DSGVO

Datenschutzgrundverordnung (DSGVO)

Am 25. Mai 2018 tritt die neue Datenschutzgrundverordnung (DSGVO) in Kraft. Die DSGVO schützt natürliche Personen in Bezug auf ihre personenbezogenen Daten. Sie gilt in der gesamten Europäischen Union, selbst wenn die Beteiligten keine Europäer sind. Bei einem Verstoß gegen die DSGVO drohen erhebliche Geldbußen, weswegen Sie dringend tätig werden sollten. Es ist keine Option nichts zu unternehmen und den ersten Verstoß abzuwarten.

 

Checkliste

Die folgende Checkliste soll Ihnen helfen, die wichtigsten Maßnahmen zu ergreifen, damit Sie auf die Geltung der neuen DSGVO vorbereitet sind:

  1. Legen Sie ein Verzeichnis der Verarbeitungstätigkeiten an.
  2. Analysieren Sie das Risiko der von Ihnen verarbeiteten Daten.
  3. Schätzen Sie die Folgen des Datenschutzes für Ihre Daten ab.
  4. Sichern Sie die Verarbeitung von Aufträgen mit Ihren Dienstleistern ab.

 

Verzeichnis der Verarbeitungstätigkeiten

Das Verzeichnis der Verarbeitungstätigkeiten (VVT) dokumentiert, welche personenbezogene Daten Sie von wem wo und wie verarbeiten. Nach Art. 30 DSGVO muß “jeder Verantwortliche” und “jeder Auftragsverarbeiter” ein schriftliches Verzeichnis führen. Die Mindestangaben für die betroffenen Verzeichnisse sind in dem Artikel aufgeführt. Es gibt im Internet Vorlagen für diese Verzeichnisse. Weiterführende Informationen: Bitkom.

 

Risikoanalyse und -bewertung

Nach Art. 32 DSGVO müssen Unternehmer geeignete technische und organisatorische Maßnahmen ergreifen, um Daten zu schützen und Risiken für betroffene Personen zu verhindern. Durch eine Risikoanalyse zeigen Sie, daß Sie die möglichen auftretenden Risiken kennen. Sie können beispielsweise interne und externe Risiken, menschliche und technische Risiken, Vorsatz und Fahrlässigkeit und andere auf Ihr Unternehmen zutreffende Risiken in einer Tabelle aufschreiben und beschreiben; Beispiele für jedes Szenario helfen Ihnen dabei, später leichter die einzelnen Risiken zu bearbeiten. Sie können zu jedem Risiko zu den Beispielen auch mögliche Gegenmaßnahmen notieren. Danach bewerten Sie jedes Risiko hinsichtlich seiner Eintrittswahrscheinlichkeit für und seiner Auswirkung auf mögliche betroffene Personen. Weiterführende Informationen: Bitkom.

 

Datenschutzfolgeabschätzung

Die Datenschutzfolgeabschätzung gemäß Art. 35 DSGVO zeigt, welche Folgen ein Verlust, eine Fälschung oder Mißbrauch von personenbezogenen Daten für den Betroffenen hätte. Vom GDD gibt es einen guten Vorschlag, wie der Prozeß der Datenschutzfolgeabschätzung umgesetzt werden kann. Weiterführende Informationen: Bitkom (wie bei Risikoanalyse und -bewertung).

 

Auftragsverarbeitung

Viele Verarbeitungen von Daten werden nicht im Unternehmen durchgeführt, sondern bei externen Dienstleistern beauftragt. Die Auftragsverarbeitung sollte mit jedem einzelnen externen Dienstleister schriftlich geregelt sein, damit Sie im Fall einer Kontrolle nachweisen können, daß Sie sich dieser Tatsache bewußt sind und auch die nötigen Schritte unternommen haben, um sich diesbezüglich abzusichern. Weiterführende Informationen: Bitkom.

 

Sonstiges

Die Checkliste und die kurzgehaltenen Beschreibungen ersetzen natürlich keine vollumfängliche Beratung zum Thema Datenschutz und DSGVO. Wir möchten Sie mit dieser kurzen Zusammenfassung lediglich dafür sensibilisieren, daß ab Ende Mai Anfragen und schlimmstenfalls Abmahnungen auf Sie zukommen können.

Es ist ratsam etwas für die Umsetzung der DSGVO zu unternehmen. Untätigkeit und Unwissenheit schützen nicht vor (der in diesem Fall sehr erheblichen) Strafe.

Es gibt Bücher zum Thema DSGVO, Sie können sich online informieren und wir bieten Ihnen unsere Unterstützung bei der Umsetzung an.

Auch wenn es zunächst wie organisatorischer Mehraufwand aussehen mag, lassen Sie sich auf die Fragestellung nach dem Schutz personenbezogener Daten ein. Vielleicht entdecken Sie in diesem Zuge tatsächlich sogar Lücken in Ihrem System, die Sie dann vorsorglich stopfen können.