In den letzten Wochen wurde bereits viel über die Hintergründe, der zum 25. Mai 2018 in Kraft tretenden DSGVO (Datenschutzgrundverordnung, GDPR) geschrieben. Von daher verzichte ich an dieser Stelle auf die Hintergründe, die möglichen Strafen etc., sondern konzentriere mich in diesem Beitrag auf konkrete Handlungshinweise.
6 Tipps zur Umsetzung der DS-GVO
- Bestandsaufnahme
Prüfen Sie, welche Personen und Systeme personenbezogene Daten verarbeiten sowie wo, wie lange und auf welcher Rechtsgrundlage (Zweckbindung) Daten gespeichert werden. Klären Sie zudem, ob die genutzten Softwareprogramme (auch ihre SaaS-Lösungen) und Dienstleister (Auftragsverarbeitungsverträge, inkl. deren Subunternehmer) ebenfalls nach der DSGVO arbeiten. Beachten Sie, dass die neue Verordnung alle Abteilungen des Unternehmens, vor allem aber Marketing, Vertrieb, Einkauf und Personalabteilung, betrifft. Überlegen Sie, ob Sie den Umfang der Datenspeicherung reduzieren können (Datenminimierung) und welche technischen und organisatorischen Maßnahmen (TOM) bereits vorhanden sind, um die Integrität und Vertraulichkeit der gespeicherten Daten sicherzustellen. Besondere Regeln existieren, wenn Sie Daten Minderjähriger (unter 16) oder besonders sensible Daten speichern. Interessanterweise wird die Nutzung von Machine Learning-Tools für die automatisierte Entscheidungsfindung (Bewerbermanagement, Bonitätsprüfung) gesondert hervorgehoben. Wenn Sie solche Tools einsetzen besteht zusätzlicher Handlungsbedarf. - Daten schützen
Wenn Ihr Unternehmen mehr als zehn Mitarbeiter hat, benötigen Sie einen Datenschutzbeauftragten. Passen Sie die Datenschutzerklärung Ihrer Webseite an. Stellen Sie sicher, dass alle „Betroffenen“ (inkl. Mitarbeiter) über die Datenspeicherung informiert sind und aktiv eingewilligt haben (freiwillig, ohne Kopplung an Nachteile, mit der Möglichkeit zum Widerruf). Setzen Sie ein Double-Opt-In-Verfahren um, wenn Ihr Unternehmen z. B. einen Newsletter anbietet. - Dokumentieren
Die Hauptarbeit besteht in der schriftlichen Dokumentation aller oben gewonnenen Erkenntnisse und der Erstellung eines Verfahrensverzeichnis‘ sowie einer Datenschutz-Folgeabschätzung (gilt für Unternehmen mit mehr als 250 Mitarbeitern, die nicht nur gelegentlich personenbezogene Daten verarbeiten).In dieser Dokumentation werden unternehmensweit alle Prozesse, Systeme, Personen, Sicherungsmaßnahmen, Dienstleister etc. sowie Rechtsgrundlagen der Verarbeitung einzeln schriftlich festgehalten. Anschließend ist ein Verzeichnis aller technischen und organisatorischen Maßnahmen (z. B. Zugriffskontrolle, Notfallkonzepte) zum Schutz der Daten zu erstellen. Bei der Datenschutz-Folgeabschätzung sind alle Risiken durch die elektronische Speicherung von Daten zu betrachten – hier sei ein Beispiel genannt: Ein Vertriebsmitarbeiter verliert am Flughafen einen USB-Stick oder sein Mobiletelefon. Was das bedeutet, sehen wir weiter unten. - Informationsrecht und Meldepflichten organisieren
Grundsätze der DS-GVO bedeuten auch Änderungen an den internen Prozessen. So haben Personen, deren Daten gespeichert werden, verschiedene neue Rechte: Das Recht auf Einsicht, auf Änderung, auf Löschung und auf Übertragbarkeit. Stellen Sie sicher, dass Sie diese Rechte innerhalb von 4 Wochen umsetzen können, inkl. dem Export der gespeicherten Daten in einem elektronischen Format. Bei dem Recht auf Datenlöschung ist ebenfalls sicherzustellen, dass konkurrierende Aufbewahrungspflichten (nach HGB, UstG, GoBD) eingehalten werden. Des Weiteren sind alle Teilprozesse zu betrachten und die Speicherung von Daten in allen Systemen zu bedenken (Beispiel: Das Bewerbermanagement wird in einem SaaS-Angebot abgewickelt. Bei Rückfragen durch den Bewerber werden die E-Mails aber ggf. im E-Mailprogramm des Sachbearbeiters in der Personalabteilung gespeichert). Kommen wir zu dem o. a. Fall des Verlusts eines Mobiltelefons oder USB-Sticks zurück: Hierbei handelt es sich eine meldepflichtige Datenschutzpanne, die Ihr Unternehmen innerhalb von 72 Stunden an die zuständige Behörde melden muss. So ein Prozess muss bei den Mitarbeitern, aber auch im Unternehmen implementiert und gelebt werden. - Auditprozesse umsetzen
Die o. a. Umsetzung der Prozesse sowie das Verfahrensverzeichnis müssen regelmäßig überprüft und ggf. angepasst werden. - Anfangen
Es ist davon auszugehen, dass ab dem 26.5.2018 Abmahnwellen durchgeführt werden. Fangen Sie jetzt an. Sie haben noch keine Maßnahmen zur Umsetzung unternommen oder benötigen Unterstützung? Kontaktieren Sie mich und nutzen Sie mein Beratungspaket zur Umsetzung der Datenschutzgrundverordnung. Innerhalb von einem Tag schaffen wir eine Grundlage, die Sie selbst weiter entwickeln können. So ist auch Ihr Unternehmen perfekt vorbereitet und kann den Aufsichtsbehörden die ersten Dokumente vorweisen.
#DSGVO #GDPR #Mittelstand #Prozesse #Compliance