Checkliste zur Einhaltung der GDPR

Verwenden Sie diese Checkliste zur Einhaltung der GDPR, um sicherzustellen, dass Sie alle Grundlagen abgedeckt haben. Weitere Einzelheiten zu den einzelnen Prüfungen der Einhaltung der DSGVO finden Sie unter den entsprechenden Links.

Checkliste zur Einhaltung der GDPR

Inhaltsübersicht

1. Beauftragen Sie einen Datenschutzkoordinator

Unsere erste Empfehlung auf unserer Checkliste für die Einhaltung der DSGVO ist, jemanden zu beauftragen, der sich um die Einhaltung der DSGVO kümmert.

Für kleinere Unternehmen ist es sehr empfehlenswert, einen Kollegen oder ein spezialisiertes externes Unternehmen mit der Organisation der Einhaltung der DSGVO zu beauftragen, ohne es DSB zu nennen (um die damit verbundenen strengen Anforderungen zu vermeiden). Kleine und mittlere Unternehmen ernennen häufig einen GDPR-Koordinator, und die Regulierungsbehörde ermutigt die Unternehmen, dies zu tun. Sie bringt die Bemühungen auf den Punkt und bietet dem Unternehmen gleichzeitig eine einzige Anlaufstelle für die Außenwelt, an die es sich bei Fragen oder Problemen wenden kann.

Nur Organisationen, die in großem Umfang personenbezogene Daten verarbeiten, müssen einen offiziellen Datenschutzbeauftragten (DSB) bestellen. Die Datenschutz-Grundverordnung stellt ausdrückliche Anforderungen an die Funktion des DSB, um seine Unabhängigkeit zu gewährleisten.

Lesen Sie mehr darüber in dem folgenden Artikel, indem Sie auf
dieser Link
.

2. Eine auf Ihr Unternehmen zugeschnittene Datenschutzpolitik

Das zweite Muss auf unserer Checkliste für die Einhaltung der GDPR ist eine angemessene Datenschutzrichtlinie. Ohne sie sind Sie definitiv nicht GDPR-konform.

Eine der wichtigsten Anforderungen der DSGVO ist die Verpflichtung, die betroffenen Personen über die Datennutzung des Unternehmens und die damit verbundenen Datenschutzbestimmungen und -vereinbarungen zu informieren. Nur wenn diejenigen, die mit Ihrem Unternehmen zu tun haben, angemessen informiert sind, können sie eine fundierte Entscheidung darüber treffen, ob sie bereit sind, mit Ihrem Unternehmen Geschäfte zu machen oder nicht. Das einfache Kopieren und Einfügen einer Datenschutzerklärung aus dem Internet schadet wahrscheinlich mehr als es nützt. Die Datenschutz-Grundverordnung verlangt, dass Ihre Mitteilungen auf die Arbeitsweise des Unternehmens zugeschnitten sind. Kesselformulierungen oder „catch all“-Erklärungen, vager oder übermäßig komplexer Rechtsjargon werden in der DSGVO ausdrücklich als nicht konform bezeichnet.

Kurzum, schenken Sie der Privatsphäre die Aufmerksamkeit, die sie verdient, und tun Sie es richtig. Vergewissern Sie sich, dass Ihre Datenschutzpolitik mindestens die folgenden Punkte abdeckt:

