Vermeiden Sie diese 3 Fehler bei der Umsetzung der DSGVO

Oft machen Unternehmen, Blogger oder Shopanbieter die gleichen drei Fehler bei der Umsetzung der DSGVO. Dieser Artikel soll zeigen, welche das sind und wie man sie vermeidet.

Fehler 1: Einwilligungen einholen, wo sie nicht notwendig sind

Dieser Fehler wird leider häufig gemacht und kann gravierende Auswirkungen haben. Es herrscht der Irrglaube vor, dass man nur mit Einwilligungen noch DSGVO-Konform Daten verarbeiten kann. Die Einwilligung stellt ganz im Gegenteil jedoch die ungünstigste Art dar, eine Verarbeitung von Daten zu legitimieren. Die DSGVO kennt insgesamt ganze sechs Rechtsgrundlagen.

Die beiden, die in der Praxis am weitesten verbreitet sind, sind die zur Erfüllung eines Vertrags notwendigen Verarbeitungen (Art. 6 (1) b) DSGVO) oder die Verarbeitungen, welche zur Wahrung der berechtigten Interessen des Verantwortlichen (Art. 6 (1) f) DSGVO) durchgeführt werden.

Gefährlich sind Einwilligungen vor allem dann, wenn die strengen Anforderungen nicht eingehalten werden. Z.B. besteht ein Kopplungsverbot, die Willenserklärung darf also nicht zusammen mit anderen gegeben werden oder von diesen abhängig gemacht werden. Nicht zu vergessen ist auch das Recht, die Einwilligung zu widerrufen.

Natürlich gibt es Fälle, wo eine Einwilligung notwendig ist und keine der anderen Rechtsgrundlagen greift, z.B. wenn eine Speicherung von Daten über das gesetzliche Limit hinaus erfolgt oder Fotos von Mitarbeitern veröffentlicht werden sollen. Oft ist es allerdings völlig ausreichend einen Datenschutzhinweis unterschreiben zu lassen oder zumindest auszulegen (diesen erhalten Sie in den Vorlagenpaketen).

Fehler 2: Nur den Webauftritt DSGVO-Konform machen, aber keine Dokumentation anfertigen

Wenn viele Unternehmer an die DSGVO denken, denken Sie zuerst an Abmahnungen und daran Ihren Webauftritt abzusichern. Grundsätzlich ist dies eine wichtige Säule und ein richtiger Schritt. Was viele vergessen, ist das weitaus größere Risiko der Nichteinhaltung der umfangreichen Dokumentationspflichten nach DSGVO.

Sollte eine Behörde diese Dokumente anfragen, sei es durch eine Meldung z.B. eines verärgerten Kunden oder ein Datenleck, so sollten Sie die Dokumente vorlegen können. Außerdem ist abzusehen, dass eine gute Dokumentation als Absicherung gesehen werden kann, wenn es zu einem Datenschutzverstoß kommen sollte. Damit könnte nachgewiesen werden, dass Sie Ihren Pflichten nachgekommen sind.

Die Dokumente sind für einen Laien nicht ohne viel Zeitaufwand zu erstellen. Aus meiner Beratungspraxis habe ich einen Dokumentationsgenerator entwickelt, welcher Ihnen die mühsame Recherche abnimmt und alles vorausgefüllt generiert. Sie unterschreiben nur noch und legen die Dokumentation ab. Darüber hinaus gibt es auch eine vorausgefüllte Excel Liste und Word Vorlagen.

Fehler 3: Keine AV-Verträge abschließen

Ein Auftragsverarbeiter Vertrag regelt die Datenverarbeitung mit Dritten. Also wenn Sie z.B. einen Hoster für Ihren Webauftritt engagieren, verarbeitet dieser in Ihrem Auftrag Daten.

Der hamburgische Datenschutzbeauftragte hat vor kurzem eine Verwarnung an einen Unternehmer versendet, welcher sich geweigert hatte einen AV-Vertrag mit einem Dienstleister abzuschließen. Die Bußgeldandrohung bezifferte sich auf bis zu 10.000.000 Euro.

Kündigen Sie im Zweifel das Vertragsverhältnis oder schicken Sie Ihren eigenen Vertragsentwurf.

Fazit

Die größten Fehler bei der Umsetzung der DSGVO sind einfach zu vermeiden, wenn man weiß, wo man ansetzen muss. Diese Liste ist natürlich nicht allumfassend und abschließend, sie gibt aber einen guten Rahmen, wo man nach Fehlern suchen könnte.