Erfahren Sie mit wenigen Klicks, ob Sie Ihre Daten ausreichend schützen.
Der adverit Datenschutz-Check

Mit dem Betrieb einer Website wird der Betreiber bzw. das Unternehmen zu einem Anbieter von sog. Telemedien i.S.d. TMG. Abhängig von dem Inhalt, Umfang und der Tätigkeit des Betreibers sind durch den Betreiber verschiedene datenschutzrechtliche Vorgaben, sowie allgemeine Informationspflichten, umzusetzen und zu erfüllen.

Unabhängig von der Art und dem Umfang in Bezug auf die Verarbeitung personenbezogener Daten mit einer Website werden über eine Website i.d.R. personenbezogene Daten erhoben und/oder verarbeitet. Dadurch ist fast jede Website mit einer Datenschutzerklärung zu versehen, in der u.a. auch Informationspflichten festgehalten werden, die Nennung des Datenschutzbeauftragten erfolgt oder auf die Übermittlung von Daten in Drittstaaten hingewiesen wird.

Die Pflicht zur Benennung eines Datenschutzbeauftragten besteht nach Art. 37 DSGVO und § 38 BDSG, sofern mindestens 20 oder mehr Personen mit der ständigen automatisierten Verarbeitung von personenbezogenen Daten befasst sind oder wenn personenbezogene Daten besonderer Kategorien nach den Maßgaben von Art. 9 DSGVO nach Art. 4 DSGVO verarbeitet werden.

Ein Auftragsverarbeiter verarbeitet nach Art. 28 DSGVO auf Grundlage eines Vertrages oder eines anderen rechtlichen Instruments Daten für einen Auftraggeber (Verantwortlicher). Der Auftraggeber bzw. Verantwortliche ist ggü. dem Auftragsverarbeiter weisungsbefugt, sodass der Auftragsverarbeiter die Weisungen des Verantwortlichen umzusetzen hat. Auftragsverarbeiter können hierbei u.a. Steuerberater, Unternehmen (z.B. Amazon oder Google) oder auch soziale Netzwerke (Facebook) sein.

Der Auftragsverarbeitungsvertrag ist nach Art. 28 DSGVO die rechtliche Grundlage für die Verarbeitung von personenbezogenen Daten i.S.v. Art. 9 DSGVO durch einen Auftragsverarbeiter. Dieser legt hierbei den Gegenstand und die Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen fest.

In dem Unternehmen sollte eine Auflistung aller Auftragsverarbeiter inkl. Auftragsverarbeitungsverträgen bestehen. Sollte eine derartige Auflistung oder eine ähnliche Übersicht nicht bestehen sollte dieser Punkt mit "Nein" angegeben werden. Ebenfalls sollte ein "Nein" angegeben werden, sofern dem Unternehmen nicht bewusst ist, welche Auftragsverarbeiter im Unternehmen bestehen.

Nach Art. 30 DSGVO ist ein Verzeichnis über Verarbeitungsaktivitäten für jeden Verarbeitungsprozess durch den Verantwortlichen zu erstellen (insbesondere wenn unter anderem eine Verarbeitung von personenbezogenen Daten besonderer Kategorie nach Art. 9 Abs. 1 DSGVO erfolgt).

Demnach ist das Verzeichnis über Verarbeitungsaktivitäten immer zu erstellen, wenn eine Verarbeitung von personenbezogenen Daten erfolgt. Erfolgt beispielsweise eine Lohnabrechnung, werden personenbezogene Daten in Bezug auf die Mitarbeiter, verarbeitet.

Das Verzeichnis über Verarbeitungsaktivitäten sollte von dem Unternehmen jederzeit vorgelegt und eingesehen werden können. Wurde dies von einem Externen, z.B. von einem externen Datenschutzbeauftragten erstellt, stützt dies die Belastbarkeit. Sollten Anzeichen identifiziert werden, die darauf hindeuten, dass das Verzeichnis über Verarbeitungsaktivitäten nicht den Anforderungen entspricht, sollte dieser Punkt mit "Nein" angegeben werden.