  1. Klare Festlegung der Zuständigkeiten: wer ist der für die Datenverarbeitung Verantwortliche, wer ist der Datenverarbeiter und wer ist Ihr Hauptansprechpartner für die Datenschutzgrundverordnung
  2. Führen Sie die Prozesse auf, die personenbezogene Daten betreffen, z. B. Kundenaufnahme, Rechnungsstellung, Mitarbeitervergütung, Newsletter usw.
  3. Vergewissern Sie sich, dass Sie für jeden der Prozesse den Geschäftszweck, die Rechtsgrundlage und die verwendeten Datenelemente erfassen. Geben Sie auch an, wie lange Sie die Daten aufbewahren werden.
  4. Führen Sie die Prozesse auf, bei denen personenbezogene Daten ausgetauscht werden, und mit wem Sie Daten austauschen, z. B. mit Ihrem Buchhalter, IT-Supportpartner usw. oder durch die Nutzung von Cloud-Plattformen, z. B. Facebook, Mailchimp, Stripe usw.
  5. Vergewissern Sie sich, dass Ihre Datenschutzrichtlinie und die darin enthaltenen Prozesse sowohl Ihre Online-/Digital-Interaktionen (z. B. Angebotsanfrage) als auch Ihre Interaktionen im Geschäft/Büro (z. B. Kundenkarte) abdecken.
  6. Wenn Ihr Unternehmen soziale Medien nutzt, sollten Sie die Nutzer darauf hinweisen, dass soziale Medienplattformen ihre personenbezogenen Daten verarbeiten, und erwähnen, dass Ihr Unternehmen und die Plattform wahrscheinlich als gemeinsam für die Datenverarbeitung Verantwortliche betrachtet werden.
  7. Auflistung der GDPR-Datenrechte, die Ihre Nutzer haben und wie sie diese ausüben können
  8. Geben Sie an, wie die Nutzer mit Ihnen in Kontakt treten und bei Bedarf eine Beschwerde bei der zuständigen Behörde einreichen können. Beachten Sie, dass die Aufsichtsbehörde Ihnen empfiehlt, einen eigenen Kommunikationskanal für alle datenschutzrelevanten Angelegenheiten einzurichten. Vermeiden Sie also die Wiederverwendung von info@mycompany.com und richten Sie ein spezielles privacy@mycompany.com-Postfach ein.

Zu guter Letzt sollten Sie Ihre Datenschutzrichtlinie als Link auf der obersten Ebene Ihrer Website veröffentlichen, beispielsweise in der Fußzeile Ihrer Website. Stellen Sie sicher, dass der Link von allen Seiten aus sichtbar ist. Verstecken Sie Ihre Datenschutzrichtlinien nicht in den Allgemeinen Geschäftsbedingungen, da die Datenschutzgrundverordnung vorschreibt, dass sie direkt und deutlich sichtbar sein müssen.

Wenn das alles ein bisschen zu viel klingt, sollten Sie wissen, dass GDPRWise es Ihnen wirklich schnell und einfach gemacht hat, eine angemessene Datenschutzrichtlinie zu erstellen. GDPRWise hat die harte Arbeit für Sie erledigt, indem wir sehr spezifische, ausgefüllte Dossiers erstellt haben, die auf Ihren Industriesektor zugeschnitten sind. Wir haben 80 % der Arbeit erledigt, Sie müssen nur noch validieren und verfeinern.

3. Verweisen Sie in Ihrer gesamten Kommunikation auf Ihre Datenschutzpolitik

Die dritte Pflichtaufgabe auf unserer Checkliste zur Einhaltung der DSGVO besteht darin, die Arbeit, die Sie in die Erstellung Ihrer Datenschutzrichtlinie investiert haben, in Ihrer gesamten Kommunikation zu nutzen.

Es reicht nicht aus, eine gute Datenschutzerklärung auf Ihrer Website zu veröffentlichen. Außerdem müssen Sie in jeder Mitteilung eindeutig auf Ihre Datenschutzrichtlinie verweisen. Bei der digitalen Kommunikation sollten Sie Ihren E-Mails und Marketing-/Newsletter-Mitteilungen eine Fußzeile hinzufügen. Verweisen Sie in Ihren Angeboten, Anzeigen, Social-Media-Seiten, Allgemeinen Geschäftsbedingungen und anderen Verträgen auf Ihre Datenschutzrichtlinie. Im Falle eines Arbeitsvertrags sollten Sie sicherstellen, dass Sie eine spezielle Datenschutzrichtlinie für Ihr Personal haben und diese als Anhang hinzufügen (siehe auch unten).

Gegen Unternehmen wurden Bußgelder verhängt, weil sie lediglich auf ihre Website verwiesen und nicht ausdrücklich auf ihre Datenschutzpolitik hingewiesen haben. Wenn Sie sich nicht sicher sind, wie Sie eine Fußzeile erstellen können, fragen Sie Ihren IT-Supportpartner.

Checkliste zur Einhaltung der GDPR für KMU

4. Wenn Sie Cookies setzen, verwenden Sie ein Cookie-Popup

Der vierte Punkt ist das, womit viele Menschen die DSGVO in Verbindung bringen: die gefürchteten Cookie-Popups!

