DSGVO
Weitere Vorbereitungen zur DSGVO

Weitere Vorbereitungen zur DSGVO

Um mit der Umsetzung der EU-Datenschutz-Grundverordnung (DSGVO) überhaupt starten zu können, müssen sich Unternehmen zunächst einen Überblick verschaffen. Welche Daten werden im Unternehmen überhaupt verarbeitet? Im ersten Teil „Das Verfahrensverzeichnis – Vorbereitungen zur DSGVO“ haben wir Euch das Verfahrensverzeichnis näher erläutert.

 

DSGVO im Unternehmen: Weitere Vorbereitungen

Heute geben wir Euch weitere Tipps an die Hand, mit denen Ihr auf dem besten Wege seid, die DSGVO pünktlich umzusetzen.

Compliance schaffen

Die Umsetzung der Datenschutz-Grundverordnung setzt voraus, dass sich sämtliche Mitarbeiter im Unternehmen – insbesondere aber Entscheidungsträger und IT-Verantwortliche – in die Thematik Datenschutz einarbeiten. Datenschutzverstöße werden mit existenzvernichtenden Bußgeldern belegt. Deshalb sollte Compliance im Unternehmen geschaffen werden.

Es gilt sicherzustellen, dass ausschließlich notwendige Daten erhoben, gespeichert und weiterverarbeitet werden. Kompetenzen dürfen im Unternehmen nicht überschritten werden – nur wer für die Bearbeitung der Daten zuständig ist, darf auch mit ihnen umgehen. Eine Datenspeicherung auf Vorrat darf nicht mehr stattfinden.

Unternehmen, die online unterwegs sind, müssen ihre Website datenschutzfreundlich gestalten. Dazu gehört auch, dass Ihr auf vorangehakte Checkboxen oder ähnliches verzichtet. Euer Web-Team, aber auch Euer Social-Media-Team muss sich bewusst über die anstehenden Datenschutz-Änderungen sein und interne Regelungen konsequent umsetzen.

Datenschutz-Informationen aktualisieren

Nahezu jedes Unternehmen hat bereits jetzt auf seiner Website eine sogenannte Datenschutzerklärung. Eine solche Datenschutzerklärung wird jedoch mit der DSGVO neu aufgesetzt werden müssen: die meisten Erklärungen werden deutlich ausführlicher ausfallen müssen als das derzeit der Fall ist. So müsst Ihr künftig etwa auf die Rechte der Websitebesucher hinweisen sowie die Kontaktdaten Eures Datenschutzbeauftragten nennen.

In unserem Blogbeitrag „Betroffenenrechte und Datenschutzerklärung nach DSGVO“ geben wir bereits Auskunft, was Ihre neue Datenschutzerklärung beinhalten muss.

Neue Betroffenenrechte wahren

Im selben Blogbeitrag werden auch die neuen Betroffenenrechte vorgestellt, allen voran das „Recht auf Vergessenwerden“ oder das Recht auf Datenübertragbarkeit. Betroffene, also Verbraucher, deren Daten verarbeitet werden, sollen mit der DSGVO besonders geschützt werden. Es ist anzunehmen, dass viele Betroffene ihre neuen Rechte auch nutzen werden.

Deshalb ist es unumgänglich, dass Ihr und Eure Mitarbeiter auf diese neuen Rechte vorbereitet seid. Schafft Euch idealerweise schon jetzt die Voraussetzungen, Betroffenenrechte in Euren Workflow einzuarbeiten. So sollte es beispielsweise softwareseitig möglich sein, das Recht auf Datenübertragbarkeit zügig und umfassend geltend machen zu können. Alle Informationen über einen Betroffenen sollten übersichtlich gespeichert sein, um sie ohne großen Aufwand übertragbar zu machen.

Prüft Eure Unternehmensabläufe, damit sichergestellt ist, dass Ihr auf Anfragen zügig und formgerecht Auskunft geben könnt.

Externe Daten

Daten werden in der Cloud gespeichert, E-Mail-Kontaktdaten beim Mailing-Dienstleister hinterlegt, das Callcenter verfügt über unternehmensinterne Daten und so weiter: Zahlreiche Unternehmen verwalten ihre Daten nicht komplett allein, sondern binden externe Dienstleister ein. Man spricht von sogenannten Auftragsverarbeitungsverträgen. Diese müssen von Euch überprüft und gegebenenfalls aktualisiert werden.

