DSGVO Checkliste – in 4 Schritten zum umfassenden Datenschutz

Datum: 27. February 2018

Stichtag 25. Mai 2018: Die neue EU-Datenschutz-Grundverordnung tritt in Kraft! Damit die DSGVO nicht wie ein Damoklesschwert über Ihrem Unternehmen schwebt, haben wir Ihnen eine einfache DSGVO Checkliste mit allen relevanten Informationen auf Basis der Liste des bayerischen Landesamts für Datenschutz zusammengestellt. Mit der DSGVO wird eine EU-weite Vereinheitlichung der vielen unterschiedlichen Datenschutzbestimmungen der einzelnen Mitgliedsstaaten angestrebt und damit ein klarer Schutz der Daten von EU-Bürgern gewährleistet – also in jedem Fall eine lobenswerte Verbesserung der Sicherheit personenbezogener Daten. Unternehmen müssen ab Mai 2018 Änderungen in Ihrem Betriebsablauf durchgeführt haben. Ganz neu sind die Veränderungen dabei nicht, da Deutschland bereits vor der Einführung der DSGVO über ein starkes Datenschutzgesetz verfügt hat. Im Folgenden zeigen wir Ihnen anhand unserer Checkliste „In 4 Schritten zum umfassenden Datenschutz“ die notwendigen Optimierungen in Ihrem Betrieb und wo Sie sich noch umfassender informieren können.

Schritt 1: Planungsphase – was muss sich für das Unternehmen ändern?

An erster Stelle steht eine klare und umfassende Beschäftigung und ein damit einhergehendes Bewusstsein und Verständnis mit Datenschutz und Datensicherheit. In der DSGVO dreht sich alles um den Schutz personenbezogener Daten. Dabei handelt es sich nach Art. 4 Abs. 1 DSGVO um Merkmale natürlicher Personen wie Herkunft, Alter, Geschlecht, Adressen – sprich alles, was für die Identifikation einer Person notwendig ist. Wenn sich ein Unternehmen mit personenbezogenen Daten auseinandersetzt, diese sammelt, bearbeitet oder speichert, muss es diese Daten auch ausreichend vor einem Missbrauch schützen. Die wichtigsten Grundbedingungen mit dem Umgang personenbezogener Daten finden sich ganz klar und konkret in Art. 2 DSGVO aufgelistet.
Ist ein Bewusstsein für die Anwendungsbereiche, die Begriffe sowie die Ziele der kommenden DSGVO geschaffen, sollten Unternehmen Ihren aktuellen Datenschutz überprüfen. Wo gibt es Mängel? Wird das eigene Unternehmen überhaupt von der DSGVO betroffen? Ist ein Datenschutzbeauftragter notwendig? Gibt es im Datenschutz unternehmensinterne Konflikte, etwa zwischen Personal- und Rechtsabteilung?

Wann wird ein Datenschutzbeauftragter benötigt?

Unternehmen, die mehr als zehn Mitarbeiter beschäftigen und regelmäßig personenbezogene Daten automatisiert oder nicht automatisiert Verarbeiten, benötigen einen Datenschutzbeauftragen. Außerdem benötigen auch Unternehmen einen Beauftragten für Datenschutz, deren zentrale Beschäftigung die Verarbeitung oder Überwachung von personenbezogenen Daten ist. Dabei ist es nicht relevant, ob ein Mitarbeiter für diesen Posten qualifiziert wird oder ein externer Beauftragter hinzugezogen wird. Allerdings muss der Beauftragte bei der zuständigen Aufsichtsbehörde gemeldet werden und seine Kontaktdaten müssen öffentlich einsehbar sein, etwa Namen und E-Mail-Adresse auf der Homepage.

Schritt 2: Anpassung des Datenschutzes – Datenschutzprozesse, Folgeabschätzung und rechtliche Texte

Als zweiter Punkt auf der DSGVO Checkliste steht die umfassenden Ausgestaltung des Datenschutzes in Ihrem Betrieb. Dabei müssen unbedingt alle Geschäftsprozesse, die mit der Verarbeitung von personenbezogenen Daten zu haben, auf die Maßgaben der neuen Verordnung angepasst werden. Eine der wichtigsten Neuerungen ist dabei wohl das Verfahrensverzeichnis, in dem alle Prozesse der Personendatenverarbeitung dargestellt werden müssen. Im Weiteren werden alle bestehenden und neuen Verträge auf die neuen Richtlinien angepasst – denn für die Einholung der Personendaten ist eine Einwilligung und mittlerweile auch die genaue und gleichzeitig einfache Erklärung der Rechte sowie die Bestimmung des Zwecks der Verarbeitung anzugeben. Dazu zählen auch Allgemeine Geschäftsbedingungen und das Impressum auf der Homepage Ihres Unternehmens.

