seine Kontaktdaten auf Ihrer Website veröffentlichen.

3. Wann muss ich einen Vertrag zur Auftragsverarbeitung abschließen?

Viel häufiger als Sie wahrscheinlich denken. Eine Auftragsverarbeitung liegt vor, wenn ein anderes Unternehmen in Ihrem Auftrag personenbezogene Daten Ihrer Nutzer und Kunden erhebt, verarbeitet oder nutzt.

Beispiele:

  • Einsatz eines externen Kundencenters (z.B. Callcenter)
  • externer Newsletter-Anbieter
  • Cloud Computing
  • Einsatz externer Unternehmen beim Marketing
  • Externes Rechenzentrum

In diesen Fällen müssen Sie einen AV-Vertrag mit Ihrem Dienstleister schließen. Diese "Auftragsverarbeitung" regelt genau, wie er nach Ihren Weisungen die personenbezogenen Daten Ihrer Kunden verarbeitet. Dazu gehören auch eigene Pflichten des Dienstleisters. Er muss zum Beispiel mit Ihnen gemeinsam:

  • mit der Aufsichtsbehörde zusammenarbeiten
  • technische und organisatorische Maßnahmen ergreifen, damit die Daten hinreichend geschützt werden

4. Muss ich als Unternehmer ein Verfahrensverzeichnis führen?

Ja. Sie müssen ein Verzeichnis mit allen Daten-Verarbeitungstätigkeiten des Unternehmens anlegen und führen. Die Inhalte sind ähnlich wie die, die in Ihre Datenschutzerklärung gehören. Das sind:

  • Name und Kontaktdaten des Unternehmens, Vertreters und Datenschutzbeauftragten
  • der Zwecke der Datenverarbeitung
  • die Kategorien betroffener Personen
  • die Kategorien personenbezogener Daten
  • die Kategorien von Empfängern der Daten
  • die Übermittlungen personenbezogener Daten in ein Drittland
  • Fristen für die Löschung der verschiedenen Datenkategorien
  • Eine Beschreibung der technischen und organisatorischen Maßnahmen einen angemessenen Datenschutz

Achtung 

Führt Ihr Dienstleister als Auftragsverarbeiter ein solches Verzeichnis, muss er nur eine "abgespeckte" Variante führen:

  • Name und Kontaktdaten des Auftragsverarbeiters, seiner Vertreter und seines Datenschutzbeauftragten
  • die Kategorien der Verarbeitungen, die er im Auftrag durchführt
  • die Übermittlungen personenbezogener Daten in ein Drittland
  • Eine Beschreibung der technischen und organisatorischen Maßnahmen einen angemessenen Datenschutz

Außerdem sollten Sie beachten, dass Sie das Verarbeitungsverzeichnis nur intern führen und nur auf Verlangen der Datenschutzbehörde vorzeigen müssen. Sie können es schriftlich und elektronisch anlegen. Zudem bietet es sich an, das Verarbeitungsverzeichnis auch zu führen, wenn Sie nur ein kleines Unternehmen haben, dennoch aber regelmäßig Kundenkontakt pflegen.

5. Betroffenenrechte der DSGVO

Es ist sicher schon einmal vorgekommen, dass sich bei Ihnen jemand gemeldet hat, der wollte, dass Sie seine Daten löschen oder gefragt hat, was Sie über ihn gespeichert haben. Eine schlechte Idee ist es, solche Schreiben oder Mails einfach zu ignorieren. Denn es ist das gute Recht Ihrer Nutzer, Kunden und Besucher, Sie darum zu bitten. Sofern Sie Ihre personenbezogenen Daten in irgendeiner Weise verarbeiten, haben die Betroffenen folgende Rechte:

Auskunftsrecht

Sie müssen Ihren Kunden auf Verlangen Informationen über die bei Ihnen gespeicherten personenbezogenen Daten zusenden. Dazu gehören insbesondere folgende Informationen:

  • Zweck der Datenverarbeitung: Wozu nutzen Sie die Daten?
  • Kategorien personenbezogener Daten:Ist es der Name, die Adresse oder das Alter?
  • Empfänger oder Kategorien von Empfängern der Daten:Wer bekommt die Daten? oder bekommt eine bestimmte Gruppe die Daten, z.B. Krankenkassen?
  • Übermittlungen personenbezogener Daten in ein Drittland
  • geplante Speicherdauer oder Kriterien für die Festlegung:Wie lange speichern Sie die Daten? Wenn Sie das nicht genau sagen können: Woran machen Sie das fest?
  • Beschwerde:die Betroffenen können sich bei einer Aufsichtsbehörde beschweren
  • Betroffenenrechte:die Betroffenen haben weitergehende Rechte

Recht auf Berichtigung nach DSGVO

Wenn die Daten unrichtig sind, dürfen Ihre Nutzer verlangen, dass Sie diese vervollständigen oder berichtigen.