Cookies speichern typischerweise Informationen, die Ihnen als Person zugeordnet werden können, verarbeiten also Ihre persönlichen Daten. Die Datenschutz-Grundverordnung verlangt von allen Unternehmen Transparenz darüber, warum und wie Ihre personenbezogenen Daten verwendet werden. Daher müssen die Unternehmen Sie um Erlaubnis bitten, bevor sie ein Cookie speichern können. Diese Cookies mögen sich lästig anfühlen, aber sie geben jedem von uns die Möglichkeit zu kontrollieren, was wir zulassen und was nicht. Wir möchten zum Beispiel nicht zulassen, dass wir im Internet verfolgt werden.

Als Inhaber einer Website sollten Sie darüber nachdenken, ob Sie nicht auf Cookies verzichten können. Setzen Sie Cookies nicht nur ein, weil Ihre Website mit diesen Cookies ausgestattet ist oder weil die meisten anderen Websites Cookies zu verwenden scheinen, um Besucher zu verfolgen. Unsere eigene Website, GDPRWise.eu, verwendet keine Cookies. Die Privatsphäre ist eine ernste Angelegenheit (und ein Menschenrecht, wohlgemerkt…), also treffen Sie eine gut informierte und bewusste Entscheidung darüber. Unsere Wissensdatenbank kann hier helfen.

Wenn Sie Cookies verwenden, müssen Sie Ihre Besucher informieren, BEVOR Sie welche setzen oder speichern. Der Besucher muss in klarer Sprache informiert werden, und Sie müssen sicherstellen, dass eine eindeutige Zustimmung vorliegt, bevor Sie fortfahren. Es gibt zahlreiche Tools, die Ihnen einen Cookie-Banner oder ein Popup-Fenster zur Verfügung stellen, aber stellen Sie sicher, dass Sie Ihre Website so testen, dass (1) KEINE Cookies gesetzt werden, bevor der Nutzer informiert wurde und seine Entscheidungen mitteilen kann, und (2) nur die Cookies gesetzt werden, denen der Nutzer zugestimmt hat. Im Rahmen Ihrer Informationspflicht gegenüber den Besuchern wird empfohlen, eine Cookie-Richtlinie zu erstellen, aus der hervorgeht, welche Cookies verwendet werden und welche Auswirkungen dies auf die Nutzer hat. Darüber hinaus sollten Sie den Nutzer darüber informieren, wie er eine erteilte Einwilligung widerrufen und gesetzte Cookies entfernen kann.

5. Direktmarketing muss die Quelle nennen und eine Opt-out-Möglichkeit bieten

Dieser fünfte Punkt auf unserer Checkliste für die Einhaltung der DSGVO scheint ziemlich einfach zu sein, erfordert jedoch Disziplin, um richtig zu sein.

Das erste Erfordernis besteht darin, dem Empfänger die Quelle der persönlichen Informationen offen zu legen. Die personenbezogenen Daten des Empfängers wurden entweder direkt vom Empfänger oder indirekt von einer anderen Quelle bezogen. Das Kernstück der DSGVO ist Ihre Pflicht, über die Verarbeitung personenbezogener Daten zu informieren und für Transparenz zu sorgen, weshalb die Quelle aller personenbezogenen Daten erfasst werden muss. Dies setzt voraus, dass Sie über die richtigen Verfahren und die nötige Disziplin verfügen, um die Herkunft personenbezogener Daten zumindest zu dokumentieren.

Gleichzeitig müssen Direktmarketing-E-Mails den Empfängern eine Möglichkeit bieten, sich von solchen zukünftigen Mitteilungen abzumelden, um den Anforderungen der DSGVO zu entsprechen. Dies wird in der Regel durch einen Opt-out-Link oder eine Schaltfläche am Ende der E-Mail erreicht, über die sich der Empfänger aus Ihrer Mailingliste austragen kann. Die meisten Marketingplattformen (z. B. Mailchimp) bieten standardmäßig eine Opt-out-Funktion, so dass es für Sie sehr einfach sein sollte, diese Anforderung zu erfüllen. Der schwierigere Teil besteht darin, sicherzustellen, dass diese Personen in Zukunft keine derartigen Mitteilungen mehr erhalten. Dies setzt voraus, dass Sie über die richtigen Verfahren und die richtige Disziplin verfügen. Beachten Sie, dass Nutzer, die sich abgemeldet haben und dennoch ähnliche Marketingmitteilungen erhalten, sehr wohl eine Beschwerde bei der Aufsichtsbehörde einreichen können. Die Regulierungsbehörde hat bereits Geldstrafen für die Nichteinhaltung dieser GDPR-Anforderung verhängt!

