Wie schnell ist mein Unternehmen DSGVO sicher?

Was muss ich tun damit mein Unternehmen DSGVO sicher ist?

Wie schnell die DSGVO in Ihrem Unternehmen oder durch Sie als interner Datenschutzbeauftragter, Freiberufler, Anwalt Arzt oder Einzelunternehmer umgesetzt wird, hängt natürlich von dem wichtigsten Faktor überhaupt ab: IHNEN! Faktoren wie Unternehmensgröße, Anzahl der Mitarbeiter, Anzahl der Abteilungen, Geschäftsart und Anzahl der Standorte, spielen natürlich eine weitere entscheidende Rolle in der Zeitplanung. Um schnell erste Fortschritte zu erzielen, empfehlen wir Ihnen nach dem Zwiebel Prinzip vorzugehen. Sie können bekommen hier eine Möglichkeit wie Sie mit einfachen Mitteln den Datenschutz in Ihrem Unternehmen beginnen können. Wir handeln hier nach dem Prinzip: „Außen vor Innen“: Um möglichst schnell gegenüber Kunden, Behörden und Geschäftspartner DSGVO-Konform auftreten zu können, bietet es sich an, die offensichtlichen Dinge der Außenwahrnehmung, zuerst anzugehen:

1. Schauen Sie als erstes auf ihre Webseite
  • schauen Sie das Ihre Datenschutzerklärung und das Impressum aktuell ist
  • Wichtig ist, dass alle durch Sie verarbeitenden Prozesse abgebildet sind, das können z.B. Kontaktformular, Cookies und Trackingtools sein.
  • Kann der Benutzer der Webseite seine Betroffenenrechte Kapitel 3 DSGVO wahrnehmen?
  • Kann das Impressum von überall auf der Seite erreicht werden oder ist es ggf. durch den Cookie-Disclaimer verdeckt?
2. Mit wem müssen Sie einen AV-Vertrag (AVV) schließen?
  • Welche Verträge haben Sie mit anderen Unternehmen und Kunden? Erstellen Sie sich eine Liste und prüfen Sie mit wem Sie alles ein AVV Vertrag nach Art 28 DSGVO schließen müssen und wo eine Anpassung an den bereits bestehenden Vertrag ausreicht.
3. Wie Kundendaten DSGVO sicher verarbeiten?
  • Holen Sie, wenn notwendig, von ihren Kunden Einwilligungen ein. Wie das genau geht, erfahren Sie hier.
4. Informationspflicht nachkommen
  • sollten sie Beispielsweise in Ihren Räumlichkeiten eine Videoüberwachung installiert haben, müssen Sie zusätzlich zu verschiedenen anderen Tätigkeiten auch, Ihrer Pflicht zur Information nachkommen. Dieser Pflicht, lässt sich durch ein Hinweisschild (Link) und dem sichtbaren Anbringen in dem zu überwachenden Bereich nachkommen.
5. Verarbeitungsverzeichnis anlegen
  • Prüfen Sie welche Daten bei Ihnen durch welche Verarbeitungstätigkeit anfallen.
  • Wo und wann erhebe oder verarbeite ich personenbezogene Daten von Kunden, Mitarbeitern, Dienstleistern, Behörden?
  • Erstellen Sie ein Verarbeitungsverzeichnis, hier bietet es sich an ein Datenschutzmanagementsysteme oder bereits fertig erstelle Mustervorlagen zu nutzen und dann anzupassen. Alle Prozesse können meist damit nicht abgebildet werden. In diesem Fall, sollte ein Datenschutzbeauftragter zu Rate gezogen werden. Insbesondere wenn selbst schon viel in Eigenleistung erstellt wurde, können Kosten eingespart werden.
  • Zusatz für Projekterfahrene: wer hier gleich seine Prozesse ganzheitlich analysiert, bekommt vielleicht die Möglichkeit seine Prozesse auch auf Optimierungspotenzial zu prüfen und zu verbessern.
6. Technisch organisatorische Maßnahmen (TOM) bestimmen
  • Die Umsetzung der TOM´s ist meist eines der umfangreichen Unterfangen, die es gilt auf dem Weg zur Datenschutzkonformität zu erreichen. Hier versschmilzt schnell der Datenschutz und die Datensicherheit. An dieser stelle sollten sie Ihre IT-Abteilung mit ins Boot holen. Sollten Sie keinen Dienstleister oder eine eigene IT-Abteilung haben, bietet es sich an, sich auf den Seiten des BSI(Link) zu dem Thema BSI Grundschutz zu informieren. Die Grundlegende Frage lautet hier: „Durch welche Tätigkeiten sichere ich meine Daten ab und reicht das aus?“ Erstellen Sie sich also eine Risikoanalyse (dabei ist keine Datenschutzfolgeabschätzung(link) gemeint. Mit der Risikoanalyse stellen Sie schnell fest, was Sie tun müssen um Ihre Daten und die Ihrer Kunden ausreichend zu schützen.
  • Ein Teil der technischen organisatorischen Maßnahmen, die es gilt umzusetzen ergeben sich aus den genutzten IT-Systemen; wie Hardware, Software.
  • Auch der Standort an dem Sie Ihre Daten aufbewahren wird in die Analyse miteinbezogen.