Recht auf Löschung nach DSGVO

Ihre Nutzer dürfen in bestimmten Fällen von Ihnen verlangen, dass Sie die Daten löschen. Die wichtigsten Fälle sind:

  • Sie brauchen die Daten nicht mehr für den Zweck, für den Sie sie erhoben haben
  • Der Nutzer widerruft seine Einwilligung
  • Sie durften die Daten nicht verarbeiten

In bestimmten Fällen können Sie allerdings unter Umstände das Recht haben, die Löschung zu verweigern. Dazu gehören beispielsweise folgende Fälle:

  • Sie sind rechtlich dazu verpflichtet, die Daten aufzubewahren.
  • Die Öffentlichkeit hat ein Interesse daran, dass Sie die Daten aufbewahren, und dieses ist berechtigt.
  • Sie möchten eigene Rechte geltend machen oder Rechtsansprüche verteidigen.

Einschränkung der Verarbeitung

In bestimmten Fällen dürfen die Nutzer auch verlangen, dass Sie die Verarbeitung einschränken:

  • Der Nutzer bestreitet, dass die Daten richtig sind und Sie überprüfen dies. So lange ist die Verarbeitung eingeschränkt.
  • Sie durften die Daten nicht verarbeiten und der Nutzer verlangt diese einzuschränken, statt sie zu löschen.
  • Sie brauchen die Daten für die Zwecke nicht mehr, der Nutzer möchte aber damit Rechtsansprüche geltend machen.
  • Der Nutzer hat Widerspruch gegen die Verarbeitung eingelegt und es ist noch ungeklärt, ob Ihr Interesse an der Aufbewahrung überwiegt.

Recht auf Datenherausgabe und Übertragbarkeit

Nutzer dürfen ihre Daten zu einem anderen Anbieter "mitnehmen". Die Nutzer können danach von dem Datenverantwortlichen verlangen, ihre personenbezogenen Daten in einem „gängigen Format“ an einen anderen Verantwortlichen weiterzugeben.

Ignorieren Sie also solche Schreiben auf keinen Fall und prüfen Sie das Anliegen - am besten mit Ihrem Datenschutzbeauftragten gemeinsam.

Sören Siebert
Sören SiebertRechtsanwalt

6. Datenschutzerklärung

Die Datenschutzerklärung ist ein wichtiger Bestandteil Ihrer Website. Sie muss von jeder Unterseite aus innerhalb von höchstens zwei Klicks erreichbar sein. In der Datenschutzerklärung informieren Sie Ihre Kunden oder User über die Datenverarbeitung. Bei einem Vertragsabschluss muss der Nutzer der Datenschutzerklärung aktiv zustimmen.

Haben Sie noch keine Datenschutzerklärung? Mit unserem kostenlosen Datenschutz-Generator erhalten Sie innerhalb von wenigen Minuten eine rechtskonforme Datenschutzerklärung für Ihre Website. Probieren Sie es gleich aus!

7. Technische und organisatorische Maßnahmen (TOM) und Datenschutz in der Firma für Mitarbeiter

Bei den TOM handelt es sich um spezielle DSGVO-Maßnahmen, die die Sicherheit bei der Verarbeitung von personenbezogenen Daten gewährleisten soll. Dazu gehört u. a. die Verschlüsselung und Pseudonymisierung von personenbezogenen Daten sowie die Verfügbarkeit der personenbezogenen Daten.

Wichtig für den Datenschutz im Unternehmen ist zudem, dass Sie als Arbeitgeber regelmäßig Ihre Mitarbeiter bezüglich des Umgangs mit personenbezogenen Daten am Arbeitsplatz schulen. Ähnlich wie Erste-Hilfe-Kurse sollten die Datenschutzschulungen auch regelmäßig aufgefrischt werden.

