Was müssen Sie tun?
Datenschutz
Ob 5 Mitarbeiter oder 5.000 - jedes Unternehmen ist zur Einhaltung der DSGVO verpflichtet. Der Datenschutz fordert von Ihnen die Umsetzung vieler Maßnahmen, läßt Ihnen aber auch viel Spielraum. Vor allem Kenntis der Art der verarbeiteten Daten im Unternehmen, die Beurteilung der Prozesse und die Einschätzung des damit verbundenen Risikos bestimmen, wie die Vorgaben zu erfüllen sind. Wissen Sie bereits, was zu tun ist? Hier finden Sie eine Auswahl der grundlegenden Aufgaben, die Ihr Unternehmen erfüllen muss.
Datenschutz ist Chefsache - kennen Sie Ihr Risiko
Mit dem Inkrafttreten der neuen Datenschutzgrundverordnung werden Geschäftsführer und Inhaber als sog. Verantwortliche bei der Umsetzung der DSGVO direkt in die Pflicht genommen. Vor allem persönliche Haftung und ein hohes Strafmaß machen es notwendig, diese Verantwortung ernst zu nehmen. Sich nicht um den Datenschutz zu kümmern, ist kein Kavaliersdelikt mehr sondern ein schwerwiegender Datenschutzverstoß. Vor allem Datenverarbeitung ohne Erlaubnis oder die unrechtmäßige Weitergabe an Dritte bergen ein hohes Risiko. Denken Sie daran: Das Gesetz verpflichtet Sie dazu, alle getroffenen Maßnahmen auch wirksam nachweisen zu können.
Benötigen Sie einen Datenschutzbeauftragten?
Prüfen Sie, ob das Gesetz Sie zur Benennung eines Datenschutzbeauftragten verpflichtet. Dazu gibt es verschiedene Kriterien, die abhängig von Anzahl der Mitarbeiter, Art der verarbeiteten Daten oder den Risiken der Verarbeitung eine Benennungspflicht beeinflussen. Lassen Sie sich beraten wenn Sie sich nicht sicher sind, die Pflichtverletzung ist ein Datenschutzverstoß und kann mit sehr hohen Geldstrafen geahndet werden.
Sie können übrigens entweder einen geeigneten Mitarbeiter zum Datenschutzbeauftragten ausbilden und regelmäßig schulen lassen oder einen externen Datenschutzbeauftragten beauftragen.
Beachten Sie die Betroffenenrechte
"Betroffene", sind alle Personen, über die Sie Daten speichern oder verarbeiten. Die DSGVO stattet alle Betroffenen mit effektiven und vor allem weitreichenden Rechten aus. Betroffene, aber auch jeder beliebige Dritte, können von Ihnen umfassende und erschöpfende Auskunft darüber verlangen, ob und welche Daten Sie wozu und wie lange speichern und an wen sie weitergegeben werden. Eine Anfrage muss innerhalb eines Monats vollständig und mit einer Kopie der verarbeiteten Daten beantwortet werden.
Schaffen Sie einen sicheren Prozess, der die Anfragen Betroffener erkennt und dafür sorgt, dass sie zuverlässig und richtig beantwortet werden.
Erstellen Sie ein Verzeichnis der Verarbeitungstätigkeiten
Alle Verfahren im Unternehmen, die sich mit der Erfassung und Speicherung personenbezogener Daten befassen, müssen dokumentiert und bewertet werden. Jeder Unternehmer ist grundsätzlich nach Art. 30 EU-DSGVO verpflichtet, ein Verzeichnis über alle Verarbeitungstätigkeiten zu führen um zu dokumentieren, wie personenbezogene Daten verarbeitet werden und welche Risiken dabei entstehen.
Dieses Dokument ist Dreh- und Angelpunkt Ihrer Datenschutz-Dokumentation: Mit ihm lässt sich jederzeit nachvollziehen, welche Daten warum, durch wen, wie lange und auf welcher Rechtsgrundlage verarbeitet werden. Das Verzeichnis muss zwar nicht den betroffenen Personen zugänglich oder offengelegt werden, es dient vielmehr, außer der eigenen Qualitätskontrolle, als Nachweisdokument für die zuständige Aufsichtsbehörde.
Technische und organisatorische Maßnahmen prüfen
Datenschutz ohne IT-Sicherheit ist undenkbar. Daher wird in Art. 32 EU-DSGVO bezüglich des Datenschutzes die Sicherheit der Datenverarbeitung mit den Aspekten der Vertraulichkeit, der Integrität und der Verfügbarkeit in unmittelbare Abhängigkeit gesetzt.
Um diese Aspekte dauerhaft und zuverlässig erfüllen zu können, ist es meist unerlässlich, auf die Betreuung und Beratung fachkundiger Spezialisten zurückzugreifen. Technisch-organisatorische Maßnahmen zur IT-Sicherheit sind nicht nur eine unverbindliche Empfehlung, sondern eine rechtliche Pflicht seitens der Geschäftsführung.
Empfehlenswert ist es, geeignete IT-Sicherheitsrichtlinien zu erstellen, die durch gelebte Praxis ihre Wirkung im Arbeitsalltag entfalten. Sie sind verpflichtend für Mitarbeiter und Auftragnehmer und können wirtschaftliche Schäden in Ihrem Unternehmen verhindern und Risiken minimieren.
Sensibilisieren Sie Ihre Mitarbeiter
Aufgrund der Vielzahl aktueller und neuartiger Bedrohungen in der IT-Sicherheit und im Datenschutz kommt dem Mitarbeiter eine besondere Rolle zu: Er wird zur wesentlichen Schwachstelle in einem ansonsten technisch sicheren System.
Unkenntnis und fahrlässiges Handeln können nicht nur zu Datenschutzverstößen führen. Vor allem die Bedrohung durch Schadsoftware oder "social hacking" gefährden Unternehmen bis hin zum Totalverlust. Angriffe durch Hacker oder Verschlüsselung kompletter Netzwerke hat nichts mehr mit der Größe eines Unternehmens oder etwaigen Betriebsgeheimnissen zu tun. Möglliche Ziele sind mittlerweile alle Unternehmen.
Sensibilisieren Sie Ihre Mitarbeiter in sogenannten "Awareness-Schulungen" für die extremen Gefahren, die falsches Handeln haben kann. Das Risiko eines verheerenden Schadens läßt sich nicht versichern - und die Verantwortung tragen Sie.
Digitale UnterstützungUnser Datenschutz-Portal
Unser eigenes Datenschutzportal unterstützt Sie bei der Durchführung Ihres Datenschutzprojekts. Es ist die Schnittstelle zwischen Ihnen uns uns während der Umsetzung - aber auch darüberhinaus als zentraler Ort für alle nachweispflichtigen Unterlagen.
Über unser einfach zu bedienendes Tool führen wir Audits durch, dokumentieren während der Arbeit bei Ihnen vor Ort alle Prozesse, erfassen Ihre Verarbeitungstätigkeiten oder hinterlegen alle relevanten Dokumente wie Auftragsverarbeitungsverträge, Datenschutzfolgeabschätzungen oder Beurteilungen zu Datenübertragungen in Drittländer.
Checklisten zeigen Ihnen, wie weit wir sind und was noch zu tun ist - Sie behalten den Überblick und wissen immer, wo Ihr Projekt steht.
Ein zentraler Ort für alle Aufgaben im Datenschutz!