Im ersten Schritt prüft Ihr, welche Daten überhaupt extern lagern und wer außer Euch Daten verwaltet. Sind die existierenden Verträge DSGVO-konform? Fehlen noch weitere Regelungen? Achtet insbesondere auf Cloud-Daten. Vielfach werden Cloud-Anbieter gewählt, die außerhalb der EU sitzen und deshalb nicht mit der DSGVO in Berührung kommen. Ihr jedoch müsst sicherstellen, dass die ausgelagerten Daten nach EU-Recht gespeichert und weiterverarbeitet werden.

Fehlende Einwilligungen einholen

Mit dem Start der DSGVO am 25.05.2018 benötigt Ihr für jede Datenverarbeitung eine Einwilligung. Das schließt das Erheben, Speichern und Nutzen von persönlichen Daten ein. Gemäß DSGVO dürfen Daten nur verarbeitet werden, wenn …

  • … der Betroffene eingewilligt hat,
  • … die Datenverarbeitung zur Vertragserfüllung erforderlich ist,
  • … die Datenverarbeitung zum Erfüllen von rechtlichen Verpflichtungen notwendig ist (z. B. Aufbewahrungsfristen),
  • … die Datenverarbeitung notwendig ist, um die Interessen des Betroffenen zu schützen,
  • … die Datenverarbeitung für die Erledigung einer Aufgabe notwendig ist, bei der öffentliches Interesse besteht oder die in Ausübung öffentlicher Gewalt geschieht,
  • … die Datenverarbeitung zum Wahren berechtigter Interessen notwendig ist. Werbung ist ein Beispiel dafür, denn es liegt ein berechtigtes Interesse eines Unternehmens vor, Waren und Dienstleistungen zu verkaufen.

Überprüft intern unbedingt, wofür Ihr jetzt noch Einwilligungen benötigt und holt diese ein. Denkt auch an Cookies und Newsletter. Auch hier lohnt sich eine softwareseitige Vorbereitung, aus der schnell ersichtlich ist, welcher Betroffene welche Einwilligungen oder Widersprüche eingereicht hat.

Datenschutzbeauftragten bestimmen

Einige Unternehmen sind laut DSGVO verpflichtet, einen Datenschutzbeauftragten zu benennen. Auch wenn Eure Organisation dazu nicht verpflichtet sein sollte, lohnt es sich, einen Verantwortlichen für den Datenschutz zu benennen. Legt jemanden fest, der auf Datenschutz spezialisiert ist, der Verantwortung für das Einhalten der Datenschutzbestimmungen übernimmt.

Datenschutzverstöße melden

Die DSGVO reagiert auf Datenschutzverstöße mit horrenden, existenzvernichtenden Bußgeldern. Stellt sicher, dass Eure Organisation über ein Verfahren verfügt, um Verstöße zügig aufdecken, melden und untersuchen zu können.

Im Falle eines Datenschutzverstoßes ist der Verantwortliche für den Datenschutz angehalten, unverzüglich, jedoch spätestens 72 Stunden nach Bekanntwerden Meldung an die zuständige Aufsichtsbehörde zu machen. Führt der Datenschutzverstoß nicht zu einem Risiko des Betroffenen, braucht keine Meldung zu erfolgen.

Zertifizierungen prüfen

Möchtet Ihr ideal auf die DSGVO vorbereitet sein und ihre Regelungen souverän umsetzen, ist vielleicht auch eine Zertifizierung interessant für Euch. Während für große Unternehmen die ISO 27001 ideal ist, kommt für KMU beispielsweise die ISIS12-Zertifizierung infrage.

Im Rahmen einer Zertifizierung wird Eure gesamte Organisation auf Datenschutz getrimmt. Zertifizierungen können sich bei Verstößen bußgeldmindernd auswirken, jedoch kommt es aufgrund der neuen Strukturierung kaum mehr zu Datenschutzverstößen. Weitere Informationen zu ISIS12 findet Ihr hier; Details zur ISO 27001-Zertifizierung könnt Ihr hier einsehen.

PSW GROUP – mit Sicherheit Ihr Partner

Die Zeit rennt: Es sind nur noch wenige Monate, bis die EU-Datenschutz-Grundverordnung umgesetzt sein muss. Laut einer aktuellen Bitkom-Studie holt sich jeder Zweite Unterstützung beim Umsetzen der DSGVO. Möchtet auch Ihr beratende und praktische Hilfe, sprecht uns gerne an!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert