Nachdem wir in den ersten beiden Teilen dieser Blogserie bereits auf die Grundlagen und die aktuelle Lage in der Umsetzung der EU Datenschutzgrundverordnung GDPR eingegangen sind, wird es im heutigen Artikel im konkrete Schritte gehen, die für jedes betreffende Unternehmen wichtig sind:
1. Bewusstsein
Sie sollten sicherstellen, dass sich insbesondere Entscheidungsträger und Schlüsselpersonen innerhalb Ihrer Organisation über GDPR bewusst sind. Diese Personen müssen zu jeder Zeit die Reichweite und mögliche Konsequenzen kennen. GDPR ist ein Thema, das wirklich alle Mitarbeiter eines Unternehmens etwas angeht. Der theoretisch größt mögliche Datenschutz kann nur erreicht werden, wenn sich jeder einzelne Angestellte an die Regeln hält. Denn die Strafen sind enorm hoch und können das ganze Unternehmen ins Schwanken bringen.
2. Personenbezogene Daten in Ihrem Unternehmen
Es muss dokumentiert werden, welche personenbezogenen Daten Sie halten, woher diese stammen und mit wem Sie diese teilen. Denn, wer sich beim Thema Datenschutz noch nicht einmal über die IST-Lage bewusst ist, der wird kein funktionierendes SOLL-Konzept aufstellen. Möglicherweise sollten Sie ein Datenschutzaudit organisieren.
3. Überprüfung der Datenschutzhinweise
Wer kennt die Datenschutzhinweise auf Websites nicht? Zwar klickt man diese als User meistens eher genervt weg, die Wichtigkeit dieser sollte allerdings trotzdem unbestritten sein. Sie sollten Ihre aktuellen Datenschutzhinweise überprüfen und einen Plan erstellen, um erforderliche Änderungen aufgrund von GDPR vorzunehmen.
4. Rechte von Einzelpersonen
In Artikel 17 ist das Recht auf Löschung (Recht auf Vergessenheit) beschrieben. Dies sieht unter anderem vor, dass eine Einzelperson die Löschung seiner personenbezogenen Daten einfordern kann, wenn der Zweck der Verarbeitung dieser erfüllt ist. Dies beschreibt beispielsweise die erfolgreiche Auftragsabwicklung inklusive Zahlung bei einem Online Handel. Sie müssen sich also bewusst sein, welche Rechte von Einzelpersonen in Ihrem Unternehmen vorliegen.
5. Umgang mit Zugriffsanforderungen
Nach der, im letzten Absatz genannten, Evaluierung der Rechte von Einzelpersonen, muss nun der Prozess für die Einhaltung der Anforderungen festgelegt werden. Denn oftmals gestaltet sich dies deutlich komplizierter als gedacht. So befinden sich Daten häufig an vielen verschiedenen Orten (Logistik, ERP, CRM etc.) und zu allem Überfluss oftmals neben der digitalen Haltung auch noch in Papierform.
6. Rechtsgrundlage für die Verarbeitung personenbezogener Daten
Die Datenerhebung und Verarbeitung bedarf einer Grundlage. Hier ein Beispiel: Kundenname und –anschrift, eine Telefonnummer für Rückfragen dürfen bei einem Lieferungsvertrag immer erfragt werden. Die Abfrage des Lebensalters und zusätzlich zur Telefonnummer einer E-Mail-Adresse wären hingegen problematisch. Deren Erhebung würde eine förmliche datenschutzrechtliche Belehrung des Betroffenen voraussetzen. (Quelle: HK24.de)
7. Zustimmung
Wie erhalten Sie bisher die Zustimmung für die Datenerhebung und ist dieser Weg innerhalb der GDPR denn überhaupt noch passend? Wie wird diese Zustimmung dokumentiert, sodass dies im Zweifelsfall bewiesen werden kann? Diese und viele weitere Fragen sind extrem wichtige Punkte, die normalerweise von Datenschutzexperten und/oder Anwälten beleuchtet werden muss.
