Our Recent Posts

Please reload

Archive

Please reload

Tags

Please reload

EU-DSGVO, die neue Datenschutz-Grundverordnung ist da! So sind Sie optimal vorbereiten.

May 28, 2018

Die EU-DSGVO, die neue Datenschutz-Grundverordnung ist da.  Das heißt konkret, seit 25. Mai 2018 wird jedes Unternehmen, welches personenbezogene Daten von EU-Bürgern verarbeitet, verpflichtet, die Bestimmungen der Datenschutz-Grundverordnung (DSGVO) zu erfüllen. Unter diese Verordnung fallen auch Nicht-EU- Mitgliedstaaten, sobald Daten über Kunden von EU-Mitgliedern gesammelt und abgespeichert werden. Hierzu genügt schon, dass ein EU Bürger Ihrer Internetseite besucht..

 

Mit der neuen Verordnung werden wesentliche neue Verpflichtungen für Unternehmen eingeführt, die personenbezogene Daten verarbeiten. Es kann sich dabei um Personaldaten oder Kundendaten in einem CRM System handeln, oder auch nur der einfache Austausch von Visitenkarten und deren Ablage. Hierbei wird nicht unterschieden, ob Sie ein Weltkonzern, oder "nur" eine Oma sind, die für Ihre selbst gestrickten Socken, einen kleinen Webshop betreibt. Für Regelverstöße sind strenge Sanktionen vorgesehen, darunter Bußgelder von bis zu vier Prozent des weltweiten Umsatzes oder 20 Millionen Euro, je nachdem, welche Zahl höher ist.

 

Welche wesentlichen Änderungen bringt die neue Datenschutz-Grundverordnung?

 

 

Hier eine Zusammenfassung der wesentlichsten Anforderungen:

 

  • Erfassung und Analyse sämtlicher Datenverarbeitungsprozesse im Unternehmen mit Bezug auf personenbezogene Daten

  • Überarbeitung sämtlicher Einwilligungserklärungen im Erfassungsprozess von personenbezogenen Daten

  • Dokumentierung der notwendigen Interessenabwägung bei Datenverarbeitung ohne vorhandene Einwilligung

  • Durchführung einer Folgenabschätzung ggf. unter Einbindung der Aufsichtsbehörde bei Prozessen mit Risiko für die Betroffenen

  • Neuverhandlung der ADV-Vereinbarungen (Auftragsdatenverarbeitung) mit IT-Dienstleistern

  • Schaffung von Vertragsgrundlagen für den Datenzugriff aus dem EU-Ausland

  • Erhöhung der Maßnahmen zur IT-Sicherheit gemäß Anforderungen des neuen Art. 32, insb. Durchführung von Zertifizierungen

  • Erstellung eines Verarbeitungsverzeichnisses

  • Einbindung von Privacy by Design und Privacy by Default in Entwicklungsprozesse

  • Transformation der Datenformate zur Erfüllung des neuen Rechts auf Datenübertragbarkeit

  • Implementierung von Meldeverfahren an Aufsichtsbehörden bei Datenpannen (72-Stunden-Frist)

 

Und so gehen Sie vor:

 

Erster Schritt: Bringen Sie eine Struktur in Ihre Daten!

Der erste wesentliche Schritt auf dem Weg zur DSGVO-Compliance ist, sich einen Überblick zu verschaffen, wie personenbezogene Daten in Ihrem Unternehmen gespeichert, verarbeitet, geteilt und genutzt werden. Eine gründliche Prüfung setzt voraus, dass Sie Ihre aktuelle Vorgehensweise mit den Anforderungen der neuen Verordnung vergleichen und überlegen, was Sie verändern müssen, um die Vorgaben auf eine Weise zu erfüllen, die den Bedürfnissen Ihrer Organisation entspricht. Denken Sie daran, dass die Erfüllung der Verpflichtungen laut DSGVO nicht nur die Richtlinien und Maßnahmen Ihres eigenen Unternehmens einbezieht, sondern auch die jeglicher Anbieter, die in Ihrem Namen personenbezogene Daten verarbeiten.

Zweiter Schritt: Die Verantwortlichkeiten für den Datenschutz in Ihrem Unternehmen regeln

Jedes Unternehmen, größenunabhängig, wird ab dem 25. Mai 2018 verpflichtet sein, Verfahren für Datenschutz-Compliance einzuführen. Möglicherweise müssen Sie Ihre Datenschutzrichtlinien verschärfen und Ihre Mitarbeiter schulen. Nicht alle Unternehmen werden einen Datenschutzbeauftragten ernennen müssen. Notwendig sind solche Beauftragte in der Regel für Unternehmen, die in zwei Feldern tätig sind: der großflächigen Verarbeitung spezieller Datenkategorien oder der großflächigen Beobachtung persönlicher Daten, beispielsweise in der verhaltensbasierten Zielgruppenwerbung. Prüfen Sie also frühzeitig, ob Sie einen internen oder externen Datenschutzbeauftragten benötigen und legen Sie die Verantwortlichkeiten fest.

