VERANSTALTUNGEN

USU World 2018
06.06.18 - 07.06.18
In World Conference Center Bonn

CEBIT 2018
11.06.18 - 15.06.18
In Hannover

ERP Tage Aachen
19.06.18 - 21.06.18
In Aachen

next IT Con
25.06.18 - 25.06.18
In Nürnberg

XaaS Evolution 2018
01.07.18 - 03.07.18
In H4 Hotel Berlin Alexanderplatz

EU-Flagge mit Stoppuhr

Man wusste eigentlich schon seit Monaten, dass die EU-Datenschutzgrundverordnung (EU- DSGVO) vor der Tür steht und entsprechende datenschutzrechtliche Anpassungen im eigenen Unternehmen vorzunehmen sind. Doch irgendwie war dauernd etwas wichtiger und Zeit und Muße fehlten. Jetzt, um 5 nach 12, ist die Not groß! Im folgenden Last Minute-Guide erfahren Sie, mit welchen Ad-hoc-Maßnahmen Sie Ihr Unternehmen dennoch schützen können.

Der Stichtag 25. Mai 2018 wird vielen, die in der EU Waren und Dienstleistungen anbieten, und sich deshalb auch mit dem Thema Datenschutz auseinandersetzen müssen, schon länger im Magen liegen. Sind doch bis dahin zahlreiche neue Vorgaben zu beachten und umzusetzen. Bei Verstößen stehen gravierende Sanktionen von bis zu 20 Mio. Euro oder 4% des Jahresumsatzes im Raum.

Wie also muss sich erst ein Unternehmer fühlen, der kurz vor Inkrafttreten der EU-DSGVO bemerkt, dass er den Termin bisher verschlafen und diesbezüglich noch keine Vorkehrungen getroffen hat? Erst mal kühlen Kopf bewahren. Mit folgenden Maßnahmen sollten Sie sich vor den schwerwiegendsten Risiken absichern:

1. Risiko in der Außendarstellung senken

Im ersten Schritt ist „Tarnung“ ein probates Mittel – d.h. nicht jeder sollte Ihre Mängel bezüglich der DSGVO auf den ersten Blick erkennen. Neben den zuständigen Aufsichtsbehörden haben vor allem Verbraucherschutzverbände, aber auch direkte Konkurrenten ein Interesse daran, solche Versäumnisse aufzudecken, um ggf. Abmahnungen gegen Sie durchzusetzen. Das betrifft vor allem den Onlinehandel. Die Außendarstellung erfolgt heute vor allem über den eigenen Webauftritt und die damit verbundenen Informations- und Transparenzpflichten als Anbieter von Waren und Dienstleistungen. Da die o.g. Interessensgruppen nur einen sehr eingeschränkten Einblick auf Ihre Geschäftsprozesse haben, ist die Absicherung der Außendarstellung ein wichtiger Baustein.

Deswegen sollte schnellstens sichergestellt werden, dass sämtliche Informationspflichten präzise von Ihnen eingehalten werden. So sollte beispielsweise die auf der Website verfügbare Datenschutzerklärung den aktuellen Vorschriften entsprechen. Auch sollte man Informationen zur DSGVO bereitstellen und konkret inhaltlich ausfüllen. Kunden bzw. Interessenten müssen hier über ihre wesentlichen Rechte hinsichtlich des Datenschutzes informiert werden. Das betrifft das Recht auf Auskunft, welche personenbezogenen Daten überhaupt im Unternehmen gespeichert werden, das Recht auf Löschung, auf Berichtigung, auf Widerspruch, auf Einschränkung der Datenverarbeitung, das Recht auf Datenweitergabe, Recht auf nicht ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung sowie das Beschwerderecht (siehe Art. 15-22 DSGVO). Diese Auskünfte müssen in verständlicher Sprache zur Verfügung stehen. Als Erste-Hilfe-Tool gibt es entsprechende Textbausteine im Web, wobei hier besonderes Augenmerk auf zutreffende Formulierungen zu legen ist. Das gleiche gilt für Hinweise darauf, ob und in welcher Form Cookies oder Social

Media-Programme wie Google Analytics, etc. Daten speichern und auswerten. Auch hierzu gibt es vorgefertigte Textpassagen, die man nach entsprechender Prüfung einbinden kann.
Die DSGVO schreibt informationspflichten zum Zeitpunkt der Datenerhebung vor. Deshalb sollte bereits in sämtlichen nach außen wirksamen Prozessen wie dem (auch automatisierten) Mailverkehr mit Kunden und Interessenten, Bestellung von Newslettern oder Downloads sowie auf sonstigen Bestellformularen per Link auf die eigene DSGVO- konforme Datenschutzerklärung hingewiesen werden.

Unternehmen ab einer bestimmten Größe (Faustregel: ab 10 Angestellten mit personenbezogener Datenverarbeitung) benötigen zukünftig einen Datenschutzbeauftragten. Aber auch in kleineren Unternehmen sollten die Verantwortlichkeiten und Prozesse genau geregelt sein, damit im Falle einer Anfrage oder Beschwerde fristgerecht reagiert werden kann. Der Datenschutzbeauftragte ist den Behörden aktiv zu melden und wird registriert. Bei verspäteter Bestellung des Datenschutzbeauftragten können Bußgelder verhängt werden. Es sollte sich um eine entsprechend qualifizierte, unabhängige (ggf. externe) Person handeln, bei der es nicht zu Interessenskollisionen kommt. Diese liegen etwa dann vor, wenn der Datenschutzbeauftrage selbst ein hohes Interesse an der Speicherung und Verarbeitung der Daten hat oder selbst hierfür verantwortlich ist. Ungeeignet sind demnach beispielsweise IT-Leiter, Personalleiter sowie Inhaber, Vorstand oder Geschäftsführer.

