KMUs und DSGVO – das fällt unter Ihre Dokumentationspflicht
Nach DSGVO müssen Unternehmen bestimmte Vorgänge und Prozesse dokumentieren. Darunter fallen sogenannte Verarbeitungstätigkeiten, technische und organisatorische Maßnahmen (TOM) sowie Löschvorgänge. Damit Sie sich ein klareres Bild davon machen können, was Ihr KMU wie zu dokumentieren hat, schlüsseln wir Ihnen jeden der 3 Bereiche auf:
Verzeichnis von Verarbeitungstätigkeiten
Bei der DSGVO-konformen Dokumentation von Verarbeitungstätigkeiten sollten folgende Punkte erfasst werden:
- Namen und Kontaktdaten des/der Verantwortlichen, des:der bei der Datenschutz-Aufsichtsbehörde gemeldeten Datenschutzbeauftragten oder etwaiger Vertreter:innen
- Zwecke der Datenverarbeitung
- Kategorisierung der betroffenen Personen (Kund:innen, Mitarbeiter:innen, Bewerber:innen etc.) sowie der personenbezogenen Daten (Kontaktdaten, Bewegungsdaten, Verläufe, etc.)
- Kategorisierung von Empfänger:innen personenbezogener Daten einschließlich Empfänger:innen in Drittländern (Dienstleister:innen, Subunternehmen, etc.)
- Übermittlungen von Daten an ein Drittland oder an eine internationale Organisation
Dokumentation technischer und organisatorischer Maßnahmen (TOM)
Geht es beim Verzeichnis von Verarbeitungstätigkeiten darum zu beschreiben, welche Daten von wem erfasst und folglich auch geschützt werden müssen, hält die Dokumentation der technischen und organisatorischen Maßnahmen fest, wie Erfassung und Schutz innerhalb des Unternehmens ablaufen. Zu dokumentieren sind:
- Maßnahmen zur Pseudonymisierung personenbezogener Daten
- Verschlüsselungsmaßnahmen personenbezogener Daten
- Maßnahmen, die die Integrität und Vertraulichkeit der Systeme gewährleisten (beispielsweise Firewalls)
- Maßnahmen zur Gewährleistung der Verfügbarkeit und Belastbarkeit der Systeme und Dienste (beispielsweise Backup-Serverkapazitäten)
- Wiederherstellungsmaßnahmen personenbezogener Daten nach einem physischen oder technischen Zwischenfall
- Maßnahmen zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der vorgenannten Maßnahmen
Anlegen eines Löschkonzepts
Nach DSGVO dürfen Daten nur so lange gespeichert werden, wie sie zur Erfüllung des Zwecks, für den sie gesammelt wurden, dienlich sind. Da die meisten KMUs verschiedene Datenkategorien sammeln, für die wiederum verschiedene Löschfristen gelten, muss in einem Löschkonzept festgehalten werden, wann welche Daten konkret zu löschen sind.
Hierbei muss auch dargestellt werden, welche Daten aus rechtlichen Gründen aufbewahrt werden müssen. Das können beispielsweise die Daten von Bewerber:innen sein, die auch bei einer Absage 3 Monate gespeichert werden müssen.
DSGVO bei E-Mail-Marketing beziehungsweise Newsletter
Um E-Mail-Marketing rechtskonform nach DSGVO zu betreiben, sollten Sie folgende Kriterien berücksichtigen, wenn Sie einen Newsletter erstellen:
- Anmeldungen können nur über ein Double-Opt-in erfolgen. Zweifach heißt, wenn Nutzer:innen zunächst einen Newsletter auf Ihrer Website abonnieren, wird dieses Abonnement erst rechtskräftig, nachdem Sie es sich in einer separaten Mail an die betreffenden Nutzer:innen bestätigen haben lassen.
- Für Abmeldungen ist wiederum ein Single-Opt-in vorgeschrieben. Nutzer:innen müssen ein Abonnement also auf direktem Wege kündigen können.
- Nutzer:innen müssen ihre Zustimmung zur Speicherung von personenbezogenen Daten aktiv erteilen.
