Besser nicht verschlafen: Die DSGVO kommt

5 Tipps zur Umsetzung des EU-Datenschutzes

Verschlafen es die Verantwortlichen, bis zum 25. Mai 2018 den Datenschutz ihres Unternehmens an die Datenschutz-Grundverordnung (DSGVO) anzupassen, werden hohe Strafen fällig. 5 Tipps zeigen, was bis Ende Mai noch alles geschafft werden sollte.

Die DSGVO besser nicht verschlafen

Besser nicht verschlafen: Die neue Datenschutz-Grundverordnung (DSGVO) kommt

Unternehmer sollen die Daten ihrer Kunden und Mitarbeiter besser schützen – das ist jedenfalls der Zweck der Datenschutz-Grundverordnung, kurz DSGVO. Bereits im April 2016 wurde das neue europäische Datenschutzgesetz beschlossen, seitdem sollen die 99 Artikel von deutschen Unternehmen umgesetzt werden. Allerdings sahen Experten bereits im Herbst vergangenen Jahres: Viele Unternehmen werden diese Frist nicht schaffen. Damit insbesondere mittelständische Unternehmer nicht dazu gehören, sollten sie folgende Checkliste beachten:

1. Datenschutzbeauftragten benennen

Je nachdem, wie viele Mitarbeiter sich im Unternehmen mit der Verarbeitung personenbezogener Daten beschäftigen, braucht man einen Datenschutzbeauftragten. Die magische Zahl ist hier neun. Arbeiten regelmäßig nur maximal neun Mitarbeiter mit personenbezogenen Daten, benötigt man keinen Datenschutzbeauftragten. In diesem Fall kann diese Aufgabe vom Geschäftsführer selbst übernommen werden. Allerdings müssen sie auch jene Mitarbeiter berücksichtigen, die ab und zu diese Daten verarbeiten und beispielsweise auf die Kundendatenbank zugreifen. Die Art der Anstellung – fest oder frei, Voll- oder Teilzeit, Praktikant, Azubi oder Führungskraft – spielt dabei keine Rolle. Allerdings gilt diese Ausnahme nicht, wenn das Unternehmen Daten verarbeitet, für die eine Datenschutzfolgenabschätzung nötig ist. Dies gilt für besonders sensible Daten der Kunden, etwa hinsichtlich der ethnischen Herkunft, sexuellen Orientierung, Gesundheit oder politischen Einstellung und damit etwa bei Arztpraxen oder der Versicherungsmaklern.

2. „Verzeichnis der Verarbeitungstätigen“ anlegen

Laut Artikel 30 der DSGVO sollen die Verantwortlichen zudem ein „Verzeichnis der Verarbeitungstätigkeiten“ anlegen. Im Prinzip ist dies nur eine Tabelle. Diese dokumentiert, welche Art von Daten wann, wie und warum im Unternehmen erhoben werden. Dies betrifft sowohl Kundendaten (Name, Adresse, Telefonnummer, etc.) als auch interne Daten (Personaldaten, Lohnbuchhaltung, Lieferanten, Partner und mehr). Bei größeren Unternehmen empfiehlt es sich deswegen, einen Projektverantwortlichen zu bestimmen. Dieser befragt alle, die mit Datenverarbeitung von internen und externen Daten zu tun haben. Eine genaue Liste dieser Fragen und ein Beispiel für eine solche Tabelle findet man im Internet.

3. Prozesse festlegen und dokumentieren

Alle Vorgänge innerhalb des Unternehmens, die mit Datenverarbeitung zu tun haben, sollten festgeschrieben und in einem Prozesshandbuch niedergelegt werden. In diesem Schritt können auch alle notwendigen Schritte optimiert werden. Fragen, die sich hier unter anderem gestellt werden sollten sind:

  • Wie informiert man die Kunden über die Datenverarbeitung?
  • Ein Kunde besteht auf die Löschung seiner Daten. Wie gestaltet sich hier der Prozess und wer verantwortet ihn?
  • Im Fall eines Hacker-Angriffs muss binnen 72 Stunden die zuständige Landesdatenschutzbehörde informiert werden. Wie sieht dafür der Prozess im Unternehmen aus?
  • Wie schult man die Mitarbeiter innerhalb dieser Prozesse?

4. Wenn nötig: Datenschutzfolgeabschätzung durchführen

Wie oben beschrieben, ist eine Datenschutzfolgeabschätzung nötig, wenn Unternehmen mit risikobehafteten Daten arbeiten. Sollten diese Daten missbraucht werden, besteht für den Kunden ein sehr hohes Risiko, da es sich hierbei um ihre Persönlichkeit handelt. Nicht nur bei solchen Fragen berät die jeweilige Landesdatenschutzbehörde mittelständische Unternehmen. So können diese sichergehen, dass sie alles richtig machen.

5. Alles dokumentieren

Als Geschäftsführer sollte man zudem alles erfassen, was mit Datenschutz zu tun hat. Welche Fortbildungen zum Thema hat das eigene Team besucht? Welche Software-Updates, wie Firewalls, wurden wann installiert? Gab es Verträge mit Dienstleistern? Gibt es eine gute Dokumentation, besteht eine gute Chance, dass man trotz Datenlecks ohne Bußgeld davon kommen kann. Ferner sollten sich die Verantwortlichen bei der Auswahl neuer Software-Lösungen versichern, dass die DSGVO implementiert ist und bei bestehenden Lösungen fragen, wie und wann Updates zur Verfügung gestellt werden.

* Der Autor Thomas Reppa ist Gründer und CEO von Coffeecup in München.

Bildquelle: Thinkstock/iStock

©2018Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok