Checkliste zur Einhaltung der GDPR: 12 wesentliche Kontrollen, die jedes europäische KMU implementieren muss

Die Allgemeine Datenschutzverordnung bleibt der Eckpfeiler des europäischen Datenschutzrechts. Mit kumulierten Bußgeldern von mehr als 5 Mrd. EUR seit 2018 haben die Aufsichtsbehörden in der gesamten EU ihr unerschütterliches Engagement für die Durchsetzung bewiesen. Für kleine und mittlere Unternehmen ist es nicht mehr optional, zu verstehen, welche Kontrollen am wichtigsten sind. Es ist ein geschäftlicher Imperativ.

Diese Checkliste enthält die 12 grundlegenden Kontrollen, die die EU-Datenschutzbehörden bei ihren Audits regelmäßig überprüfen. Jede Kontrolle bezieht sich direkt auf bestimmte GDPR-Artikel, so dass Ihr Unternehmen einen klaren Weg von der gesetzlichen Vorschrift zur betrieblichen Compliance findet.

1. Datenzuordnung und Aufzeichnungen über Verarbeitungstätigkeiten

Artikel 30 der Datenschutz-Grundverordnung verlangt von den für die Verarbeitung Verantwortlichen und den Auftragsverarbeitern, schriftliche Aufzeichnungen über die Verarbeitungstätigkeiten zu führen. Für KMU bedeutet dies, ein umfassendes Dateninventar zu erstellen, das jede Kategorie personenbezogener Daten, die Ihr Unternehmen sammelt, die Rechtsgrundlage für die Verarbeitung, die Aufbewahrungsfristen und alle Dritten, mit denen Daten ausgetauscht werden, dokumentiert.

Ihre Datenkarte sollte alle Abteilungen abdecken, einschließlich Personalwesen, Marketing, Finanzen und Kundendienst. Viele Durchsetzungsmaßnahmen haben ihren Ursprung in unvollständigen oder veralteten Aufzeichnungen über Verarbeitungsaktivitäten. Die belgische Datenschutzbehörde hat beispielsweise mehrere Bußgelder speziell für Verstöße gegen Artikel 30 verhängt, da sie unvollständige Aufzeichnungen als Beweis für umfassendere Compliance-Verstöße ansieht.

• Dokumentieren Sie alle Kategorien von verarbeiteten personenbezogenen Daten (Namen, E-Mails, IP-Adressen, Gesundheitsdaten usw.)
• Halten Sie den Zweck und die Rechtsgrundlage für jede Verarbeitungstätigkeit fest
• Identifizieren Sie den Datenfluss zwischen internen Abteilungen und externen Verarbeitern
• Legen Sie Aufbewahrungsfristen für jede Datenkategorie fest
• Aktualisieren Sie das Register mindestens vierteljährlich oder bei jeder Änderung der Verarbeitungstätigkeiten

2. Legen Sie eine rechtmäßige Grundlage für jede Verarbeitungstätigkeit fest

Artikel 6 legt sechs Rechtsgrundlagen für die Verarbeitung personenbezogener Daten fest: Einwilligung, vertragliche Notwendigkeit, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe und berechtigte Interessen. Jede Verarbeitungsaktivität in Ihrer Datenkarte muss mit genau einer dieser Grundlagen verknüpft sein. Sich auf die falsche Grundlage zu verlassen oder Ihre Wahl nicht zu dokumentieren, ist einer der häufigsten Verstöße, die von den Aufsichtsbehörden angeführt werden.

Für besondere Datenkategorien (Artikel 9), wie z.B. Gesundheitsdaten, biometrische Daten oder Daten, die Aufschluss über die rassische oder ethnische Herkunft geben, müssen Sie eine zusätzliche Bedingung gemäß Artikel 9(2) angeben. Die Verarbeitung besonderer Datenkategorien, die nicht sowohl die Anforderungen von Artikel 6 als auch von Artikel 9 erfüllen, stellt einen schweren Verstoß dar.

