Umsetzung der EU-DSGVO
EU-DSGVO
Das aus Unternehmersicht wohl heißeste Thema des Jahres: DATENSCHUTZ!
Sollte es zumindest sein, denn bis zum 25. Mai 2018 muss jedes Unternehmen ein Datenschutzmanagementsystem aufgebaut haben.
Sinn und Konsequenzen sind mittlerweile bekannt, aber der Weg zur richtigen Umsetzung auch?
Hier unser ‚best practice‘ Umsetzungsleitfaden:
Schritt 1: Ist-Zustand auditieren
Fragen Sie sich:
- Wo in meinem Unternehmen werden überall personenbezogene Daten verarbeitet?
- Wer in meinem Unternehmen ist dafür verantwortlich?
- Und wie werden in meinem Unternehmen diese Daten bisher verarbeitet und dokumentiert?
Bringen Sie Ihre Fachabteilungen und IT-Abteilung zusammen.
Sichten Sie gemeinsam, ob und wo es Schatten-IT in Ihrem Unternehmen gibt.
Hat Ihre Unternehmenskultur zugelassen oder sogar dazu ermuntert, Tools und Geräte (Thema „Bring Your Own Device“) ohne Abstimmung mit der IT-Abteilung zu benutzen? Denn dies gefährdet den Schutz von sensiblen Daten und die gesetzlichen Vorschriften sind somit nicht sichergestellt.
Bedenken Sie: Das Thema Datenschutz ist Chefsache! Lassen Sie sich als Geschäftsleitung deshalb regelmäßig über den Datenschutz-Status unterrichten!
Schritt 2: Prozesse dokumentieren und optimieren
Sie brauchen ein Datenschutz Handbuch!
Oder anders gesagt: ein Organisationshandbuch, das in Ihrem Unternehmen Transparenz schafft, Informationsquelle und Hilfe für Ihre Mitarbeiter ist und als Führungsinstrument und Kontrollgrundlage für Sie als Vorgesetzter dient.
Die kostenfreie Mustervorlage finden Sie hier: https://datenschutzzentrum.de/dsgvo/
Überarbeiten Sie Ihre Auftragsdatenverarbeitung (ADV)-Erklärungen!
Denn Ihre ‚Datenverarbeitung im Auftrag‘ sollte auf dem aktuellsten Stand sein, um datenschutzrechtlich sicher zu sein. Löschen Sie also jegliche personenbezogenen Daten, die nicht zweckgebunden sind und für welche es keine Vereinbarung gibt. Sorgen Sie für aktuelle Daten und im Besonderen: Daten-Sparsamkeit!
Zur Erinnerung: Das Thema Datenschutz ist Chefsache! Lassen Sie sich als Geschäftsleitung deshalb regelmäßig über den Datenschutz-Status unterrichten!
Schritt 3: Risiken analysieren
Führen Sie eine Datenschutz-Folgeabschätzung durch!
Denn überall, wo sensible personenbezogene Daten verarbeitet werden, bedingt dies besondere Sorgfalt (als sehr sensibel gelten zum Beispiel Gesundheitsdaten!) und es müssen entsprechende Voraussetzungen geschaffen werden, diese zu schützen.
Das bedeutet, dass Sie das mögliche Schadensausmaß festlegen und die Eintrittswahrscheinlichkeiten analysieren müssen. Ergreifen Sie entsprechende Maßnahmen zur Reduzierung/Vermeidung. Sorgen Sie dafür, dass Ihre IT-Sicherheit auf dem Stand der Technik ist und somit keine veralteten Systeme in Betrieb sind.
Und noch mal: Das Thema Datenschutz ist Chefsache! Lassen Sie sich als Geschäftsleitung deshalb regelmäßig über den Datenschutz-Status unterrichten!
Schritt 4: Meldesystem aufbauen
Schulen Sie Ihre Mitarbeiter für den Fall einer ‚Datenpanne‘, damit sichergestellt ist, dass diese dem Datenschutzbeauftragten gemeldet wird!
Falls in Ihrem Unternehmen noch kein Datenschutzbeauftragter benannt ist, sollten Sie dies in die Wege leiten.
Denken Sie auch daran: Eingetretene Daten-Verstöße müssen innerhalb von 72 Stunden an den Landesdatenschutzbeauftragten gemeldet werden (der unternehmenseigene Datenschutzbeauftragte wird dort hinterlegt).
Die Gesetzgebung sorgt mit den Betroffenenrechten dafür, dass jeder Bürger Einsicht in seine Daten einfordern kann. In der Praxis bedeutet dies, dass also jeder seine Daten anfragen kann und Sie unverzüglich Auskunft darüber geben müssen. Allerdings können Sie (sollten Sie auch!) verlangen, dass die anfragende Person sich zuvor als die ausgegebene Person verifiziert.
Ist dem so, dann muss von Ihrem Unternehmen eine Auskunft darüber erteilt werden, welche (maschinenlesbare Form) auf diese Person bezogenen Daten im Unternehmen verarbeitet werden. Auf Verlangen müssen diese gelöscht werden.
Ach übrigens: Das Thema Datenschutz ist Chefsache! Lassen Sie sich als Geschäftsleitung deshalb regelmäßig über den Datenschutz-Status unterrichten!
Schritt 5: Keine Angriffsfläche bieten
- Wenn die internen Vorkehrungen umgesetzt sind, machen Sie sich auch nach außen ‚schick‚!
- Checken Sie Ihre Webseite:
- Aktualisieren Sie Ihre Datenschutzerklärung!
- Überprüfen Sie auch alles Geschriebene, was von Anwälten zu bemängeln sein könnte!
- Denn die Abmahnwelle wird kommen!
Und zu guter Letzt: Das Thema Datenschutz ist Chefsache! Lassen Sie sich als Geschäftsleitung deshalb regelmäßig über den Datenschutz-Status unterrichten!