Artikelbild Zum Blogbeitrag EU-DSGVO 2018

EU-DSGVO, die neue Datenschutz-Grundverordnung kommt! So können Sie sich optimal vorbereiten.

Die EU-DSGVO, die neue Datenschutz-Grundverordnung kommt, Nein, eigentlich ist sie schon da. Die Verordnung wurde bereits im Mai 2016 verabschiedet, entfaltet aber erstmals im Mai 2018 ihre volle Wirkung. Das heißt konkret, ab dem 25. Mai 2018 wird jedes Unternehmen, welches personenbezogene Daten von EU-Bürgern verarbeitet, verpflichtet sein, die Bestimmungen der Datenschutz-Grundverordnung (DSGVO) zu erfüllen. Bis dahin haben Unternehmen Gelegenheit, die umfangreichen, neuen Pflichten umzusetzen.

Mit der neuen Verordnung werden wesentliche neue Verpflichtungen für Unternehmen eingeführt, die personenbezogene Daten verarbeiten. Es kann sich dabei um Personaldaten oder Kundendaten in einem CRM System handeln. Für Regelverstöße sind strenge Sanktionen vorgesehen, darunter Bußgelder von bis zu vier Prozent des weltweiten Umsatzes oder 20 Millionen Euro, je nachdem, welche Zahl höher ist.

Welche wesentlichen Änderungen bringt die neue Datenschutz-Grundverordnung?

  • Erfassung und Analyse sämtlicher Datenverarbeitungsprozesse im Unternehmen mit Bezug auf personenbezogene Daten
  • Überarbeitung sämtlicher Einwilligungserklärungen im Erfassungsprozess von personenbezogenen Daten
  • Dokumentierung der notwendigen Interessenabwägung bei Datenverarbeitung ohne vorhandene Einwilligung
  • Durchführung einer Folgenabschätzung ggf. unter Einbindung der Aufsichtsbehörde bei Prozessen mit Risiko für die Betroffenen
  • Neuverhandlung der ADV-Vereinbarungen (Auftragsdatenverarbeitung) mit IT-Dienstleistern
  • Schaffung von Vertragsgrundlagen für den Datenzugriff aus dem EU-Ausland
  • Erhöhung der Maßnahmen zur IT-Sicherheit gemäß Anforderungen des neuen Art. 32, insb. Durchführung von Zertifizierungen
  • Erstellung eines Verarbeitungsverzeichnisses
  • Einbindung von Privacy by Design und Privacy by Default in Entwicklungsprozesse
  • Transformation der Datenformate zur Erfüllung des neuen Rechts auf Datenübertragbarkeit
  • Implementierung von Meldeverfahren an Aufsichtsbehörden bei Datenpannen (72-Stunden-Frist)

Alle wesentlichen Änderungen auch nochmal in unserem YouTube Video aus dem Juni 2017

Durch diese Übersicht wird schnell klar, jedes Unternehmen, welches personenbezogene Daten von EU-Bürgern verarbeitet, benötigt eine individuelle Strategie, die unter anderem von Faktoren wie der Unternehmensgröße, der Art und Menge der verarbeiteten Daten sowie seinen derzeitigen Sicherheits- und Datenschutzmaßnahmen abhängt. Unternehmen wird ausdrücklich empfohlen, sich juristisch beraten zu lassen, um die eigene Bedürfnislage zu analysieren. Darüber hinaus gibt es aber auch Anforderungen, die alle Unternehmen – auch die kleinsten – betreffen.

Erster Schritt: Bringen Sie Transparenz in Ihre Daten!

Der erste wesentliche Schritt auf dem Weg zur DSGVO-Compliance ist, sich einen Überblick zu verschaffen, wie personenbezogene Daten in Ihrem Unternehmen gespeichert, verarbeitet, geteilt und genutzt werden. Eine gründliche Prüfung setzt voraus, dass Sie Ihre aktuelle Vorgehensweise mit den Anforderungen der neuen Verordnung vergleichen und überlegen, was Sie verändern müssen, um die Vorgaben auf eine Weise zu erfüllen, die den Bedürfnissen Ihrer Organisation entspricht. Denken Sie daran, dass die Erfüllung der Verpflichtungen laut DSGVO nicht nur die Richtlinien und Maßnahmen Ihres eigenen Unternehmens einbezieht, sondern auch die jeglicher Anbieter, die in Ihrem Namen personenbezogene Daten verarbeiten.

Zweiter Schritt: Die Verantwortlichkeiten für den Datenschutz in Ihrem Unternehmen regeln

Jedes Unternehmen, größenunabhängig, wird ab dem 25. Mai 2018 verpflichtet sein, Verfahren für Datenschutz-Compliance einzuführen. Möglicherweise müssen Sie Ihre Datenschutzrichtlinien verschärfen und Ihre Mitarbeiter schulen. Nicht alle Unternehmen werden einen Datenschutzbeauftragten ernennen müssen. Notwendig sind solche Beauftragte in der Regel für Unternehmen, die in zwei Feldern tätig sind: der großflächigen Verarbeitung spezieller Datenkategorien oder der großflächigen Beobachtung persönlicher Daten, beispielsweise in der verhaltensbasierten Zielgruppenwerbung. Prüfen Sie also frühzeitig, ob Sie einen internen oder externen Datenschutzbeauftragten benötigen und legen Sie die Verantwortlichkeiten fest.

Dritter Schritt: Die rechtliche Basis für die Datenverarbeitung prüfen

Anhand der Übersicht über Ihre unterschiedlichen personenbezogenen Daten aus Schritt Eins, sollten Sie prüfen, welche Rechtsgrundlagen aktuell für die Verarbeitung der verschiedenen Arten von persönlichen Daten gelten. Wenn Sie Zustimmung als Grundlage für die Datenverarbeitung nutzen, müssen Sie überlegen, wie Sie diese Zustimmung einholen, und in der Lage sein, klar zu zeigen, wie und wann diese Zustimmung erteilt wurde. Lag bisher keine Zustimmung für die Verarbeitung der jeweiligen personenbezogenen Daten vor (zum Beispiel bei der Erfassung persönlicher Kundendaten im CRM-System), so ist diese rückwirkend einzuholen.

Vierter Schritt: Rechte des betroffenen Personenkreises prüfen

Laut EU-DSGVO genießt jede Person, deren Daten Sie verarbeiten, einen erweiterten Rechtsschutz dahingehend, auf die eigenen persönlichen Daten zuzugreifen, diese korrigieren, löschen oder elektronisch übertragen zu lassen. Kann Ihr Unternehmen Kundendaten schnell und einfach finden, löschen und bewegen? Verfügen Sie über die Kapazitäten, um schnell auf Anfragen zu personenbezogenen Daten zu reagieren? Hat Ihr Unternehmen und Dritte, mit denen Sie zusammenarbeiten, Aufzeichnungen darüber, wo sich Daten befinden, wie sie verarbeitet werden und wo sie geteilt wurden? Auch hier hilft die Liste aus Schritt Eins, um diese Fragen zu beantworten.

Fünfter Schritt: Denken Sie an Ihre Lieferanten und Drittanbieter

Die EU-DSGVO erfordert eine umfassende Betrachtung Ihrer Datensicherheit, einschließlich der Anbieter, die in Ihrem Namen personenbezogene Daten verarbeiten. Der Einsatz eines Drittanbieters für die Datenverarbeitung befreit ein Unternehmen nicht von seinen Pflichten gemäß der EU-DSGVO. Prüfen Sie, ob Ihre Datenverarbeitungsanbieter internationale Datenschutzstandards erfüllen, Erfahrung im Datensicherheitsmanagement in großem Umfang haben und über Tools verfügen, die Ihre Rechtssicherheit verbessern und Verletzungsrisiken verringern. Überprüfen Sie bestehende Verträge und aktualisieren Sie ADV-Vereinbarungen mit Ihren Drittanbietern.

