Die Grundlagen in 5 Schritten
Sie muessen keinen Datenschutzanwalt beauftragen, um DSGVO-konform zu werden. Die meisten KMU koennen die Grundlagen selbst regeln, sobald sie wissen, was noetig ist. Hier die fuenf Schritte, nach Prioritaet geordnet.
Schritt 1: Verarbeitungsverzeichnis
Was: eine Uebersicht aller Taetigkeiten, bei denen Sie personenbezogene Daten verarbeiten.
Warum: die Aufsichtsbehoerde kann dieses jederzeit anfordern. Es ist auch Ihre eigene Referenz - wenn Sie nicht wissen, welche Daten Sie verarbeiten, koennen Sie den Rest nicht richtig regeln.
Was pro Taetigkeit enthalten sein muss:
- Der Zweck der Verarbeitung
- Die Kategorien personenbezogener Daten
- Die Kategorien betroffener Personen
- Die Empfaenger der Daten
- Die Aufbewahrungsfrist
- Die Sicherheitsmassnahmen
Schritt 2: Datenschutzerklaerung
Was: ein Dokument, das Kunden, Website-Besuchern und Mitarbeitern erklaert, wie Sie deren personenbezogene Daten verarbeiten.
Warum: es ist Ihre gesetzliche Informationspflicht. Jede Person, deren Daten Sie verarbeiten, hat ein Recht auf diese Information.
Was Sie benoetigen:
- Eine Website-Datenschutzerklaerung (Link im Footer jeder Seite)
- Eine interne Datenschutzrichtlinie fuer Mitarbeiter
Kopieren Sie niemals eine Datenschutzerklaerung aus dem Internet.
Schritt 3: Auftragsverarbeitungsvertraege
Was: ein Vertrag mit jeder externen Partei, die in Ihrem Auftrag personenbezogene Daten verarbeitet.
Warum: ohne Auftragsverarbeitungsvertrag duerfen Sie personenbezogene Daten nicht von einem Dritten verarbeiten lassen.
Mit wem brauchen Sie einen?
- Ihrem Steuerberater
- Ihrem E-Mail-Tool (Mailchimp, ActiveCampaign)
- Ihrem Cloud-Speicher (Google Workspace, Microsoft 365)
- Ihrem Webhoster
- Ihrem Lohnabrechnungsdienstleister
- Ihrem CRM-System
Vorlage: Auftragsverarbeitungsvertrag (AVV)
Ein sofort einsetzbarer Auftragsverarbeitungsvertrag, den Sie direkt an Ihre Auftragsverarbeiter senden koennen.
Zur Vorlage arrow_forwardSchritt 4: Verfahren bei Datenschutzverletzungen
Was: ein dokumentiertes Verfahren fuer den Fall einer Datenschutzverletzung.
Warum: eine Datenschutzverletzung muss innerhalb von 72 Stunden an die Aufsichtsbehoerde gemeldet werden. Wenn Sie zu diesem Zeitpunkt noch herausfinden muessen, was zu tun ist, schaffen Sie die Frist nicht.
Was Sie benoetigen:
- Ein Verfahren, das beschreibt, wer was bei einer Verletzung tut
- Ein Verletzungsregister zur Dokumentation von Vorfaellen
- Vorlagen fuer die Meldung an die Aufsichtsbehoerde und an betroffene Personen
Lesen Sie unseren Artikel ueber Datenschutzverletzungen.
Vorlage: Meldung einer Datenschutzverletzung
Meldeformular fuer die Aufsichtsbehoerde und Vorlage fuer die Benachrichtigung betroffener Personen.
Zur Vorlage arrow_forwardSchritt 5: Betroffenenrechte
Was: ein Verfahren fuer die Bearbeitung von Anfragen der Personen, deren Daten Sie verarbeiten.
Warum: betroffene Personen koennen Auskunft, Berichtigung oder Loeschung ihrer Daten verlangen. Sie muessen innerhalb eines Monats antworten.
Was Sie benoetigen:
- Ein Verfahren: Wer nimmt Anfragen entgegen, wer bearbeitet sie, wie wird dokumentiert
- Vorlagen fuer Standardantworten
- Ein Anfragenregister
Lesen Sie unseren Artikel ueber Betroffenenrechte.
Vorlage: Antwort auf Auskunftsanfrage
Standardantworten fuer Auskunftsanfragen, Berichtigungsanfragen und Loeschungsanfragen.
Zur Vorlage arrow_forwardErweiterte Checkliste
Dokumentation
- Verarbeitungsverzeichnis erstellt
- Website-Datenschutzerklaerung veroeffentlicht
- Interne Datenschutzrichtlinie fuer Mitarbeiter erstellt
- Auftragsverarbeitungsvertraege mit allen Verarbeitern abgeschlossen
- Cookie-Richtlinie erstellt (wenn Ihre Website Cookies verwendet)
Verfahren
- Verfahren bei Datenschutzverletzungen dokumentiert
- Verletzungsregister eingerichtet
- Verfahren fuer Betroffenenanfragen dokumentiert
- Anfragenregister eingerichtet
- Aufbewahrungsfristen pro Verarbeitungstaetigkeit festgelegt
Website
- Datenschutzerklaerung ueber Footer-Link erreichbar
- Cookie-Banner mit echten Wahlmoeglichkeiten (akzeptieren UND ablehnen)
- Cookie-Audit durchgefuehrt
- Kontaktformulare verweisen auf die Datenschutzerklaerung
- Analytics DSGVO-konform konfiguriert
Sicherheit
- Passwort-Richtlinie eingefuehrt (starke Passwoerter, 2FA)
- Laptops und mobile Geraete verschluesselt
- Zugang zu personenbezogenen Daten auf Bedarfsbasis eingeschraenkt
- Konten ausscheidender Mitarbeiter sofort deaktiviert
- Backup-Verfahren eingerichtet
Organisation
- Verantwortliche Person fuer DSGVO innerhalb der Organisation benannt
- Mitarbeiter in den Grundlagen geschult (was ist eine Verletzung, was ist eine Anfrage)
- Jaehrliche Ueberpruefung von Verarbeitungsverzeichnis und Datenschutzerklaerung geplant
Was Sie NICHT brauchen (als KMU)
Viele Unternehmen denken, die DSGVO sei komplizierter als sie tatsaechlich ist. Als KMU brauchen Sie wahrscheinlich nicht:
- Einen DSB (Datenschutzbeauftragten), es sei denn, Sie verarbeiten besondere Datenkategorien in grossem Umfang
- Eine DSFA (Datenschutz-Folgenabschaetzung), es sei denn, Sie starten neue risikoreiche Verarbeitungen
- Einen teuren Berater - die Grundlagen koennen Sie mit den richtigen Tools und Informationen selbst regeln
- Einen Datenschutzbeauftragten - benennen Sie einfach intern eine Person als Ansprechpartner
GDPRWise scannt Ihre Website und fuellt den Grossteil dieser Checkliste automatisch aus: Verarbeitungsverzeichnis, Datenschutzerklaerung, Cookie-Audit und massgeschneiderter Aktionsplan.