Verfahrensverzeichnis – was muss rein?

Im Verfahrensverzeichnis müssen unbedingt die Namen der für den Datenschutz verantwortlichen Personen Ihres Unternehmens angegeben werden. Zudem müssen die Zwecke der Verarbeitung, sowie jeweils Kategorien der von der Verarbeitung betroffenen Personen, Daten, Empfängern der Daten (wichtig bei Weitergabe der personenbezogenen Daten an Dritte sowie Drittländer außerhalb der EU) und Fristen zur Löschung der Daten angegeben werden. Dabei reicht in der Regel das Anlegen einer klassischen Tabelle. Das Verfahrensverzeichnis ist durch die neue Verordnung nicht mehr öffentlich, muss aber an die jeweils zuständige Aufsichtsbehörde übersandt werden.

Schritt 3: Datensicherheit garantieren – so schützen Sie die personenbezogenen Daten

Noch praktischer wird Schritt drei der DSGVO-Checkliste. Um die vollständige Datensicherheit zu garantieren, muss das Unternehmen nach innen und außen sichere Methoden durch Software und Hardware realisieren. Das bedeutet im Klartext, dass interne Zugänge überprüft werden müssen und je nach Gegebenheiten Zugänge neu vergeben werden müssen. Ein simples Beispiel: Der Schülerpraktikant, dessen Aufgaben im Bereich Lagerlogistik liegen, sollte nicht unbedingt die Personalakten des Betriebs einsehen können. Deshalb sind seine Zugriffsrechte zu beschränken. Nach Außen sollte der Zugriff auf die personenbezogenen Daten ebenfalls ausreichend gesichert sein. Sicherheitslücken werden häufig von Hackern benutzt, um Daten zu stehlen. So sollte der betriebsinterne Serverzugang sowie der Internetanschluss in jedem Fall durch verschiedene technische Lösungen und Verschlüsselungen abgesichert werden. Um Datensicherheit auf dem Onlineauftritt Ihres Unternehmens zu gewährleisten, helfen Stichwörter wie privacy by design und privacy by default. Darunter werden technikbasierte Präventivmaßnahmen verstanden, die gar nichts anderes als Datenschutz zulassen, etwa durch Verschlüsselungsprotokolle oder Voreinstellungen auf Nutzeroberflächen. Beispielsweise ist ein SSL-Zertifikat eine solche präventive Datensicherheitsmaßnahme. Dazu haben wir bereits einen Artikel verfasst und bieten die Vergabe dieses notwendigen Sicherheitsprotokolls an.

Schritt 4: Datenschutz-Controlling – so gewährleisten Sie langfristigen Datenschutz in Ihrem Unternehmen

Für die langfristige Datensicherheit in Ihrem Unternehmen ist ein ständiges Controlling unerlässlich. Neben der regelmäßigen Dokumentation Ihrer Datenschutzmaßnahmen, sollten Ihre Mitarbeiter das Bewusstsein für Datenschutz nicht verlieren. Deshalb sind Weiterbildungen und Schulungen, sowie eine betriebsinterne Kommunikation zum Thema Datenschutz wesentliche Bausteine in der Realisierung der umfassenden Sicherheit von personenbezogenen Daten und ihrem Schutz vor Missbrauch. Selbstverständlich ist ein nicht weniger elementarer Teil im letzten Punkt auf der DSGVO-Checkliste die regelmäßige Überwachung und Kontrolle Ihrer Datenschutzprozesse sowie der Prozesse, in denen Personendaten verarbeitet werden. Dabei kann auch das korrekt geführte Verfahrensverzeichnis zur Kontrolle ihre Datenschutzniveaus sehr nützlich sein. Zuletzt sollten unbedingt Schwachstellen in Ihrem Datenschutz schnellstmöglich und qualifiziert gefunden und optimiert werden.

Eine weitere Checkliste zum Thema DSGVO mit den wichtigsten Infos finden Sie auch hier unter DSGVO Checkliste.

Tags dieses Beitrags:


    Schreibe einen Kommentar zu "DSGVO Checkliste – in 4 Schritten zum umfassenden Datenschutz"

    Etwas HTML ist ok