- Nutzer:innen müssen die Möglichkeit haben, Fragen zu den eigenen personenbezogenen Daten zu stellen.
- Nutzer:innen müssen das Recht haben, eine Löschung der eigenen Daten zu beantragen.
Nach DSGVO dürfen Daten nur so lange gespeichert werden, wie sie zur Erfüllung des Zwecks, für den sie gesammelt wurden, dienlich sind.
Tracking und Analytics – geht es überhaupt wirklich DSGVO-konform?
Generell erlaubt die DSGVO für Tracking und Analyse nur die Nutzung von personenbezogenen Daten, wenn die betroffene Person nicht oder nicht mehr identifizierbar ist. Cyberkriminelle können unter Umständen aus dem Abgleich verschiedener anonymisierter Datensätze Rückschlüsse auf die Identitäten einzelner Nutzer:innen ziehen.
Deshalb ist im engsten Sinne nur die Verwendung von Analyse-Daten, die auf Simulationen beruhen – sogenannter synthetischer Daten –, zu 100 % rechtssicher. Der Nachteil daran: Da synthetische Daten nicht so präzise sind, wie „echte“ personenbezogene Daten, eignen sie sich nicht für jede Anwendung gleichermaßen gut.
Sollten Sie deshalb bei Tracking und Analytics auf „echte“ personenbezogene Daten zurückgreifen, ist in jedem Fall die eindeutige Einwilligung dazu einzuholen. Und auch hierfür gelten nach DSGVO bestimmte Regeln:
- Tracking-Maßnahmen und Verarbeitungszwecke müssen konkret beschrieben werden. Nutzer:innen müssen ausreichend darüber informiert werden, welche Cookies gesetzt und welche Daten gesammelt werden.
- Werden Daten an Drittanbieter weitergegeben, ist dies aufzuführen.
- Nutzer:innen müssen die Möglichkeit haben, die Einwilligung zu verweigern oder zurückzuziehen, ohne daraus Nachteile zu ziehen.
- Die Formulierung des Einwilligungstextes muss klar sein.
- Nutzer:innen müssen deutlich auf die Widerrufsmöglichkeit hingewiesen werden.
- Sie müssen die Einwilligung später nachweisen können.
Rechtslage zu Fotos von Personen im Netz
Bei der Verwendung von Fotos mit Personen in einem nicht journalistischen Kontext spielen neben Urheber- und Nutzungsrechten auch die Persönlichkeitsrechte eine zentrale Rolle. Hartnäckig hält sich beispielsweise der Mythos, dass ab einer gewissen Anzahl an abgebildeten Personen deren Einverständniserklärung nicht notwendig wäre. Fakt ist: Möchten Sie DSGVO-konform Fotos von Personen auf Ihrer Website, Ihren Social- Media-Accounts oder in einer Mail verwenden, müssen diese im Vorfeld der Nutzung zugestimmt haben – unabhängig davon, ob es sich um ein Gruppenbild von Mitarbeiter:innen oder die Portraitaufnahme des:der Geschäftsführer:in handelt.
Auf einen Blick: So sind Sie mit Ihrem KMU DSGVO-konform unterwegs
Das richtige Setup und ein paar einfache Regeln im Hinterkopf machen Rechtskonformität für KMUs einfacher:
- Dokumentieren Sie Verarbeitungstätigkeiten, technische und organisatorische Maßnahmen (TOM) sowie Ihr Löschkonzept.
- Halten Sie sich bei E-Mail-Marketing und Newsletter an Pflichten wie Double-Opt-ins für Anmeldungen und Single-Opt-ins für Abmeldungen.
- Setzen Sie bei Tracking und Analytics wenn möglich auf synthetischen Daten. Holen Sie die Einwilligung zur Erhebung personenbezogener Daten ein, falls die Verwendung synthetischer Daten nicht möglich ist.
- Holen Sie sich das Einverständnis jeder Person, die auf einem Bild zu sehen ist, bevor Sie es verwenden.