Dritter Schritt: Die rechtliche Basis für die Datenverarbeitung prüfen

Anhand der Übersicht über Ihre unterschiedlichen personenbezogenen Daten aus Schritt Eins, sollten Sie prüfen, welche Rechtsgrundlagen aktuell für die Verarbeitung der verschiedenen Arten von persönlichen Daten gelten. Wenn Sie Zustimmung als Grundlage für die Datenverarbeitung nutzen, müssen Sie überlegen, wie Sie diese Zustimmung einholen, und in der Lage sein, klar zu zeigen, wie und wann diese Zustimmung erteilt wurde. Lag bisher keine Zustimmung für die Verarbeitung der jeweiligen personenbezogenen Daten vor (zum Beispiel bei der Erfassung persönlicher Kundendaten im CRM-System), so ist diese rückwirkend einzuholen.

Vierter Schritt: Rechte des betroffenen Personenkreises prüfen

Laut EU-DSGVO genießt jede Person, deren Daten Sie verarbeiten, einen erweiterten Rechtsschutz dahingehend, auf die eigenen persönlichen Daten zuzugreifen, diese korrigieren, löschen oder elektronisch übertragen zu lassen. Kann Ihr Unternehmen Kundendaten schnell und einfach finden, löschen und bewegen? Verfügen Sie über die Kapazitäten, um schnell auf Anfragen zu personenbezogenen Daten zu reagieren? Hat Ihr Unternehmen und Dritte, mit denen Sie zusammenarbeiten, Aufzeichnungen darüber, wo sich Daten befinden, wie sie verarbeitet werden und wo sie geteilt wurden? Auch hier hilft die Liste aus Schritt Eins, um diese Fragen zu beantworten.

Fünfter Schritt: Denken Sie an Ihre Lieferanten und Drittanbieter

Die EU-DSGVO erfordert eine umfassende Betrachtung Ihrer Datensicherheit, einschließlich der Anbieter, die in Ihrem Namen personenbezogene Daten verarbeiten. Der Einsatz eines Drittanbieters für die Datenverarbeitung befreit ein Unternehmen nicht von seinen Pflichten gemäß der EU-DSGVO. Prüfen Sie, ob Ihre Datenverarbeitungsanbieter internationale Datenschutzstandards erfüllen, Erfahrung im Datensicherheitsmanagement in großem Umfang haben und über Tools verfügen, die Ihre Rechtssicherheit verbessern und Verletzungsrisiken verringern. Überprüfen Sie bestehende Verträge und aktualisieren Sie ADV-Vereinbarungen mit Ihren Drittanbietern.

Sechster Schritt: Kommunizieren Sie wichtige Informationen intern wie extern

Laut EU-DSGVO sind Sie verpflichtet, Personen, die rechtlichen Grundlagen für die Verarbeitung ihrer Daten mitzuteilen und sicherzustellen, dass Ansprechpartner und Behörden im Falle eines auftretenden Problemfalls bekannt sind. Stellen Sie also sicher, dass Ihre Online-Datenschutzerklärungen auf Ihrer Webseite sowie Ihre AGBs auf dem neuesten Stand sind.

Darüber hinaus sollten Sie alle Ihre Mitarbeiter über die neuen Rahmenbedingungen der EU-DSGVO informieren und Sie entsprechend aufklären. Schulen Sie Ihre Mitarbeiter auf die neuen Verfahren zur Datenverarbeitung in Ihrem Unternehmen, sensibilisieren und verpflichten Sie Ihre Mitarbeiter.

Siebter Schritt: Erstellen Sie einen Notfallplan für eventuelle Datenschutzverletzungen 

Ihr Unternehmen muss über geeignete Richtlinien und Prozesse für den Fall von Datenschutzverletzungen verfügen. Stellen Sie dabei den Informationsfluss sicher: Welche Behörden sind die Ansprechpartner für Datenpannen, welche formalen Voraussetzungen, z. B. Fristen, müssen erfüllt werden. Informieren Sie Ihr Management über diese Richtlinien und Prozessabläufe. Das Versäumnis, eine Datenpanne ordnungsgemäß zu melden, könnte das Risiko einer hohen Geldbuße nach sich ziehen.

 

 

Wie fängt man an?

Alle diese Schritte durchzuführen – das klingt nach viel Arbeit. Das ist es auch!

Folgende erste Maßnahmen sind aus unserer Sicht empfehlenswert:

 

  1. Aufsetzung eines Projektteams und eventuelle Benennung eines EU-DSGVO Beauftragten 

  2. Ermittlung der Projektziele anhand der Vorgaben der EU-DSGVO

  3. Planen der organisatorischen und personellen Maßnahmen

  4. Aufsetzen eines Budgetplans

  5. Erfassung der relevanten Datenverarbeitungsprozesse (Status Quo)

  6. Schwachstellenanalyse

  7. Hierauf aufbauend: Risikoanalyse

  8. Ausführung der notwendigen Umsetzungsmaßnahmen

 

 

 

Weitere Informationen & Hilfe erhalten Sie unter: info@digiport.ch

Please reload

© 2018 by DigiPort AG