![DSGVO leicht gemacht! Nutze diese Formulare [Sponsored Post]](https://unternehmer.de/wp-content/uploads/2021/09/copyrightaveryzweckformdsgvo-formularbuecher-scaled.jpg)
Kleines Start-up, mittelständisches Handwerksunternehmen oder Großkonzern: Seit Mai 2018 müssen sich alle gleichermaßen an die neue Datenschutz-Grundverordnung (DSGVO) halten. Noch immer herrscht viel Unsicherheit. Denn: Fehler, bewusst oder unbewusst, können richtig teuer werden. Im schlimmsten Fall droht ein Bußgeld von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes des Unternehmens.
Was sind eigentlich personenbezogene Daten, die gemäß DSGVO geschützt werden müssen? Und wie kannst du als Unternehmer auf Nummer sicher gehen? Formular-Experte Avery Zweckform klärt auf.
Personenbezogene Daten? Aber sicher!
Alle Unternehmen, die personenbezogene Daten verarbeiten, müssen sich an die DSGVO halten.
Mit personenbezogenen Daten sind alle Informationen gemeint, anhand derer man einen Menschen identifizieren kann. Also: Namen, Bilder, Telefonnummer, Adressen und Co. Indirekt gehören auch IP-Adressen, Nutzernamen oder Profilbilder dazu. Diese Daten sind laut DSGVO zu schützen.
Verarbeiten meint in diesem Zusammenhang praktisch jede Art von Tätigkeit, die mit den personenbezogenen Daten ausgeführt wird: Das fängt bei der Datenerhebung und -übermittlung an, geht über das Speichern und Verändern und hört beim Löschen auf.
Alle Tätigkeiten mit personenbezogenen Daten müssen in einem Verarbeitungsverzeichnis dokumentiert werden.
Verarbeitungsverzeichnis: Pflicht?
Müssen wirklich alle Unternehmen ein Verarbeitungsverzeichnis führen? Fast alle und im Zweifel lieber ja als nein. Unternehmen mit weniger als 250 MitarbeiterInnen sind theoretisch von der Pflicht befreit – aber nur, wenn
- die Verarbeitung der personenbezogenen Daten kein Risiko für die Rechte und Freiheiten der Betroffenen darstellt,
- die Verarbeitung der personenbezogenen Daten nur gelegentlich erfolgt oder
- die Verarbeitung der personenbezogenen Daten keine besonderen Kategorien gemäß Artikel 9 Absatz 1 DSGVP und Artikel 10 DSGVO betrifft.
In der Praxis scheitert die Pflichtbefreiung meistens an Punkt 2: Per Gesetz ist zwar nicht definiert, was „nur gelegentliche“ Datenverarbeitung bedeutet. Auf die meisten Unternehmen trifft dies jedenfalls nicht zu.
Verarbeitungsverzeichnis: So geht’s
Zettel raus, kurze Notiz, fertig – besser nicht. Ein Verarbeitungsverzeichnis muss mit bestimmten Pflichtangaben geführt werden. Folgende Inhalte sind zum Beispiel wichtig:
- Angaben zum Verantwortlichen
- Angaben zum Zweck der Verarbeitung
- eine Beschreibung der Kategorien / Arten betroffener Personen (z. B. Beschäftigter oder Kunde)
- eine Beschreibung der Kategorien / Arten von verarbeiteten personenbezogenen Daten (z. B. Name oder Adresse). Achtung: Es müssen nicht die personenbezogenen Daten selbst eingetragen werden, sondern nur die Arten. Nicht: „Anna von Zweckform“, sondern „Name“ als Angabe reicht.
- Kategorien / Arten von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt werden. Auch hier wird nicht der konkrete Name benötigt, sondern die Art von Empfänger reicht.
- Angaben zur datenschutzrechtlichen Rechtfertigung von Drittstaatenübermittlung
- Angaben zum Archivierungs- und Löschkonzept der personenbezogenen Daten.
Kommen Dritte hinzu, um Daten im Auftrag eines Unternehmens zu verarbeiten, muss außerdem ein Auftragsverarbeitungsvertrag erstellt werden. Beispiel: Du beauftragst eine Agentur, deinen Kundennewsletter zu versenden.
Tipp: Nutze keine beliebigen Vorlagen für DSGVO-Formulare aus dem Internet, diese sind oft fehleranfällig. Und Fehler beim Datenschutz führen nicht nur zu Problemen mit den entsprechenden Behörden, sie verärgern auch deine KundInnen und können zum Image-Schaden führen.
Gut aufgestellt bist du mit seriösen Vorlagen, die von Profis erstellt wurden. Avery Zweckform bietet DSGVO-Formulare, die regelmäßig aktualisiert und von Rechtsexperten geprüft werden.
Ist ein Datenschutzbeauftragter notwendig?
In vielen Unternehmen gibt es einen Datenschutzbeauftragten, der für die Einhaltung aller DSGVO-Vorschriften zuständig ist. Aber braucht beispielsweise auch ein Handwerksbetrieb mit fünf Festangestellten einen Datenschutzbeauftragten? Nein.
Erst wenn mehr als 20 MitarbeiterInnen personenbezogene Daten verarbeiten, ist es in der Regel verpflichtend, eine solche Position zu besetzen. Dennoch sollten sich auch kleine Unternehmen entsprechend absichern.
Selbst wenn Angaben nur innerhalb des Betriebs ausgetauscht werden, ist eine sogenannte Mitarbeiterverpflichtungserklärung hilfreich. In dem Dokument wird schriftlich festgelegt, dass alle MitarbeiterInnen, die personenbezogene Daten erheben oder verarbeiten, zur Einhaltung der Anforderungen nach der DSGVO verpflichtet wurden.
Auch hierfür bietet Avery Zweckform eine passende Vorlage. Unter www.avery-zweckform.com/dsgvo-formulare kannst du die rechtssicheren Formulare kaufen und findest weitere interessante Informationen rund um das Thema DSGVO.