Beachten Sie, dass Sie, wenn Sie eine Marketingplattform nutzen, einige persönliche Daten (z. B. persönliche E-Mail-Adressen, Namen usw.) Ihrer Zielgruppe an die Marketingplattform weitergeben. Fügen Sie also die Marketingplattform als Drittpartei in den Abschnitt Ihrer Datenschutzrichtlinie ein, in dem die gemeinsame Nutzung personenbezogener Daten beschrieben wird.

Direktmarketing ist bei vielen Verbrauchern ein Ärgernis, und die meisten nationalen Regulierungsbehörden haben große Anstrengungen unternommen, um ihre Zielgruppen durch die Veröffentlichung von Leitlinien besser zu informieren und aufzuklären. Informieren Sie sich also auf der Website Ihrer nationalen Datenschutzbehörde über die Leitlinien. Als Beispiel finden Sie hier den Leitfaden für Belgien.

6. Führen eines GDPR-Registers

Dieser sechste Punkt auf unserer Checkliste zur Einhaltung der DSGVO ist einer, nach dem die Aufsichtsbehörde fragen wird, wenn sie bei Ihnen an die Tür klopft.

Die DSGVO verlangt von allen Unternehmen die Führung eines „Verzeichnisses der Verarbeitungstätigkeiten“, das oft auch als GDPR-Register bezeichnet wird. Ihr GDPR-Register muss eine Liste aller Verarbeitungen enthalten, die Ihr Unternehmen mit personenbezogenen Daten vornimmt. Bei den personenbezogenen Daten kann es sich um die Ihrer Kunden, Mitarbeiter, Lieferanten, Partner usw. handeln, die alle in das Register aufgenommen werden sollten. Sie sollten getrennte Verzeichnisse für die Tätigkeiten führen, bei denen Sie der für die Verarbeitung Verantwortliche sind, und für die, bei denen Sie ein Datenverarbeiter sind.

Informieren Sie sich auf der Website Ihrer nationalen Datenschutzbehörde über das Format des Registers und die darin aufzuführenden Informationen.

Alternativ können Sie GDPRWise beitreten, da Sie Ihr GDPR-Register mit einem einzigen Klick erstellen können, sobald Sie das ausgefüllte Dossier validiert haben, das wir auf der Grundlage Ihrer Branche und Ihres Registrierungslandes erstellen.

7. Eine Datenschutzerklärung für das Personal

Dieser siebte Punkt wird oft übersehen, aber da Probleme im Zusammenhang mit der DSGVO oft aus abgebrochenen Mitarbeiterbeziehungen resultieren, sollten Sie ihn unbedingt auf Ihrem Radar haben.

Die Anforderungen der Datenschutz-Grundverordnung und ihr Regelwerk gelten für die Verarbeitung personenbezogener Daten aller betroffenen Personen, nicht nur für Ihre Kunden. Jedes Unternehmen, das Personal auf seiner Gehaltsliste hat oder indirekt durch die Beauftragung unabhängiger Mitarbeiter, verfügt über personenbezogene Daten, um diese Personen einzustellen, zu entlohnen, zu bewerten, zu schulen, zu versichern usw.. Die verarbeiteten personenbezogenen Daten unterscheiden sich in der Regel stark von den Daten, die über Ihre Kunden verarbeitet werden. Daher ist es sinnvoll, eine eigene Datenschutzrichtlinie für die Mitarbeiter zu erstellen, um die Anforderungen der Datenschutz-Grundverordnung (DSGVO) zu erfüllen und Ihre Mitarbeiter über die von Ihnen verarbeiteten Daten und die damit verbundenen Datenschutz- und Sicherheitsvorkehrungen zu informieren.

Wie bei der Datenschutzerklärung für Ihre Kunden kann GDPRWise dies zu einem schnellen und einfachen Prozess machen, da wir die harte Arbeit bereits für Sie erledigt haben und spezifische Branchenprofile erstellt haben, die Ihnen die meisten Antworten bereits liefern.

