DSGVO in fünf Schritten

Die DSGVO wird ab dem 25.05.18 angewandt. Höchste Zeit alle zentralen Aspekte in einem kurzen Artikel zusammenzufassen. Es folgen die (ersten) fünf Schritte zur DSGVO Umsetzung:

Verarbeitungsverzeichnis erstellen

Jede Verarbeitungstätigkeit personenbezogener Daten muss in einem Verzeichnis dokumentiert werden. Dabei sollte man direkt sämtliche Dokumentationspflichten aller Artikel der DSGVO erfüllen: Dokumentation der Informationspflichten, Zweck der Verarbeitung und Rechtsgrundlage, Liste der Auftragsverarbeiter, Verarbeitung in Drittländern, Folgenabschätzung, Dokumentation der TOM. Dabei müssen alle Informationen stets aktuell gehalten werden.

Verträge über Auftragsverarbeitung schließen

Nimmt man einen E-Mail Provider, Hostinganbieter oder IT-Support mit vollem Datenzugriff in Anspruch so liegt eine Auftragsverarbeitung vor. Dazu ist zwingend ein Vertrag zwischen Verantwortlichem und Auftragsverarbeiter zu schließen der Details zur Datensicherheit, Löschfristen und zu technischen und organisatorischen Maßnahmen des Verarbeiters beinhaltet. Besondere Vorsicht ist geboten wenn der Auftragsverarbeiter im EU-Ausland ansässig ist.

Datenschutzbeauftragten bestellen

Sind regelmäßig mehr als 10 Personen (dies können auch externe oder Teilzeitkräfte sein) mit der Verarbeitung personenbezogener Daten betraut, ist auf jeden Fall ein Datenschutzbeauftragter zu bestellen. Falls es weniger Personen sind, aber besondere Kategorien von Daten als Kerntätigkeit verarbeitet werden oder aber eine systematische Überwachung der Person stattfindet, so ist auch ein Datenschutzbeauftragter zu bestellen. Dieser muss kein eigener Mitarbeiter sein, sondern kann auch extern bestellt werden.

Prozesse aktualisieren

Der Prozess der Datenerhebung und eine ggf. vorhandene Einwilligungserklärung müssen an die DSGVO angepasst werden, um allen dortigen Informationspflichten zu genügen. Online ist eine Anpassung der Datenschutzerklärung notwendig.

Ferner sollte ein Löschprozess etabliert werden, in dem personenbezogenen Daten, nachdem ihre Aufbewahrungsfrist abgelaufen ist, sicher gelöscht werden.

Im Falle einer Datenschutzpanne  besteht eine gesetzliche Meldefrist an die zuständige Datenschutzbehörde binnen 72 Stunden. Auch diese Verpflichtung muss in einem Prozess abgebildet werden.

IT-Sicherheit gewährleisten

Sämtliche Software, die personenbezogenen Daten speichert oder verarbeitet, sollte mit Updates aktuell gehalten werden. Jeder Zugang sollte mit starken Passwörter abgesichert werden. Berechtigungsmanagement sollte den Zugriff von Nutzeraccounts auf jene Daten einschränken, die für ihre Tätigkeit unbedingt notwendig sind. Regelmäßige Backups müssen angefertigt und sicher gespeichert werden. Organisatorisch muss IT-Sicherheit durch Zugangskonzepte, unternehmensweite Sicherheitsrichtlinien und Mitarbeiterweiterbildungen gewährleistet werden.

 

Ganz schön viel zu tun. Ich helfe gerne weiter.