• Ordnen Sie jede Verarbeitungstätigkeit einer der sechs Artikel 6-Grundlagen zu
• Führen Sie bei berechtigten Interessen eine Bewertung der berechtigten Interessen (LIA) durch und dokumentieren Sie diese.
• Gehen Sie niemals von einer Einwilligung aus, wenn eine andere Grundlage besser geeignet ist.
• Identifizieren Sie die Bedingungen von Artikel 9 für alle besonderen Datenkategorien

3. Verwaltung der Einverständniserklärung

Wenn die von Ihnen gewählte Rechtsgrundlage die Einwilligung ist, stellen die Artikel 7 und 8 strenge Anforderungen. Die Einwilligung muss freiwillig, ausdrücklich, in Kenntnis der Sachlage und unmissverständlich erteilt werden. Es muss genauso einfach sein, die Zustimmung zu widerrufen, wie sie zu erteilen. Vorgekreuzte Kästchen, gebündelte Einwilligungen oder in Geschäftsbedingungen vergrabene Einwilligungen entsprechen nicht dem Standard der Datenschutzgrundverordnung.

Die CNIL (französische Datenschutzbehörde) war besonders aktiv bei der Durchsetzung der Zustimmungsanforderungen und verhängte erhebliche Geldstrafen gegen Unternehmen, die sich auf nicht konforme Cookie-Zustimmungsmechanismen verließen. Ihre Zustimmungsmanagement-Plattform sollte überprüfbare Aufzeichnungen erstellen, die belegen, wann, wie und zu welchem Zweck jede Person ihre Zustimmung gegeben hat.

• Implementieren Sie granulare Zustimmungsmechanismen (separate Zustimmung für separate Zwecke)
• Führen Sie überprüfbare Zustimmungsaufzeichnungen mit Zeitstempeln.
• Bieten Sie einen einfachen Mechanismus, um Ihre Zustimmung jederzeit zu widerrufen.
• Überprüfen Sie die Gültigkeit der Zustimmung jährlich und aktualisieren Sie sie, wenn sich der Kontext der Verarbeitung geändert hat.
• Für Kinder unter 16 Jahren (oder dem von Ihrem Mitgliedstaat festgelegten Alter) holen Sie die Zustimmung der Eltern gemäß Artikel 8 ein.

4. Bewertung des Datenschutzbeauftragten (DPO)

Artikel 37 schreibt die Ernennung eines Datenschutzbeauftragten vor, wenn die Kerntätigkeiten des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters eine regelmäßige und systematische Überwachung der betroffenen Personen in großem Umfang oder eine umfangreiche Verarbeitung besonderer Datenkategorien beinhalten. Auch wenn die Ernennung nicht zwingend vorgeschrieben ist, zeigt die Benennung eines Datenschutzbeauftragten oder eines Verantwortlichen für den Datenschutz, dass er verantwortlich ist.

Der DSB muss mit den für die Erfüllung seiner Aufgaben erforderlichen Mitteln ausgestattet werden (Artikel 38) und muss der höchsten Führungsebene Bericht erstatten. Der DSB kann nicht entlassen oder für die Erfüllung seiner Aufgaben bestraft werden, und Interessenkonflikte müssen vermieden werden.

• Beurteilen Sie, ob Ihre Organisation gemäß Artikel 37 verpflichtet ist, einen DSB zu bestellen.
• Falls nicht erforderlich, erwägen Sie eine freiwillige Ernennung oder benennen Sie einen Datenschutzbeauftragten.
• Stellen Sie sicher, dass der DSB direkten Zugang zum Senior Management hat
• Veröffentlichen Sie die Kontaktdaten des DSB und übermitteln Sie diese an Ihre Aufsichtsbehörde

5. Datenschutz-Folgenabschätzungen (DPIAs)

Artikel 35 schreibt eine Datenschutz-Folgenabschätzung vor, wenn die Verarbeitung wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt. Dazu gehören die systematische und umfassende Profilerstellung mit erheblichen Auswirkungen, die groß angelegte Verarbeitung von Daten besonderer Kategorien und die systematische Überwachung öffentlich zugänglicher Bereiche.

Eine Datenschutz-Folgenabschätzung muss die Verarbeitung beschreiben, ihre Notwendigkeit und Verhältnismäßigkeit beurteilen, die Risiken bewerten und Maßnahmen zur Minderung dieser Risiken ermitteln. Wenn die Datenschutzfolgenabschätzung auf ein hohes Restrisiko hinweist, muss gemäß Artikel 36 vor Beginn der Verarbeitung die Aufsichtsbehörde konsultiert werden.