  • Schauen Sie, wer, wann zu welcher Zeit Zugriff auf die Daten erhalten kann.
  • Sind die Aspekte der Vertraulichkeit, Verfügbarkeit und Integrität beachtet worden?
7. Tätigkeiten und Richtlinien DSGVO-gemäß dokumentieren
  • In  5 Abs. 2 DSGVO wird der Grundsatz der „Rechenschaftspflicht“ gegenüber Dritten definiert. Es gilt, dass Verantwortliche gemäß Art. 4 Ziffer 7 DSGVO für die Einhaltung bestimmter Datenschutzgrundsätze (aus Art. 5 Abs.1 DSGVO) verantwortlich sind und deren Einhaltung nachweisen müssen. Der Art. 24 Abs.1 DSGVO greift diese Pflicht weiter auf. Der Verantwortliche steht hierbei in der Pflicht, den Nachweis zu erbringen, dass die Datenverarbeitung im rechtlichen Rahmen der Datenschutzgrundverordnung verläuft.
  • Sie sollten alle Ihre Tätigkeiten wie Datenschutzrichtlinien, Datenschutzkonzepte, Verarbeitungsverzeichnisse (VV), technisch organisatorischen Maßnahmen (TOM), Auftragsverarbeitungsverträge (AVV), Arbeitsanweisungen und Leitlinien; Löschkonzepte, Notfallpläne zentral an einem Ort greifbar und gesichert zusammenfassen. Hier haben Sie die Möglichkeit ein Datenschutzmanagementhandbuch zu erstellen oder sich eines Datenschutzmanagementsystems bedienen.
8. Umsetzen von IT Maßnahmen im Datenschutz
  • Sichern Sie als erstes Ihre IT die Sie täglich nutzen, mit sicheren Passwörtern ab.
  • Verschlüsseln Sie Ihre Festplatten und bewahren Sie diese sicher vor dritten auf.
  • Schaffen Sie Redundanzen für Ihre Daten, das kann im einfachsten eine zweite Festplatte sein (schlechte Lösung) oder ein Rechenzentrum mit Sitz in Deutschland oder der EU und einer Tier 4 Zertifizierung (ideal Fall). Wichtig ist aber in jedem Fall, dass die redundante Lösung, räumlich und am besten örtlich getrennt von den zu sichernden Daten aufbewahrt wird.
  • Der Grundsatz ist, dass kein System sicher ist. Sie sollten sich also überlegen mit welchen Mitteln Sie Ihre Daten, im Rahmen Ihrer Möglichkeiten, am besten schützen können.
9. So sichern Sie das Recht auf Auskunft, Löschung und Berichtigung ab
  • Das Verarbeitungsverzeichnis (VV) hilft Ihnen dabei festzustellen welche Daten wo, wann, wie und durch wen erhoben und verarbeitet werden. Daher bietet es sich an die Speicherorte aufzulisten wo Ihre Daten abgespeichert werden, das Ablagesystem sollte dabei einer logisch nachvollziehbaren Ordnerstruktur zugrunde liegen. Hier macht es Sinn, sich von Anfang an für das Unternehmen die Ordner immer nach einer sich wiederholenden Ordnerbezeichnung für alle Kunden, Mitarbeiter Geschäftspartner etc. anzulegen. Das kann man entweder nach Themen ordnen: Bsp.: Rechnungen/Quartal, Projekt etc./Kunden/Kunde001/ oder anders herum Kunden/Kunde001/Rechnungen/Quartal/Monat/. Bei CRM-Software oder anderen Programmen, bieten die meist schon Systemseitig Filterfunktionen an, die eine Abfrage sicherstellen.Auch Systeme wie Omikron, intergator oder contractmanager helfen dabei Daten der betroffenen Person ausfindig zu machen. Wichtig ist das Sie schnell alle relevanten Daten zu der Person finden können.
  • Ebenso müssen Sie sicherstellen das die Person welche die Auskunft stellt, auch berechtigt ist diese zu erhalten. Ein Nachweis darüber muss ebenfalls protokolliert werden. Für die Auskunftserteilung haben Sie einen Monat Zeit. Bei begründetem erschwertem Aufwand kann die Frist auf zwei Monate verlängert werden.
  • Bei Löschung der personenbezogenen Daten sollten Sie immer die Art der Daten im Blick haben und welche anderen Gesetze Sie sogar dazu verpflichten die Daten nicht zu löschen.
  • Das Ändern oder Berechtigen von Daten sollte ebenfalls beachtet und immer mit protokoliert werden.
10. Was mach ich bei einem Datenschutzverstoß?
  • Sollte es mal vorkommen das es in Ihrem Unternehmen zu einem Datenschutzverstoß oder einer Datenschutzverletzung kommt, bleiben Sie ruhig!
  • Das klingt banal aber die meisten Datenschutzverstöße entstehen dadurch, dass unbeabsichtigt Daten an die falsche E-Mail versendet werden. Dies lässt sich meist mit einem Anschreiben an die betroffenen beteiligten Personen klären. Wenn es sich bei den personenbezogenen Daten nicht um Daten nach 9 DSGVO handelt und ein Missbrauch der Daten ausgeschlossen und der Schaden abgewendet werden kann, entfällt auch die Meldung gegenüber der Behörde.