Zum Inhalt springen

Nicole Rosenbohm WebOnline MarketingIT, Daten, Sicherheit 10-Punkte Checkliste DSGVO - was jetzt umgesetzt sein sollte

10-Punkte Checkliste DSGVO - was jetzt umgesetzt sein sollte

Heute tritt die DSGVO in Kraft. Mit dieser Checkliste hast Du den Überblick, was in Deinem Unternehmen umgesetzt sein sollte oder noch fehlt. Kurz und verständlich zusammengefasst, denn Verwirrung zur DSGVO gibt es schon genug.

Checkliste DSGVO für Unternehmen

  1. Datenschutzbeauftragten benennen  
    Gilt für Unternehmen, die personenbezogene (Kunden und Mitarbeiter) Daten elektronisch (EDV) verarbeiten. Also fast alle.

    Ausnahme: kleine Betriebe (weniger als 9 Leute arbeiten mit den Daten)
    Ausnahme von der Ausnahme: Kleinbetriebe, die mit heiklen Daten arbeiten (ethnische Herkunft/sexuelle Orientierung/Gesundheit…zum Beispiel Psychiatrische Arztpraxen), brauchen doch wieder einen Datenbeauftragten.

  2. Verzeichnis der Verarbeitungstätigkeiten erstellen: keine Angst – ist nur eine Tabelle. Ob auf Papier oder digital ist egal.

    Folgende Infos müssen rein:
    1. Welche Infos erhalten Betroffene über die Datenspeicherung?
    2. In welcher Form? AGB/Checkbox Website/persönlich
    3. Welche Daten werden zu welchem Zweck erhoben und wie weiterverarbeitet?
    4. Werden Daten anonymisiert oder pseudonymisiert
    5. Wie lange werden Daten gespeichert?
    6. Werden die Daten weitergegeben und wenn, an wen?
    7. Wo werden die Daten gespeichert? EU/ausserhalb? Voraussetzungen Übermittlung Drittländer erfüllt?
    8. Technische & organisatorische Massnahmen zum Datenschutz?
    9. Die Dokumentation muss fortlaufend aktualisiert werden.

  3. Website/Online Shop/Newsletter überprüfen und DSGVO-konform machen:
    zum Beispiel Website verschlüsseln mit HTTPS, anonymizeIP bei Google Analytics, Datenschutzerklärung auf Website und mehr. Wie es geht, steht hier. 

  4. Datenschutzerklärung in verständlicher Form auf die Website stellen bzw. bestehende Datenschutzerklärung nachbessern. Hierfür gibt es keine allgemeingültige Erklärung - jedes Unternehmen braucht eine individuelle Datenschutzerklärung. Hier können wir übrigens auch helfen. 

  5.  Einwilligung für die Verarbeitung und Nutzung personenbezogener Daten einholen (z.B. per Online-Formular oder elektronischer Auftragsbestätigung) und Widerrufsrecht gewährleisten (bspw. Abmeldebutton im Newsletter o.ä.)

  6. Datenbezogene Prozesse definieren und im Handbuch festhalten 
    1. Prozess: Wie werden Kunden informiert?
    2. Prozess: Wie reagiert der Mitarbeiter, wenn Kunden nachfragen, welche Daten gespeichert werden?
    3. Prozess: Kunde verlangt Datenlöschung
    4. Prozess: Datenleck oder Verlust (72 Stunden-Plan Landesdatenschutzbehörde)
    5. Prozess: Datenlöschung nach Ende der zielgebundenen Datensammlung (Bsp. Gewinnspiel)
    6. Prozess: Schulung der Mitarbeiter über Prozesse (kein Witz ;))

  7. Datenschutz-Folgeabschätzung für Kunden und Mitarbeitende durchführen
    Ziel: Risiken für die Persönlichkeitsrechte abschätzen können und Schutzmassnahmen ableiten.

  8. Voreinstellungen «privacy by default» und «privacy by design» bei Online Diensten, Software, techn. Angebote. Heisst: Eingabemasken und Bestellformulare nur mit notwendigen Feldern bestücken und mit möglichst wenigen Pflichtfeldern.

  9. Sicherstellen, dass Eure Lieferanten die DSGVO ebenfalls einhalten. 
    Falls wir Euer Dienstleister sind: unsere Bestätigung zur Einhaltung findet Ihr hier

  10. Alle Aktivitäten zum Datenschutz dokumentieren und bei Prüfung vorlegen.
    Hier einge Beispiele, was das sein könnte:
    1. Firewalls/IT-Sicherheit
    2. Prüfung der Verträge mit Dienstleistern
    3. Zugriff der eigenen Mitarbeiter auf personenbezogene Daten einschränken
    4. Besuchte Seminare zum Thema
    5. Vertraulichkeitserklärungen, etc
    6. Verschlüsselung der Website, Überarbeitung der Webformulare (Pflichtfelder weglassen…), Einsatz konformer Social Media PlugIns, anonymizeIP,…

 

Fazit: Die DSGVO ist gar nicht so unüberschaubar und furchteinflössend. Vor allem, wenn das Unternehmen dokumentieren kann, Verbesserungen zum Schutz der Persönlichkeitsrechte seiner Kunden umzusetzen, ist schon viel getan. Die eigene Firmenwebsite zum Beispiel lässt sich schnell vom Profi analysieren und DSGVO-konform machen.

Kleinere Unternehmen und Selbstständige, die die Datenschutzproblematik ernst nehmen und sich bisher schon um datenschutzkonforme Abläufe bemüht haben, sollten keine unüberwindbaren Probleme haben. Alle anderen müssen sich nun kümmern.

Tags: DSGVO, Blog, schweiz
Nicole Rosenbohm

Nicole lebte im deutschen Rheintal, bevor sie vor 10 Jahren mit Mann, zwei Kindern und Hund in die Schweiz gezogen ist. Nach Studium und Ausbildung als Kommunikationsfachfrau arbeitete sie viele Jahre als Account Manager/Kundenberaterin bei OgilvyOne in Frankfurt/Düsseldorf und später für die Counterpart Werbeagentur in Köln. Seit nunschon fast 7 Jahren kümmert sie sich bei 2sic als Marketing Manager um die interne und externe Kommunikation.

Lesen Sie mehr Beiträge von Nicole Rosenbohm
Zurück zur Blog-Startseite
May the 4th be with you - neuer CMS Release am Star Wars Tag
Vorheriger Beitrag: May the 4th be with you - neuer CMS Release am Star Wars Tag
Warum es sich lohnt, Eure Website auf HTTPS umzustellen
Nächster Beitrag: Warum es sich lohnt, Eure Website auf HTTPS umzustellen

Buschtrommeln Erhalte wertvolle Tipps, Anleitungen und Infos

Einfach E-Mail-Adresse eingeben und die neusten Nachrichten, Updates, Anleitungen und Tipps von 2sic und rund um den digitalen Dschungel erhalten.

Social Network Oder/und folge uns auf unseren anderen sozialen Kanälen