• Führen Sie eine DPIA-Schwellenwertbewertung für alle neuen Verarbeitungstätigkeiten durch.
• Führen Sie vollständige Datenschutzfolgenabschätzungen für Verarbeitungen mit hohem Risiko durch, wie in Artikel 35 Absatz 3 und den von der Datenschutzbehörde veröffentlichten Listen definiert
• Dokumentieren Sie Maßnahmen zur Risikominderung und Bewertungen des Restrisikos
• Konsultieren Sie die Aufsichtsbehörde gemäß Artikel 36, wenn das Restrisiko hoch bleibt

6. Verfahren zur Benachrichtigung bei Datenverletzungen

Artikel 33 und 34 sehen eine strenge Regelung für die Meldung von Datenschutzverletzungen vor. Verletzungen des Schutzes personenbezogener Daten müssen der Aufsichtsbehörde ohne unangemessene Verzögerung und, wenn möglich, innerhalb von 72 Stunden nach Bekanntwerden der Verletzung gemeldet werden. Wenn eine Verletzung wahrscheinlich zu einem hohen Risiko für Einzelpersonen führt, müssen diese Personen auch direkt benachrichtigt werden.

Viele Aufsichtsbehörden betrachten eine verspätete Meldung als einen erschwerenden Faktor bei der Festlegung von Geldbußen. Sowohl die niederländische Datenschutzbehörde (Autoriteit Persoonsgegevens) als auch die irische Datenschutzbehörde haben Strafen speziell für die verspätete Meldung von Sicherheitsverletzungen verhängt, und zwar unabhängig von der Strafe für das zugrunde liegende Sicherheitsversagen.

• Erstellen Sie ein internes Verfahren zur Aufdeckung von Verstößen und zur Eskalation
• Definieren Sie Rollen und Verantwortlichkeiten für die Bewertung von Sicherheitsverletzungen und die Benachrichtigung
• Erstellung von Meldevorlagen für Aufsichtsbehörden (Artikel 33 Absatz 3 inhaltliche Anforderungen)
• Einführung eines Registers für Datenschutzverletzungen, in dem alle Verstöße gegen personenbezogene Daten dokumentiert werden, einschließlich derer, die nicht gemeldet wurden
• Führen Sie Überprüfungen nach Einbrüchen durch, um eine Wiederholung zu verhindern.

7. Grenzüberschreitende Datenübertragungen

Kapitel V der Datenschutz-Grundverordnung (Artikel 44 bis 49) schränkt die Übermittlung personenbezogener Daten in Länder außerhalb des EWR ein, sofern keine angemessenen Garantien vorhanden sind. Nach dem Urteil in der Rechtssache Schrems II (C-311/18) müssen Unternehmen bei Übermittlungen, die sich auf Standardvertragsklauseln (SCC) stützen, eine Folgenabschätzung für die Übermittlung durchführen (TIA).

Der Europäische Datenschutzausschuss (EDPB) hat eine ausführliche Anleitung zu zusätzlichen Maßnahmen für internationale Übertragungen veröffentlicht. Wenn Ihr Unternehmen Cloud-Dienste oder SaaS-Plattformen mit Servern außerhalb des EWR nutzt, muss jede Übertragung dokumentiert und bewertet werden.

• Identifizieren Sie alle internationalen Datentransfers in Ihrer Datenkarte
• Überprüfung der Angemessenheitsentscheidungen gemäß Artikel 45 für jedes Zielland
• Umsetzung von SCCs (Artikel 46(2)(c)) mit Folgenabschätzungen für Verlagerungen, wenn keine Angemessenheitsentscheidung vorliegt
• Dokumentieren Sie zusätzliche technische und organisatorische Maßnahmen gemäß den EDPB-Empfehlungen 01/2020
• Überwachen Sie Änderungen bei Angemessenheitsentscheidungen (z.B. Entwicklungen des EU-U.S. Data Privacy Framework)

8. Vereinbarungen mit Verarbeitern

Artikel 28 verlangt einen verbindlichen Vertrag zwischen für die Verarbeitung Verantwortlichen und Auftragsverarbeitern, der die Verarbeitung personenbezogener Daten regelt. Dieser Vertrag muss bestimmte obligatorische Klauseln enthalten, die den Gegenstand, die Dauer, die Art und den Zweck der Verarbeitung, die Arten der personenbezogenen Daten und die Pflichten des Auftragsverarbeiters betreffen.

Die Aufsichtsbehörden haben die Beziehungen zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter zunehmend unter die Lupe genommen. Der deutsche Bundesbeauftragte für den Datenschutz (BfDI) hat betont, dass die Nutzung eines Auftragsverarbeiters ohne angemessene vertragliche Garantien einen eigenständigen Verstoß gegen die DSGVO darstellt, unabhängig davon, ob es zu einer Datenverletzung kommt.

• Prüfung aller bestehenden Auftragsverarbeitungsbeziehungen auf Einhaltung von Artikel 28
• Enthalten Sie obligatorische Klauseln: Verarbeitungsanweisungen, Vertraulichkeit, Sicherheitsmaßnahmen, Genehmigungen für Unterauftragsverarbeiter, Auditrechte, Löschungsverpflichtungen
• Führen Sie ein Register aller Prozessoren und Unterprozessoren
• Führen Sie regelmäßige Prozessor-Audits durch oder beantragen Sie SOC 2 / ISO 27001-Zertifizierungen.

9. Datenschutzhinweise und Transparenz

Artikel 13 und 14 verpflichten die für die Verarbeitung Verantwortlichen, die betroffenen Personen zum Zeitpunkt der Datenerhebung (oder innerhalb einer angemessenen Frist bei nicht direkt erhobenen Daten) umfassend zu informieren. Die Informationen müssen in knapper, transparenter, verständlicher und leicht zugänglicher Form unter Verwendung einer klaren und einfachen Sprache bereitgestellt werden.

Die Datenschutzhinweise müssen die Identität und die Kontaktdaten des für die Verarbeitung Verantwortlichen und des Datenschutzbeauftragten, die Zwecke und die Rechtsgrundlage der Verarbeitung, die Empfänger der Daten, die Garantien für die internationale Übermittlung, die Aufbewahrungsfristen, die Rechte der betroffenen Person, das Recht auf Einreichung einer Beschwerde und die Angabe, ob eine automatisierte Entscheidungsfindung (Artikel 22) verwendet wird, enthalten.

• Stellen Sie mehrschichtige Datenschutzhinweise bereit, die alle Anforderungen von Artikel 13 und 14 erfüllen
• Machen Sie Hinweise an allen Datenerfassungspunkten zugänglich (Website, Formulare, Apps, in den Geschäften)
• Verwenden Sie eine einfache, für Ihr Publikum geeignete Sprache
• Überprüfen und aktualisieren Sie die Hinweise, wenn sich die Verarbeitungsaktivitäten ändern

10. Rechte der betroffenen Person

Kapitel III der DSGVO (Artikel 15 bis 22) räumt den betroffenen Personen eine Reihe von Rechten ein: Auskunft, Berichtigung, Löschung (das Recht auf Vergessenwerden), Einschränkung, Datenübertragbarkeit, Widerspruch und Rechte in Bezug auf automatisierte Entscheidungsfindung und Profiling. Organisationen müssen auf gültige Anfragen innerhalb eines Monats antworten, wobei die Frist bei komplexen Anfragen um zwei weitere Monate verlängert werden kann.

Die italienische Garante hat mehrere Bußgelder verhängt, weil sie es versäumt hat, innerhalb der gesetzlich vorgeschriebenen Fristen auf Anträge auf Zugang zu Daten zu reagieren. Ihr Unternehmen muss über dokumentierte Verfahren zur Überprüfung der Identität, zum Auffinden relevanter Daten und zur Bereitstellung von Antworten im erforderlichen Format verfügen.

• Erstellen Sie dokumentierte Verfahren für jedes Recht der betroffenen Person
• Implementieren Sie Prozesse zur Identitätsüberprüfung, um unbefugten Zugriff zu verhindern.
• Richten Sie Verfolgungs- und Eskalationsabläufe ein, um die einmonatige Frist einzuhalten.
• Schulung von Mitarbeitern mit Kundenkontakt zur Erkennung und Weiterleitung von Datenanfragen
• Führen Sie Aufzeichnungen über alle eingegangenen Anfragen und deren Antworten

11. Technische und organisatorische Sicherheitsmaßnahmen

Artikel 32 verpflichtet die für die Verarbeitung Verantwortlichen und die Auftragsverarbeiter, geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten. Dazu gehören gegebenenfalls Pseudonymisierung und Verschlüsselung, die Fähigkeit, die kontinuierliche Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme zu gewährleisten, die Fähigkeit, Daten zeitnah wiederherzustellen, und regelmäßige Tests.