8. Verwenden Sie Daten einer besonderen Kategorie?

Der achte Punkt auf unserer Checkliste für die Einhaltung der DSGVO macht deutlich, dass nicht alle Datenelemente unter der DSGVO gleich sind.

Einige Daten sind besonders sensibel und erfordern daher zusätzliche Sicherheitsvorkehrungen, um ihren Schutz zu gewährleisten. Diese Sonderkategorie Daten umfasst Artikel, die:

  • die rassische oder ethnische Herkunft offenlegen
  • politische Meinungen preisgeben
  • religiöse oder philosophische Überzeugungen zu offenbaren
  • die Mitgliedschaft in einer Gewerkschaft offenlegen
  • sind genetische Daten
  • sind biometrische Daten
  • die Gesundheit einer Person betrifft
  • die sexuelle Orientierung oder Aktivität einer Person betrifft

Da diese Datenelemente besonders sensibel sind, muss ein Unternehmen einen legitimen und rechtmäßigen Grund für die Erhebung, Speicherung, Übermittlung oder Verarbeitung dieser Daten haben. Den Unternehmen ist es untersagt, diese Daten zu erheben oder zu verarbeiten, es sei denn, es handelt sich um

  • Die ausdrückliche Zustimmung der betroffenen Person liegt vor; oder,
  • Die Verarbeitung ist zur Erfüllung der Pflichten und zur Ausübung bestimmter Rechte des für die Datenverarbeitung Verantwortlichen aus Gründen der Beschäftigung, der sozialen Sicherheit und des sozialen Schutzes erforderlich; oder,
  • Die Verarbeitung ist erforderlich, um die lebenswichtigen Interessen der betroffenen Personen zu schützen, wenn diese physisch oder rechtlich nicht in der Lage sind, ihre Einwilligung zu geben; oder,
  • Die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, aus Gründen eines wichtigen öffentlichen Interesses oder aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit erforderlich; oder,
  • zu Zwecken der Präventiv- oder Arbeitsmedizin; oder,
  • Die Verarbeitung ist für im öffentlichen Interesse liegende Archivierungszwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke erforderlich; oder,
  • Die Verarbeitung bezieht sich auf personenbezogene Daten, die von der betroffenen Person offenkundig öffentlich gemacht wurden; oder,
  • Die Verarbeitung erfolgt im Rahmen der rechtmäßigen Tätigkeiten mit angemessenen Garantien durch eine Stiftung, einen Verein oder eine andere gemeinnützige Einrichtung mit politischer, weltanschaulicher, religiöser oder gewerkschaftlicher Zielsetzung und unter der Bedingung, dass sich die Verarbeitung ausschließlich auf die Mitglieder oder ehemaligen Mitglieder der Einrichtung oder auf Personen bezieht, die im Zusammenhang mit den Zwecken der Einrichtung regelmäßig mit ihr in Kontakt stehen, und dass die personenbezogenen Daten nicht ohne Einwilligung der betroffenen Personen außerhalb der Einrichtung weitergegeben werden.

Personenbezogene Daten, die sich auf Straftaten und Verurteilungen beziehen, sind nicht eingeschlossen, aber es gelten gesonderte Verarbeitungsgarantien. Artikel 10 der Datenschutzgrundverordnung gibt Ihnen weitere Informationen dazu.

9. Überprüfung der Sicherheitspraktiken

Punkt Nummer neun auf unserer Checkliste zur Einhaltung der DSGVO bereitet den meisten großen Unternehmen angesichts ihrer Größe Kopfzerbrechen, aber für kleine und mittlere Unternehmen sollte dies durchaus machbar sein.

Keine Privatsphäre ohne angemessene Sicherheitsmaßnahmen. Sie werden uns sicher zustimmen, dass Sie den Schutz der personenbezogenen Daten Ihrer Kunden nicht garantieren können, wenn diese Daten in einer Online-Datei gespeichert werden, die ohne Benutzernamen oder Passwort zugänglich ist. Mit anderen Worten: Datenschutz und Sicherheit gehen Hand in Hand.