Sechster Schritt: Kommunizieren Sie wichtige Informationen intern wie extern

Laut EU-DSGVO sind Sie verpflichtet, Personen, die rechtlichen Grundlagen für die Verarbeitung ihrer Daten mitzuteilen und sicherzustellen, dass Ansprechpartner und Behörden im Falle eines auftretenden Problemfalls bekannt sind. Stellen Sie also sicher, dass Ihre Online-Datenschutzerklärungen auf Ihrer Webseite sowie Ihre AGBs auf dem neuesten Stand sind.

Darüber hinaus sollten Sie alle Ihre Mitarbeiter über die neuen Rahmenbedingungen der EU-DSGVO informieren und Sie entsprechend aufklären. Schulen Sie Ihre Mitarbeiter auf die neuen Verfahren zur Datenverarbeitung in Ihrem Unternehmen, sensibilisieren und verpflichten Sie Ihre Mitarbeiter.

Siebter Schritt: Erstellen Sie einen Notfallplan für eventuelle Datenschutzverletzungen

Ihr Unternehmen muss über geeignete Richtlinien und Prozesse für den Fall von Datenschutzverletzungen verfügen. Stellen Sie dabei den Informationsfluss sicher: Welche Behörden sind die Ansprechpartner für Datenpannen, welche formalen Voraussetzungen, z. B. Fristen, müssen erfüllt werden. Informieren Sie Ihr Management über diese Richtlinien und Prozessabläufe. Das Versäumnis, eine Datenpanne ordnungsgemäß zu melden, könnte das Risiko einer hohen Geldbuße nach sich ziehen.

Wie fängt man an?

Alle diese Schritte durchzuführen – das klingt nach viel Arbeit. Das ist es auch, aber die Zeit drängt! Fangen Sie noch heute damit an! Folgende erste Maßnahmen sind aus unserer Sicht empfehlenswert:

  1. Aufsetzung eines Projektteams
  2. Ermittlung der Projektziele anhand der Vorgaben der EU-DSGVO
  3. Planen der organisatorischen und personellen Maßnahmen
  4. Aufsetzen eines Budgetplans
  5. Erfassung der relevanten Datenverarbeitungsprozesse (Status Quo)
  6. Schwachstellenanalyse
  7. Hierauf aufbauend: Risikoanalyse
  8. Ausführung der notwendigen Umsetzungsmaßnahmen

Wie kann CYBERDYNE IT Sie bei der Umsetzung unterstützen?

Wenn Sie selbst keine Kapazitäten für die Umsetzung der Maßnahmen haben oder gerne einen Experten zur Hilfe hinzuziehen möchten, unterstützen wir Sie natürlich gerne. Unsere Datenschutzspezialisten nehmen zunächst den aktuellen, datenschutzrechtlichen Status in Ihrem Unternehmen auf und gleichen diesen dann mit den neuen Anforderungen der Verordnung ab. Sie erhalten einen Leitfaden mit empfohlenen umzusetzenden Maßnahmen im Unternehmen, der mit den verantwortlichen Stellen abgestimmt wird. Mit unserer Unterstützung werden dann die Maßnahmen sukzessive in Ihrem Unternehmen umgesetzt und kontrolliert. Ein solcher Prozess dauert bei kleinen Unternehmen wenige Wochen, bei großen Konzernen mehrere Monate. Ziel ist dabei, mit Inkrafttreten der EU-Datenschutzgrundverordnung am 25. Mai 2018, alle notwendigen Umsetzungsmaßnahmen abgeschlossen zu haben. Starten Sie also am besten JETZT!

Weitere Informationen zur EU-DSGVO, die neue Datenschutzgrundverordnung in unserem YouTube Video

Ralph Friederichs

1994 gründete er die heutige CYBERDYNE IT GmbH und ist seit dem alleiniger Gesellschafter und Geschäftsführer des Unternehmens. Ralph Friederichs ist Experte und Berater für Cloud Computing, Digitalisierung und Managed IT Services. In seiner Freizeit beschäftigt er sich mit Online Marketing und ist mit dem Mountainbike unterwegs.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.