Die Sicherheitsmaßnahmen müssen in einem angemessenen Verhältnis zum Risiko stehen. Eine Arztpraxis, die Gesundheitsdaten verarbeitet, benötigt stärkere Kontrollen als ein Einzelhändler, der nur Namen und Lieferadressen verarbeitet. Die spanische AEPD hat zahlreiche Bußgelder für unzureichende Sicherheitsmaßnahmen verhängt, insbesondere wenn Unternehmen es versäumt haben, grundlegende Kontrollen wie Zugriffsmanagement und Verschlüsselung durchzuführen.

• Implementieren Sie eine Verschlüsselung im Ruhezustand und bei der Übertragung für persönliche Daten
• Durchsetzung rollenbasierter Zugriffskontrollen nach dem Prinzip der geringsten Privilegien
• Setzen Sie die Multi-Faktor-Authentifizierung für den Verwaltungs- und Fernzugriff ein.
• Führen Sie regelmäßig Schwachstellenanalysen und Penetrationstests durch
• Pflegen und testen Sie die Pläne für Geschäftskontinuität und Notfallwiederherstellung

12. Schulung und Sensibilisierung des Personals

In Artikel 39(1)(b) wird die Sensibilisierung und Schulung des Personals als eine der Hauptaufgaben des DSB genannt. Abgesehen von der gesetzlichen Anforderung sind ungeschulte Mitarbeiter die größte Quelle für Datenschutzvorfälle. Phishing, fehlgeleitete E-Mails und unsachgemäßer Umgang mit Daten machen einen erheblichen Teil der gemeldeten Verstöße aus.

Ihr Schulungsprogramm sollte rollenspezifisch sein. Kundendienstmitarbeiter brauchen eine andere Schulung als IT-Administratoren oder Marketingmitarbeiter. Die Schulungen müssen dokumentiert und mindestens einmal jährlich wiederholt werden. Außerdem müssen sie aktualisiert werden, um neuen Bedrohungen und regulatorischen Entwicklungen Rechnung zu tragen.

• Schulung aller Mitarbeiter zum Thema GDPR bei ihrer Einstellung und danach jährlich
• Bieten Sie rollenspezifische Schulungen an (z. B. Meldung von Sicherheitsverletzungen für die IT, Verwaltung von Einwilligungen für das Marketing).
• Dokumentieren Sie den Abschluss von Schulungen und führen Sie Anwesenheitslisten.
• Führen Sie Phishing-Simulationen und Social-Engineering-Übungen durch
• Aktualisieren Sie die Schulungsinhalte, um neue Trends und Leitlinien zur Durchsetzung zu berücksichtigen.

Aufbau einer Kultur der Compliance

Diese 12 Kontrollen bilden die Grundlage für die Einhaltung der DSGVO, aber sie sind keine einmalige Checkliste. Datenschutz ist ein kontinuierlicher Prozess, der eine laufende Überwachung, regelmäßige Überprüfungen und die Anpassung an die sich entwickelnden Erwartungen der Aufsichtsbehörden erfordert. Der Grundsatz der Rechenschaftspflicht gemäß Artikel 5 Absatz 2 verlangt, dass Sie die Einhaltung der Vorschriften jederzeit nachweisen können und nicht nur einmal.

Beginnen Sie mit einer Lückenanalyse für diese 12 Kontrollen. Legen Sie die Prioritäten für die Abhilfemaßnahmen auf der Grundlage des Risikos fest und erstellen Sie einen Plan für die Einhaltung der Vorschriften mit vierteljährlichen Meilensteinen. Für KMUs, die über keine eigenen Datenschutzkenntnisse verfügen, kann die Beauftragung eines spezialisierten Beratungsunternehmens Ihren Weg zur Einhaltung der Vorschriften beschleunigen und gleichzeitig das Risiko kostspieliger Durchsetzungsmaßnahmen verringern.

Die Kosten der Nichteinhaltung (bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes gemäß Artikel 83 Absatz 5) übersteigen bei weitem die Investitionen, die für den Aufbau eines soliden Datenschutzprogramms erforderlich sind. Beginnen Sie Ihre Reise zur Einhaltung der Vorschriften noch heute.