Es ist wichtig zu beachten, dass Sicherheit nicht eine Sache ist, sondern eine Sammlung von Ansätzen, Praktiken und Maßnahmen, die nur so stark sind wie ihr schwächstes Glied. Wir haben eine Wissensdatenbank zum Thema Datensicherheit erstellt – was Sie zu Ihrem Vorteil beachten sollten. Die zugehörigen Wissensdatenbanken enthalten auch praktische Tipps, z. B. eine Liste mit Fragen, die Sie Ihrem IT-Supportpartner stellen können.

Checkliste zur Einhaltung der GDPR für KMU

Wenn Sie mit den Grundlagen der Datensicherheit vertraut sind, sollten Sie und Ihr IT-Supportpartner Ihr GDPR-Register nutzen und die Liste der verwendeten Systeme durcharbeiten. Als Minimum sollten Sie die folgenden Aspekte überprüfen:

    • Ist die physische Sicherheit angemessen?

Befindet sich das System an einem physischen Ort, der angemessen sicher ist? Für alle Systeme, die weltweit bekannte Cloud-Systeme sind (z. B. Microsoft.com, Shopify.com), lautet die Antwort meist Ja, was durch die von ihnen erhaltenen und veröffentlichten Sicherheitszertifizierungen belegt wird. Bei allen Systemen, die in Ihrem Unternehmen gehostet werden, müssen Sie sicherstellen, dass nur geeignete Personen Zugang zu den Räumlichkeiten, dem Büro, dem Serverraum des Geschäfts, dem Aktenschrank usw. haben. Für die unvermeidlichen Papierdokumente, die in den meisten Unternehmen immer noch vorhanden sind, haben wir einen speziellen Artikel in der Wissensdatenbank erstellt: Datensicherheit für Papierdokumente.

    • Ist die System- und Softwaresicherheit angemessen?

Schauen Sie sich unseren speziellen Wissensartikel Sicherheit für Systeme und Software – Grundsätze an, um dieses Thema zu vertiefen. Es gibt eine Reihe von Aspekten, die Sie überprüfen sollten, und Maßnahmen, die Sie anwenden können. Hier einige Beispiele: Sind auf allen Systemen die neuesten Sicherheits-Patches installiert? Gibt es für alle Systeme eine angemessene Zugangskontrolle? Haben Sie, wenn möglich, die Zwei-Faktor-Authentifizierung aktiviert? Erzwingt das System sichere Passwörter? Können wir Daten, die wir nicht verwenden, im Einklang mit dem Grundsatz der Datenminimierung der DSGVO entfernen oder ausblenden?

    • Ist die Datensicherheit angemessen?

Für KMUs gibt es hier zwei zentrale Aspekte zu beachten: Backups und Datenverschlüsselung. Vergewissern Sie sich, dass die Systeme gesichert sind und dass diese Sicherungen an einem sicheren Ort aufbewahrt werden. Gleichzeitig wollen Sie von Zeit zu Zeit testen, ob eine Wiederherstellung erfolgreich durchgeführt werden kann. Was die Datenverschlüsselung angeht, so sollten Sie sicherstellen, dass alle personenbezogenen Daten sowohl im Ruhezustand als auch bei der Übertragung verschlüsselt sind. Weitere Informationen finden Sie in unserer Wissensdatenbank unter dem Titel Datensicherheit – was ist zu beachten?

    • Werden alle Maßnahmen regelmäßig überprüft?

Ihre Sicherheitsvorkehrungen müssen regelmäßig überprüft und aktualisiert werden. Dies gilt nicht nur für Ihre Ausrüstung und Infrastruktur, sondern auch für die Menschen, die diese bedienen und nutzen. Wir möchten betonen, wie wichtig es ist, den Faktor Mensch nicht zu vernachlässigen, denn es hat sich immer wieder gezeigt, dass er das schwächste Glied in der Verteidigung von Sicherheit und Datenschutz ist. Sie müssen dafür sorgen, dass die richtigen Gewohnheiten in Bezug auf Sicherheit und Datenschutz beachtet und im Geschäftsalltag angewendet werden. Es gibt viele Online-Lernplattformen, die Schulungen zum Sicherheitsbewusstsein und zum Datenschutz zu sehr günstigen Preisen anbieten. Für einen sicheren und datenschutzkonformen Betrieb ist es unerlässlich, dass alle neuen Mitarbeiter und das gesamte Personal mindestens einmal im Jahr an diesen Schulungen teilnehmen. Es wird empfohlen, dass Sie einen Verhaltenskodex einführen, der Sicherheit und Datenschutz sowie andere ethische Geschäftspraktiken umfasst.