8. Rechte Minderjähriger
In Artikel 8 der GDPR wurde festgelegt, dass nur personenbezogene Daten von Menschen ab 16 Jahren verarbeitet werden dürfen. Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung nur rechtmäßig, sofern und soweit diese Einwilligung durch die Erziehungsberechtigten erteilt wird. Die Mitgliedstaaten können durch Rechtsvorschriften zu diesen Zwecken eine niedrigere Altersgrenze vorsehen, die jedoch nicht unter dem vollendeten dreizehnten Lebensjahr liegen darf. Hier müssen Sie als Firma also vor der Verarbeitung sicherstellen, dass ihr Gegenüber mindestens 16 Jahre alt ist. Dies bedarf im Normalfall technischer Grundlagen.
9. Datenschutzverletzungen
So viel Mühe man sich beim Thema Datenschutz auch gibt, am Ende müssen wir immer damit rechnen, dass etwas passiert. In diesem Fall heißt es vorbereitet sein:
- Welche Daten sind betroffen?
- Wer ist betroffen?
- Wer muss informiert werden?
- Was muss ich wie melden?
- etc.
Kommt es also zu einer Verletzung heißt es schnell, aber überlegt zu handeln. Unüberlegtes und ungeplantes Handeln trägt wie in vielen anderen Fällen des täglichen Lebens meistens nicht zwingend zu einer Verbesserung der Lage bei.
10. Privacy by Design – Datenschutz durch Technik
Sie sollten sicherstellen, dass Datenschutz und Privatsphäre schon in der Entwicklung von Technik beachtet werden. Technik sollte so ausgelegt sein, dass die Privatsphäre von Nutzern automatisiert geschützt wird und dass zu jeder Zeit Anwender Kontrolle über die eigenen Informationen haben. Hier kann teamix mit verschiedenen technischen Lösungen jederzeit beiseite stehen. So wird sich im nächsten Blogbeitrag alles um technische Tools zur Einhaltung der GDPR drehen.
11. Datenschutzbeauftragter
Auch wenn Datenschutzbeauftragte in vielen Unternehmen seit Jahren vorhanden sind, geht die Qualität der Ausbildung dieser doch stark auseinander. So reicht es nicht einfach irgendeinen Mitarbeiter als Datenschutzbeauftragten zu ernennen und ihm die Aufgabe zu geben, sich um dieses Thema zu kümmern. Datenschutz will gelernt sein und ständig aufgefrischt werden. Hierfür ist es zwingend notwendig, dass auch Ihr Datenschutzbeauftragter regelmäßig die Möglichkeit erhält Schulungen zu besuchen. Außerdem bedarf es hier auch persönlicher Eigenschaften wie Durchsetzungsvermögen. Denn all das geschulte Wissen bringt am Ende nichts, wenn dieses nicht vermittelt und durchgesetzt werden kann.
12. Globale Aufstellung
Falls Ihre Organisation international agiert, sollten Sie herausfinden welche weiteren Gesetze oder Abkommen, wie zum Beispiel EU-US Privacy Shield, auf Sie zukommen. Auch hier bedarf es am Ende vermutlich einer rechtlichen Beratung um alle Eventualitäten aus dem Weg zu räumen.
Während wir als teamix Ihnen besonders bei technischen Fragen in Sachen GDPR weiterhelfen können, empfehlen wir bei der Klärung der rechtlichen Fragen die Hilfe eines Datenschutzexperten. Dieser kann durch Fachwissen und eine objektive und nicht betriebsblinde Sichtweise alle Aspekte des Datenschutzes innerhalb Ihres Unternehmens beleuchten. Im nächsten Blogartikel werden wir auf technische Tools eingehen, die eine Grundlage bilden und uns somit bei der Einhaltung der GDPR helfen.
Weiter zum Thema GDPR beschäftigen wir uns auch in unserem nächsten Webcast (am 23.03.17) mit dem Thema: GDPR – der Cloud Killer? Anmeldung, hier.