100 Tage nach DSGVO: Können Sie jetzt wirklich durchatmen?

2. September 2018

Zahlreiche Wochen nach dem Inkrafttreten der DSGVO ist es in den Medien und auch in viele Unternehmen eher wieder ruhig um das Thema der „Datenschutzverordnung“ geworden. Viel Zeit und Geld wurde in die Erstellung des Verzeichnisses der Verfahrenstätigkeiten, der Durchführung Risikofolgenabschätzung und der damit verbundenen Datenerhebung investiert. Doch von Durchatmen darf auch jetzt noch keine Rede sein. Haben Sie Ihre Hausaufgaben gemacht?

So manche Organisationen führen das verpflichtende Verzeichnis von Verfahrenstätigkeiten in Excel, in dem aufrichtigen Glauben, dass ihre DSGVO-Pflicht damit getan ist. Doch wer prüft die Einhaltung der Pflichten? Wer garantiert deren korrekte Wartung? Wer zeichnet sich für die zukünftige DSGVO-Konformität verantwortlich? Welcher Kollege kümmert sich um die Prozesse zu den Betroffenenrechten? Unzureichende Antworten auf diese Fragen können für Unternehmen trotz bestem Gewissen zu einem großen Datenschutz-Stolperstein avancieren. Eine zusätzliche Bedrohung im DSGVO-Alltag stellt das Entstehen von weiteren Datensilos, die zudem das Ausnutzen des vollen Potentials der Datenanalyse stark einschränken, dar.

10 Punkte für kontinuierliche DSGVO-Konformität

Nehmen Sie sich die Zeit und lesen Sie die nachfolgende Checkliste aufmerksam durch. Sie gibt Ihnen einen Überblick über das nun alltägliche Datenschutz-Prozedere und kann Ihrem Unternehmen den täglichen Umgang mit der DSGVO erleichtern, wenn Sie die Punkte wirklich berücksichtigen.

1) Arbeiten Sie mit einer strukturierten Datenbank.

Zu viele Daten befinden sich nach wie vor in unstrukturierten elektronischen Informationen wie E-Mails, SMS, WhatsApp oder auch Fotos. Optimal ist der Einsatz einer strukturierten Datenbank, in der Unternehmen die exponentiell steigende Datenmenge auch zukünftig im Griff behalten.

2) Nutzen Sie DSGVO-konforme Einwilligungen für die Verwendung personenbezogener Daten.

Eine Datenverarbeitung ist nur dann zulässig, wenn eine DSGVO-konforme Einwilligung vorliegt. Die Anforderungen an diese Einwilligungen wurden verschärft: unter anderem beträgt das Mindestalter 16 Jahre.

3) Beachten Sie Ausmaß und Notwendigkeit der Daten.

Jedes „zu viel“ an personenbezogenen Daten stellt ein Risiko für Unternehmen dar. Es dürfen voreingestellt nur die Daten verarbeitet werden, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszwecks auch wirklich erforderlich sind.

4) Berücksichtigen Sie den Datenschutz schon bei der Konzipierung und Entwicklung von Software und Hardware.

Alle Projekte, bei denen Unternehmen personenbezogene Daten verarbeiten, müssen nach dem Prinzip „Privacy by Design“ entwickelt werden. Unternehmen können bestehende Systeme entweder nachrüsten oder durch neue DSGVO-taugliche ersetzen.

5) Beziehen Sie alle Mitarbeiter in den Datenschutz mit ein.

Generell gilt, dass Datenschutz nie nur Aufgabe einer einzelnen Person sein kann, sondern im Berufsalltag von jedem Mitarbeiter gelebt werden muss. Schulen Sie daher regelmäßig Ihre Mitarbeiterinnen und Mitarbeiter.

6) Verlassen Sie sich nicht auf die ISO/IEC 27001 Zertifizierung.

Die ISO/IEC 27001 Zertifizierung reicht als Nachweis eines angemessenen Schutzes gegen unbefugte Zugriffe auf personenbezogene Daten alleine nicht aus. Unternehmen müssen stattdessen prüfen, ob diese Zertifizierung erweitert wurde, zum Beispiel durch Anpassung der Risikobeurteilungsmethode an die Rechte und Freiheiten nach DSGVO.

7) Bewerten Sie Risiken und Folgen für Betroffene immer im Voraus.

Unternehmen müssen eine Datenschutz-Folgenabschätzung dann durchführen, wenn neue Technologien eingesetzt werden und die Verarbeitung dazu führt, dass für die Rechte und Freiheiten von Einzelpersonen ein hohes Risiko besteht.

8) Bei einer Datenschutzverletzung: seien Sie schnell!

Die EU-DSGVO beinhaltet eine klare Vorgabe bei Datenschutzverletzungen: wird dem Unternehmen ein Vorfall bekannt, muss unverzüglich und in der Regel binnen 72 Stunden nach Bekanntwerden bei der zuständigen Aufsichtsbehörde eine Meldung gemacht werden.

9) Treffen Sie die Wahl des Verzeichnisses von Verarbeitungstätigkeiten gewissenhaft.

Unternehmen benötigen ein flexibles und sicheres Verzeichnis, das sämtliche Verarbeitungsvorgänge im Umgang mit personenbezogenen Daten dokumentiert. Excel kann hier als kurzfristige Notlösung dienen, für den langfristigen Gebrauch empfehlen sich allerdings professionelle DSGVO-Managementsysteme, in denen datenschutzkonform gearbeitet werden kann.

10) Schaffen Sie ideale technische Voraussetzungen für das Management der Betroffenenrechten.

Sollten Personen ihr „Recht auf Vergessenwerden“ in Anspruch nehmen, so reichen in der Regel die gängigen Löschfunktionen von Betriebssystemen und Datenbanken nicht aus, um die Anforderungen der EU-DSGVO zu erfüllen, da die Daten nicht tatsächlich physisch gelöscht werden. Datenschutz-Experten empfehlen hierfür eine eigene Software.
 

Und jetzt?

Wenn Sie die Checkliste aufmerksam gelesen haben, wird Ihnen eines schnell klar geworden sein: bei all den Grundprinzipien und Konzepten, die es einzuhalten gilt, bieten professionelle DSGVO-Konformitäts-Managementsysteme für Unternehmen bei der Einhaltung der Auflagen einen echten Mehrwert. Vor allem, wenn sie wichtige Elemente, wie etwa das Verzeichnis von Verfahrenstätigkeiten standardmäßig verwalten sowie die Prozesse zu den Betroffenenrechten oder Meldungen an die Behörden automatisieren.
 

Jetzt Fabasoft EU-DSGVO Toolbox kostenlos testen