Die DSGVO-Checkliste: Diese 7 Punkte müssen Sie jetzt beachten!

Die Umsetzung der DSGVO sorgt bei manchen Unternehmen noch immer für Unsicherheit. Viele Fragen und Details sind nach wie vor ungeklärt. Eine zusammen mit Experten erstellte Checkliste des Immobilienverbands IVD bietet erste Orientierung.

Top-7-Checkliste DSGVO

1. Datenerhebung auf der Website

Wenn auf der Website personenbezogene Daten erhoben werden (mittels eines Kontaktformulars, Social-Media-Plugins, wie Facebook o. ä.), müssen gegebenenfalls mehrere Anpassungen vorgenommen werden: In der Website muss ein SSL-Zertifikat integriert werden. SSL dient der Verschlüsselung von Daten, die zwischen Server und Computer transportiert werden. Außerdem muss auf der Website eine Datenschutzerklärung eingebunden sein. Wird nicht auf eine Datenschutzerklärung hingewiesen, kann dies von Verbraucherschutz- und Wettbewerbsverbänden abgemahnt werden. Abmahnungen von Mitbewerbern sind grundsätzlich nicht zulässig. Zudem sollten die Webformulare geprüft werden, ob die darin geforderten Daten notwendig sind.

Es gibt im Internet einige kostenlose und kostengünstige Generatoren, mit deren Hilfe eine Datenschutzerklärung erstellt werden kann (e-recht24.de, Deutsche Gesellschaft für Datenschutz DGD etc.). Sofern hierauf zurückgegriffen wird, besteht die Pflicht, darauf hinzuweisen, dass diese Erklärung mit einem Generator des jeweiligen Anbieters erstellt wurde.

2. IT-Sicherheit

Neben der Website sollte auch die übrige IT sicher sein. Im Regelfall sind insbesondere bei kleineren Unternehmen, die keine besonderen Daten, wie zum Beispiel Gesundheitsdaten verarbeiten, Standardmaßnahmen ausreichend. Dazu gehören u. a. aktuelle Betriebssysteme und Anwendungen, Passwortschutz, regelmäßige Backups, Virenscanner und Benutzerrechte. Für den Schutz nicht elektronisch gespeicherter Daten sollte auch ein Aktenvernichter vorhanden sein. Tipp: Erstellen Sie eine Übersicht, welche technischen Maßnahmen Sie ergriffen haben, um Transparenz im eigenen Unternehmen herzustellen und um auf eine Überprüfung entsprechend vorbereitet zu sein.

3. Verzeichnis über Verarbeitungstätigkeit

Erstellen Sie ein Verzeichnis über Verarbeitungstätigkeiten. Hierin ist abstrakt darzulegen, inwiefern und welche personenbezogene Daten wofür verarbeitet werden. Ein Muster für ein derartiges Verzeichnis finden Sie unter Praxishilfen DSGVO auf der Internetseite der Gesellschaft für Datenschutz und Datensicherheit e.V. (www.gdd.de). Das Verzeichnis muss der Behörde auf Nachfrage vorgelegt werden können. Kunden haben hierauf keinen Anspruch.

4. Datenerhebung nur noch aufgrund einer Rechtsgrundlage

Oftmals liest man, dass eine Datenerhebung nur aufgrund einer Einwilligung des Betroffenen möglich ist. Das stimmt nur teilweise. Denn es gibt noch weitere Rechtsgrundlagen, auf denen eine Datenerhebung zulässig ist. Nach Art. 6 Abs. 1 lit. b) DSGVO ist die Verarbeitung personenbezogener Daten für die Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen rechtmäßig. Dies ist beispielsweise dann der Fall, wenn die Datenverarbeitung aufgrund einer Interessentenanfrage erfolgt.

5. Transparenz herstellen

Neue Kunden müssen darüber informiert werden, welche Daten wofür gespeichert werden. Dies erfolgt in einer abstrakten Darstellung. Auf den Seiten der gdd.de erhalten Sie ein Musterinformationsblatt dazu. Der Erhalt des Informationsblattes muss nicht gegengezeichnet werden. Erfolgen die Informationen nicht, hat dies keine Auswirkung auf den möglichen Vertrag.

6. Erforderlichkeit eines Datenschutzbeauftragten prüfen

Ein Datenschutzbeauftragter ist erforderlich, wenn 10 oder mehr Personen ständig mit der automatisierten Datenverarbeitung befasst sind. Es kann ein in- oder externer Datenschutzbeauftragter benannt werden. Fällt die Wahl auf einen internen, sollten folgende Voraussetzungen erfüllt sein:

• eine gewisse berufliche Qualifikation,
• das Fachwissen auf dem Gebiet des Datenschutzes und der Datenschutzpraxis,
• die Fähigkeiten zur Erfüllung der gesetzlich definierten Aufgaben und interessenkonfliktfrei (nicht: IT-Beauftragter, Personalabteilung, Geschäftsführung).

7. Newslettermarketing

Haben Sie einen Newsletter, können Sie diesen grundsätzlich weiter an Ihren Bestandskundenverteiler versenden. Voraussetzung sind hierfür geregelt in § 7 Abs. 3 UWG. Unter anderem müssen Sie die E-Mailadresse von der jeweiligen Person im Zusammenhang mit einem Geschäft erhalten haben. Des Weiteren muss bei der Erhebung auf das jederzeitige Widerspruchsrecht hingewiesen worden sein. Sie müssen im Newsletter die Möglichkeit bieten, den Newsletter jederzeit abzubestellen. Sicherheit ist letztlich aber nur gewährleistet, wenn Sie alle Adressaten anschreiben und bitten, ihre Einwilligung noch einmal zu erteilen. Dies ist aus Gründen der Beweissicherheit zu empfehlen. Folgende Voraussetzungen sollten Sie dabei erfüllen:

• Die Einwilligung muss durch eine ausdrückliche Handlung des Adressaten (bewusst und eindeutig) erfolgen (z. B. mittels Opt-In Checkbox oder Bestellbutton).
• Die Einwilligung des Adressaten muss protokolliert werden (Logfiles). Zusätzlich könnte zur Beweissicherung das double Opt-In-Verfahren verwendet werden (Opt-In Bestellung + Opt-In mittels Bestätigungsmail, dass Newsletter bestellt werden soll).
• Der Inhalt der Einwilligungserklärung muss jederzeit für den Adressaten abrufbar sein (Datenschutzerklärung).
• Zudem muss der Adressat nach § 13 Abs. 3 TMG vor Erklärung seiner Einwilligung auf die jederzeitige Widerrufsmöglichkeit (Abbestellmöglichkeit) hingewiesen werden.