8. Checkliste: Welche Datenschutzrechtlichen Pflichten hat ein Unternehmen?

Checkliste: Welche Datenschutzrechtlichen Pflichten hat ein Unternehmen?
Diese Pflichten müssen Unternehmen für den Datenschutz umsetzen:
  • Prüfen Sie, ob Sie einen Datenschutzbeauftragten brauchen!
  • Schließen Sie Auftragsdatenverarbeitungen mit Dienstleistern!
  • Führen Sie ein Verfahrensverzeichnis (Verzeichnis der Verarbeitungstätigkeiten) nach DSGVO!
  • Denken Sie an Betroffenenrechte und reagieren Sie auf Mails und Schreiben von Nutzern!
  • Aktualisieren und verlinken Sie Ihre Datenschutzerklärung!
  • Bieten Sie Mitarbeiterschulungen an!
  • Setzen Sie die TOM durch!

9. FAQ: Datenschutz in Unternehmen

1. Gilt der Datenschutz auch für kleine Unternehmen?

Die DSGVO gilt unabhängig von Ihrer Unternehmensgröße. Vor allem bei der Pflicht zur Benennung eines Datenschutzbeauftragten sollten Unternehmen nicht aus den Augen verlieren, dass zu den 20 Mitarbeitern auch Teilzeitkräfte, freie Mitarbeiter und Praktikanten zählen. Sobald Sie besondere Kategorien personenbezogener Daten verarbeiten, müssen Sie unabhängig von der Mitarbeiteranzahl einen Datenschutzbeauftragten bestimmen.

2. Wer ist für den Datenschutz im Unternehmen verantwortlich?

Wenn keine Person direkt benannt wurde, ist es in der Regel der Geschäftsführer, der Vorstand oder der Manager.

3. Kann ich die Verantwortung des Datenschutzes meines Unternehmens an einen Datenschutzbeauftragten abtreten?

Nein. Der Datenschutzbeauftragte soll den Datenschutz im Unternehmen ausschließlich überwachen und Sie beraten. Er liefert eine Strategie zur Umsetzung des Datenschutzes. Für die Umsetzung selbst ist aber weiterhin das Unternehmen zuständig

 

 

eRecht24 Praxis Guide
Rechtssichere Webseiten:
Alles, was Sie wissen müssen
In unserem Guide erklären wir Ihnen in 12 Schritten, wie Sie eine Website rechtssicher erstellen - von der Wahl des Domainnamens über Impressum und Datenschutzerklärung bis hin zu E-Mail- und Newslettermarketing.
Guide jetzt kostenfrei herunterladen!

Name: Bitte Name angeben.

E-Mail-Adresse: Bitte korrekte E-Mail-Adresse angeben.

Ja, bitte senden Sie mir den kostenfreien Guide zu. Ich bin damit einverstanden, dass eRecht24 mir regelmäßig aktuelle Rechts-Updates, Praxistipps und Angebote aus den Bereichen Datenschutz und Internetrecht per E-Mail zusendet. Ich kann jederzeit form- und kostenlos widersprechen. Näheres entnehmen Sie unserer Datenschutzerklärung.
Vielen Dank!
Wir nehmen es mit dem Schutz Ihrer Daten genau und halten uns an die rechtlichen Vorgaben des Double-Opt-In. Bitte bestätigen Sie zuerst Ihre E-Mail-Adresse. Dann stellen wir Ihnen den Guide kostenfrei zur Verfügung.
Tipp: In unseren Premium-Paketen stehen Ihnen mehr als 10 praktische Guides mit Handlungsempfehlungen und passenden Generatoren und Tools zu verschiedenen Themen (Datenschutz, Urheberrecht, Marketing & Co.) kostenfrei zur Verfügung. Die Premium Praxis Guides werden sie regelmäßig aktualisiert, damit Sie stets auf dem neuesten Stand sind.
Caroline Schmidt
Caroline Schmidt, B.A.
Legal Writerin & SEO-Redakteurin

Caroline Schmidt hat Medienbildung studiert und ein einjähriges Volontariat in der Online-Redaktion eines Berliner Legal-Tech-Unternehmens absolviert. Sie ist seit über vier Jahren als Legal Writerin tätig und hat in verschiedenen Rechtsbereichen, darunter dem Arbeitsrecht, Schreiberfahrungen gesammelt. Seit 2022 ist sie als Legal Writerin und SEO-Redakteurin Teil des eRecht24-Redaktionsteams.

Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details