Art. 35 Abs. 3 DSGVO regelt, in welchen Fällen "insbesondere" eine Datenschutz-Folgeabschätzung zu erstellen ist. Eine Erstellung ist demnach erforderlich, sofern eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen erfolgt, welche sich auf eine automatisierte Verarbeitung gründet und ihrerseits als Grundlage für Entscheidungen dient. Zudem ist eine Datenschutz-Folgeabschätzung zwingend durchzuführen, wenn eine Verarbeitung personenbezogener Daten besonderer Kategorie i.S.v. Art. 9 Abs. 1 DSGVO erfolgt oder wenn öffentlich zugängliche Bereiche systematisch überwacht werden.

Soweit die Erstellung einer Datenschutz-Folgeabschätzung nach den Maßgaben von Art. 35 DSGVO erforderlich ist, sollte die erstellte Datenschutz-Folgeabschätzung einer kritischen Würdigung unterzogen werden. Hierbei sollte sichergestellt werden, dass die Mindestanforderungen nach Art. 35 Abs. 7 abgedeckt wurden:

• Eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zweck der Verarbeitung, ggf. unter Nennung des berechtigten Interesses des Verarbeiters.
• Eine Bewertung der Notwendigkeit und der Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck der Verarbeitung.
• Eine Bewertung der Risiken für die Rechte und die Freiheit der betroffenen Personen.
• Das Ergreifen von Maßnahmen, um die identifizierten Risiken zu bewältigen inklusive der Erbringung eines Nachweises im Hinblick auf die Einhaltung der DSGVO.

Bei der Verarbeitung von personenbezogenen Daten sind angemessenen Schutzmaßnahmen zu ergreifen, die sog. technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO und § 64 BDSG. Im Rahmen der Befragung sollte sichergestellt werden, dass im Unternehmen ein Bewusstsein für technische und organisatorische Maßnahmen besteht und es sollten auf Nachfrage ergriffene Maßnahmen zu nachfolgenden Themen genannt werden können:

• Physische & logische Zugriffskontrolle
• Datenspeicherung
• Datenträger
• Nutzer
• Transmission
• Eingangskontrolle
• Transport
• Datenintegrität
• Verfügbarkeitskontrolle
• Trennbarkeit der Daten
• Datenpannen
• Wiederherstellung
• Zuverlässigkeitskontrolle
• Website

Für den Verarbeiter personenbezogener Daten bestehen verschiedene Informationspflichten, unter anderem nach Art. 12 bis 19 DSGVO in Bezug auf die betroffenen Personen. Ferner bestehen ergänzende Informationspflichten nach § 32 BDSG, die zu berücksichtigen sind. Im Rahmen der Befragung sollte sichergestellt werden, dass dem Unternehmen Informationspflichten bekannt sind, und dass auf Anfragen von Betroffenen reagiert wird.

Nach Art. 5 und 17 DSGVO i.V.m. Art. 30 DSGVO ist durch einen Verarbeiter personenbezogener Daten ein Konzept zur Löschung von personenbezogenen Daten zu erstellen. Die Erstellung eines Löschkonzeptes besteht zum einen für personenbezogene Daten welche nicht mehr benötigt werden und/oder die Pflicht zur Löschung besteht. Zudem sind im Rahmen der Ausgestaltung der Technik datenschutzfreundliche Voreinstellungen zu treffen. Dies beinhaltet beispielsweise die Festlegung einer Speicherfrist und die Verwaltung der Zuständigkeiten (Art. 25 DSGVO i.V.m. Art 17 DSGVO).

Im Rahmen der Befragung sollte sichergestellt werden, dass die oben genannten Anforderungen durch das Unternehmen erfüllt werden. Auf Nachfrage sollten die ergriffenen Maßnahmen dargelegt werden können.

Die Rechte von Betroffenen werden u.a. unter Art- 12-23 DSGVO geregelt. Im Rahmen der Befragung sollte sichergestellt werden, dass dem Unternehmen Informationspflichten bekannt sind und Anfragen von Betroffenen nicht übersehen werden.

Die Rechte von Betroffenen werden u.a. unter Art- 12-23 DSGVO geregelt. Im Rahmen der Befragung sollte sichergestellt werden, dass dem Unternehmen Informationspflichten bekannt sind und Anfragen von Betroffenen nicht übersehen werden.