Bewertung: 5 / 5

Stern aktivStern aktivStern aktivStern aktivStern aktiv
 

Beitragsseiten

Eine Umfrage des Branchenverbandes Bitkom weist auf einen weitverbreiteten Irrtum hin:

Zwar holt sich jedes zweite Unternehmen in Deutschland externe Hilfe für die Umsetzung der EU Datenschutz-Grundverordnung. Aber nur jedes achte wird es bis zum Stichtag 25. Mai 2018 schaffen. Eigene kleine Umfragen und Gespräche verdeutlichen: Nach wie vor wird der administrative gewaltig Aufwand unterschätzt!

Laut der Bitkom geben 48 Prizent der Unternehmen an, externe Spezialisten für die Umsetzung er DSGVO hinzuzuziehen. Mit 35 Prozent werden am häufigsten externe Anwälte eingeschaltet. 29 Prozent ziehen externe Prüfer oder Auditoren hinzu. Eine externe Datenschutzberatung fand in jedem fünften Unternehmen (21 Prozent) statt.

Und dennoch: Nur rund jedes achte Unternehmen werde nach Bitkom-Einschätzung die DSGVO bis zum Stichtag umgesetzt haben. Angesichts dieses geringen Anteils und der Höhe der möglichen Bußgelder ist die Inaspruchnahme von externer Hilfe überraschend.Von den EU-Vorgaben seinen praktisch alle Unternehmen betroffen, da sie für alle gelten, die personenbezogene Daten verarbeiten. Die Zeit wird äußerst knapp.

Wird die DSGVO nicht umgesetzt, drohen hohe Strafen

Die seit zwei Jahren laufende Übergangsfrist , die den Unternehmen für die Umstellung eingeräumt wurde, endet am 25. Mai 2018! Wer dann nicht fertig ist, muss saftige Bußgelder befürchten - maximal bis zu vier Prozent des Jahresumsatzes. Verantwortlich für die rechtzeitige Bestellung eines Datenschutzbeauftragten und/oder von Beratung zum Thema ist grundsätzlich die Geschäftsleitung. Gleichzeitig kann sie sich nicht selbst zum Datenschutzbeauftragten ernennen, ebensowenig wie den IT-Leiter. Nur jedes vierte Unternehmen (25.Prozent) setzt zusätzliches Personal zur Umsetzung der Verordnung ein. Fünf Prizent haben zusätztliches Personal eingestellt.

Wir warnen davor, den Kopf in den Sand zu stecken. Noch haben wir Kapazitäten frei - fragen Sie uns!


 

Diese Fragen zur Datenschutzgrundverordnung (DSGVO) sind für Ihr Unternehmen wichtig

 

1. Wie stehen die aktuellen Maßnahmen zum neuen Gesetz?

Die bisherigen Maßnahmen, die hoffentlich schon den Rahmen bestehender Regelungen entsprechen und umgesetzt worden sind, müssen gegen die neuen abgeglichen bzw. implementiert werden. Der Datenschutzbeauftragte (DSB) und die fachverantwortlichen im Unternehmen entwerfen einen Plan, aus dem Handlungsanweisungen generiert werden. Diese strukturieren die nachfolgenden Arbeitsschritte.

2. Wo sind die personenbezogenen Daten zu finden?

Es müssen alle Systeme identifiziert werden, die personenbezogene Daten speichern oder verarbeiten. Da hilft nur verstärktes Nachdenken: Interne Datenbanken, Speicher für Selektionen (Marketingabteilung), CRM-, ERP-, und HR-Systeme sind ein guter Anfang. Dann kommen die Fragen:
- Tauschen wir personenbezogene (pb) Daten mit anderen Unternehmen aus?
- Wo liegen die per eMail eintreffenden Bewerbungen?
- Enthalten unsere eMails pb Daten?

Es gibt Software, die bei einer umfangreichen Suche hilft.