10. Operationalisierung der GDPR-Rechte

Dieser zehnte Check auf unserer Checkliste zur Einhaltung der DSGVO sollte ziemlich einfach zu implementieren sein.

Die DSGVO sieht vor, dass betroffene Personen nun Rechte haben, die sie in Bezug auf die Verarbeitung ihrer personenbezogenen Daten ausüben können. Die bekanntesten sind wohl das Recht auf Auskunft und das Recht auf Vergessenwerden. Tatsächlich gibt es 9 dieser Rechte, die in unserem Artikel GDPR Data Subject Rights (Rechte der betroffenen Person) beschrieben werden.

Abgesehen von der Anforderung, die Datenrechte in Ihrer Datenschutzpolitik aufzuführen, muss Ihr Unternehmen diese natürlich auch umsetzen. Mit anderen Worten: Wenn ein Kunde darum bittet, seine Daten zu vergessen und zu löschen, müssen Sie über die entsprechenden Verfahren und Möglichkeiten verfügen, um die Daten zu entfernen (oder zu anonymisieren). Im Zweifelsfall oder wenn man diesen Aspekt lieber auslagern möchte, bieten viele Firmen diese Dienstleistungen für den Datenschutzkoordinator zu in der Regel günstigen Preisen an.

11. Schulungen zum Datenschutz für alle Mitarbeiter, die mit personenbezogenen Daten umgehen

In der Daten- und Technologiebranche wird der menschliche Faktor oft übersehen. Dieser elfte Punkt auf unserer Checkliste für die Einhaltung der DSGVO ist genauso wichtig wie alle anderen, wenn nicht sogar noch wichtiger.

Es hat sich immer wieder gezeigt, dass der Mensch das schwächste Glied in der Verteidigung der Sicherheit und der Privatsphäre ist. Sie können noch so gute Sicherheitsvorkehrungen treffen, wenn ein Kollege auf einen Link in einer bösartigen (Phishing-)E-Mail klickt und unwissentlich auf eine gefälschte Website gelangt, auf der sein Firmenlogin und sein Passwort gestohlen werden, sind Ihre Sicherheitsvorkehrungen in Gefahr. Ebenso ist es ein menschliches Versehen, wenn ein Kollege alle Ihre Kunden in CC statt in BCC einträgt oder wenn ein Kollege versehentlich eine medizinische Akte an den falschen Patienten schickt.

Es muss sichergestellt werden, dass die richtigen Sicherheits- und Datenschutzgewohnheiten im Geschäftsalltag berücksichtigt und angewendet werden. Es wird empfohlen, dass Sie einen Verhaltenskodex einführen, der Sicherheit und Datenschutz sowie andere ethische Geschäftspraktiken umfasst. In den meisten Unternehmen gibt es unsichere Praktiken, die durch Sensibilisierungsmaßnahmen leicht behoben werden können. Wir haben einen eigenen Artikel in der Wissensdatenbank zum Thema Datensicherheit – der menschliche Faktor erstellt.

12. Meldung von Verstößen

Die Aufsichtsbehörde hält diesen zwölften Punkt auf unserer Checkliste für die Einhaltung der DSGVO für sehr wichtig, und er hat zu einer ganzen Reihe von Geldbußen geführt, wenn sich herausstellte, dass die Unternehmen die Vorschriften nicht einhielten.

Zunächst einmal sollten Sie wissen, dass eine Sicherheitsverletzung nicht nur darin besteht, dass ein Hacker in Ihr Netzwerk eindringt. Eine Verletzung der Sicherheit ist jeder Vorfall, der zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Weitergabe von oder zum Zugriff auf personenbezogene Daten führt, unabhängig davon, ob diese gespeichert, übermittelt oder auf andere Weise verarbeitet werden. Ein Kollege, der einen Finanzbericht an den falschen Kunden schickt, ist also ebenso ein Verstoß wie ein Kollege, der einen USB-Stick mit personenbezogenen Daten verliert, oder jemand, der versehentlich personenbezogene Daten löscht.

Alle Verstöße müssen intern in einem Protokoll über Datenschutzverletzungen festgehalten werden, das von Ihrem Unternehmen geführt werden muss. Einige Verstöße müssen der Aufsichtsbehörde und möglicherweise sogar den von dem Verstoß betroffenen Personen gemeldet werden. Siehe unseren Artikel in der Wissensdatenbank, der sich mit dem Thema Datenschutzverletzungen befasst.

13. Internationale Erwägungen

Dieser dreizehnte Punkt auf unserer Checkliste zur Einhaltung der DSGVO ist für zwei Arten von Unternehmen relevant: Unternehmen, die außerhalb der EU ansässig sind, aber den EU-Markt bedienen, und Unternehmen, die in mehr als einem EU-Mitgliedstaat tätig sind. Diejenigen, die Berührungspunkte mit dem Brexit haben, sollten ebenfalls aufmerksam sein.

Nach Artikel 27 der Datenschutz-Grundverordnung muss jedes Unternehmen, das außerhalb der EU ansässig ist, aber den EU-Markt bedient, einen Vertreter mit Sitz in der EU haben. Die kosteneffizienteste Lösung für KMU-Firmen dürfte darin bestehen, einen Datenbeauftragten aus einer Reihe kommerzieller Angebote auf dem Markt zu beschaffen oder eine in der EU ansässige Anwaltskanzlei mit der Wahrnehmung dieser Aufgabe zu beauftragen.

Für Unternehmen mit Datenverarbeitungstätigkeiten in mehr als einem EU-Mitgliedsstaat sieht die DSGVO-Verordnung vor, dass die nationale Behörde, die in allen DSGVO-Angelegenheiten federführend sein wird, danach bestimmt wird, wo Ihr Unternehmen seine Hauptverwaltung hat oder wo Entscheidungen über die Datenverarbeitung getroffen werden.

Zum Zeitpunkt der Erstellung dieses Berichts ist der Brexit erst einen Monat alt und das Austrittsabkommen sieht eine maximal sechsmonatige Schonfrist vor, in der sich nichts ändert. Wenn es eine Aktualisierung gibt, wird diese Prüfung aktualisiert.

Zusammenfassung der Einhaltung der GDPR

Die Einhaltung der DSGVO mag beängstigend klingen, aber glauben Sie uns, es ist gar nicht so schwer. Es erfordert allerdings eine gewisse Hingabe an das Thema. Schließlich ist der Schutz der Privatsphäre ein Menschenrecht, und Sie möchten genauso wie alle anderen, dass Organisationen Ihre persönlichen Daten mit der gebührenden Sorgfalt behandeln.

Gehen Sie also unsere Checkliste zur Einhaltung der DSGVO durch und stellen Sie zuallererst sicher, dass Sie die erforderliche Dokumentation erstellen. Beginnen Sie mit Ihrem GDPR-Register, da diese Auflistung es Ihnen ermöglicht, eine Datenschutzrichtlinie zu dokumentieren, die genau widerspiegelt, wie Ihre Organisation personenbezogene Daten verarbeitet. Diese Dokumente ermöglichen es Ihnen, Ihre Kunden (und alle anderen betroffenen Personen) zu informieren und somit die Anforderungen der DSGVO an die Transparenz zu erfüllen. Anschließend können Sie Ihr GDPR-Register nutzen, um Ihre Sicherheitspraktiken für jeden einzelnen Prozess zu überprüfen und bei Bedarf zu verbessern. Nicht zuletzt müssen Sie sicherstellen, dass Sie die Rechte der betroffenen Personen gemäß der DSGVO umsetzen, damit Sie auf alle Anfragen reagieren können.

Haftungsausschluss
Die hier zur Verfügung gestellten Informationen stellen keine Rechtsberatung dar und können einen Rechtsbeistand für Ihre speziellen Bedürfnisse nicht ersetzen. Einige der dargestellten Informationen treffen auf Sie möglicherweise nicht oder nur sehr eingeschränkt zu. Bitte konsultieren Sie Ihren Rechtsbeistand, um sicherzustellen, dass Sie Ihren rechtlichen Verpflichtungen nachkommen.

 

Checkliste zur Einhaltung der GDPR