2. Interne Absicherung

In einem zweiten Schritt sollten sich die Verantwortlichen Klarheit verschaffen, welche Prozesse mit Personenbezug eigentlich in ihrem Unternehmen existieren. Klassischerweise sind dies zumindest die Buchhaltung und das Personalmanagement. Hier ist jeweils zu prüfen, ob eine Rechtsgrundlage für die Verarbeitung existiert. Wenn keine Einwilligung des Betroffenen vorliegt, kann eine Rechtsgrundlage z.B. in der Erfüllung von Verträgen liegen. Insgesamt gilt aber das Prinzip der Datenminimierung; d.h. Daten, die für den Zweck der Erhebung nicht mehr erforderlich sind, müssen gelöscht werden, sofern nicht gesetzliche Vorgaben zur Aufbewahrung existieren. Beispiel Bewerbermanagement: wenn einem Bewerber abgesagt wird, sind auch dessen Daten – spätestens nach einer Sicherheitsfrist von sechs Monaten – zu löschen.

Zu überlegen ist, welche Prozesse im Unternehmen wie angepasst werden müssen, um dem Prinzip der Datenminimierung Genüge zu tun und wie entsprechende Transparenz bei der Datenspeicherung und-verarbeitung geschaffen werden kann. Welche Rechte und Ansprüche haben betroffene Personen, innerhalb welcher Fristen muss reagiert werden, wer ist zuständig? Was passiert bei Datenschutzverletzungen? Z.B. kann es erforderlich sind, diese innerhalb von 72 Stunden aktiv den Behörden zu melden.

3. Dokumentation nach DSGVO

Schließlich ist ein internes Verfahrensverzeichnis nach DSGVO zu erstellen, das sämtliche Verarbeitungsvorgänge dokumentiert. Auch weitere Dokumentationen sind zu erstellen: Datengeheimhaltungsverpflichtung der Mitarbeiter, Maßnahmen zu Erreichung eines angemessenen Schutzniveaus, Risiko-Folgen-Abschätzung, d.h. wo im Unternehmen gibt es Risiken von Datenschutzverletzungen und wie können diese möglichst minimiert werden? Welche Auswahl- und Kontrollmechanismen gibt es bezüglich der
Auftragsdatenverarbeitung durch Dritte (Art. 28 DSGVO) Wie lässt sich deren Zuverlässigkeit überwachen?

Im Falle einer datenschutzrechtlichen Beschwerde eines Betroffenen bei den Behörden werden diese ggf. das Verfahrensverzeichnis einsehen wollen. Hier sollte man sich möglichst kooperativ zeigen und sämtliche Fristen penibel beachten. Gleiches gilt bei festgestellten Verstößen gegen Datenschutzrichtlinien. Sich tot zu stellen, kann als bewusstes Unterlassen ausgelegt werden und kann streng sanktioniert werden.

Fazit – Es ist nie zu spät

Keine Frage: Für den Aufbau einer umfassenden Datenschutzstrategie reicht die Zeit bis Ende Mai in den meisten Fällen nicht mehr aus. Das bedeutet jedoch nicht, dass Unternehmen schutzlos ausgeliefert sind. Mit einfachen Maßnahmen, die Sie teilweise selbständig durchführen können, lassen sich die größten Risiken effektiv reduzieren.
Klar ist aber auch: Im Falle einer Prüfung durch die Behörden reichen die oben beschriebenen Maßnahmen alleine nicht aus. Daher ist ein professionelles Datenschutz- Audit und mit umfangreichen Trainings- und Schulungsmaßnahmen dringend zu empfehlen – je früher, desto besser!

Björn Heinze, COO FGND Core

www.fgnd-core.de
 

GRID LIST
Tb W190 H80 Crop Int Ece7bb343adc210e89b8ba448a8c7677

DSGVO – Schutz sensibler Daten

Bereits im Mai 2016 wurde die neue Datenschutzgrundverordnung (DSGVO) verabschiedet. Nun…
Tb W190 H80 Crop Int Ffc54940f3b5a5b27ea7e7e75ad38fbe

DSGVO Tipps zum Umgang mit Google Produkten

Das wahrscheinlich am meisten diskutierte Thema für diesen Monat, die…
Schloss vor Weltkugel

Verschlüsselung: Technik mit Herausforderungen

Bereits die alten Ägypter haben Texte so umgeschrieben, dass sie nur von Empfängern…
Tb W190 H80 Crop Int 38ee284605af848b87cf93447729f5b2

DSGVO: Last-Minute-Punkte für USB-Speicherlösungen

Weniger als ein Monat bis zum „DSGVO-Stichtag“ 25.05.2018: Unternehmen haben nun entweder…
Tb W190 H80 Crop Int 417ceee8e7f7783a566cf649947e9e6d

Mit diesen 9 Tipps sind eure Daten sicherer

Datenschutz geht jeden an – denn jeder einzelne kann dazu beitragen, dass seine…
Tb W190 H80 Crop Int C062476215dce13cdef3d663310bcd3d

Wie die richtige Technologie bei der DGSVO helfen kann

Die EU-Datenschutzgrundverordnung (DSGVO) kommt mit Riesenschritten näher. Obwohl der…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security