3. Wie separieren Sie pb Daten für die weitere Verarbeitung?

Nachdem Sie alle pb Daten gefunden haben, verfügen Sie über einen Katalog von Daten. Diese werden möglicherweise für Analysen oder andere Auswertungen benötigt. Bei einer datenschutz-konformen Verarbeitung müssen Sie diese anonymisieren. Das bedeutet: Ordnen Sie jedem Datensatz eine eineindeutige Kennziffer zu, die parallel auch in der Ursprungsdatei der pb-Daten gespeichert wird. Auf diese Datei darf der Analyst keinen Zugriff mehr haben. Der DSB berät in möglichen Ernstfällen.

4. Wie lösche ich Daten DSGVO-konform und protokolliere diese korrekt?

Personenbezogene Daten zu löschen ist eine äußerst sensible Tätigkeit. Generell können interne, oder gesetzliche Vorschriften eine Löschung erfordern. Die Vorgehensweisen sind dementsprechend verschieden:

Basis: Benutzen Sie durchgängig Programme für das sogenannte Information Lifecycle Management.In diesen werden Verfallsdaten und zugeordnete Prozesse definiert, mit denen automatisiert Daten mit Alterslimitierung gelöscht werden. Zu jedem Löschvorgang wird ein Protokoll für etwaige Nachweise erstellt.

Löschen auf Anforderung (z. B. eines Kunden):  Vorsicht! Es gibt Daten, die erst nach dem Ablauf von Aufbewahrungsfristen gelöscht werden dürfen. Manchmal meint der Kunde auch "Sperren Sie meine Adresse", wenn er von Löschen spricht. Daher sind auf alle Fälle bei Löschvorgängen alle betroffenen Bereiche zu informieren. Jeder einzelne Bereich muss zustimmen, oder begründet ablehnen. Alle Anfragen, die Einbeziehung der Bereiche, deren Antworten und die schlussendlich eingeleiteten Maßnahmen zur Löschung sind zu dokumentieren. Ebenfalls ist der Kunde über die erfolgte Löschung zu informieren.
Auch für diese Frage gibt es Software Lösungen.

5. Was passiert mit aufzubewahrenden Daten?

Zum Datenschutz gehört auch die Datensicherheit. Daher müssen Unternehmen pb Daten mit technischen und organisatorischen Maßnahmen vor unbefugter Verarbeitung, Zerstörung, Veränderung und Verlust schützen.
Die DSGVO fordert, das diese Maßnahmen umgesetzt werden und zwar durch den Verantwortlichen und ggfs. dem Auftragsdatenverarbeiter. Dazu ist der aktuelle Stand der Technik zu berücksichtigen, aber auch die Implementierungskosten sowie Risikoabwägungen. Wichtig ist, den jeweiligen Zweck der Datenverarbeitung zu berücksichtigen. Daten dürfen nur zu dem Zweck verarbeitet werden, zu dem sie erhoben worden sind.

Fazit: Aufzubewahrende Daten müssen mit Hilfe technischer Lösungen sicher sein gegen unbefugte Bearbeitung, Veränderung, Zerstörung, Diebstahl und Verlust.

6. Wer ist für die korrekte Behandlung pb Daten verantwortlich?

Kurzfassung: Chefe!

Grundsätzlich ist die Geschäftsleitung des für die Daten verantwortlichen Unternehmens verantwortlich. Denn sie gibt das Budget, die Strategie und den Zweck der Datenverarbeitung vor. Diese Verantwortung lässt sich nicht delegieren. Lediglich die Aufgaben, die zur Einhaltung des DSGVO diesen, können an den DSB und den IT-Leiter weitergegeben werden. Auch wenn ein Auftraggeber und ein Dienstleister an Daten arbeiten (Auftragsdatenverarbeitung), bleibt die Verantwortung bei demjenigen, der die Strategie und Zwecke der verarbeitung vorgibt.