Aktuelles

Lösungen zur rechtsicheren Umsetzung der Datenschutz-Grundverordnung (DSGVO) – Projektmanagement, Prozessautomatisierung und -dokumentation

Was kommt auf Sie zu?

Am 25. Mai tritt die neue Datenschutz-Grundverordnung (DSGVO) in Kraft, die Unternehmen bewegen soll, persönliche Daten von Kunden und Mitarbeitern besser zu schützen. Das umfangreiche Gesetz (99 Artikel) ist für Nicht-Juristen kaum zu durchschauen. Und es stehen hohe Strafen im Raum: Die maximale Geldbuße beträgt bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr

Welche Anforderungen sind zu erfüllen?

Die DSGVO schreibt technische und organisatorische Maßnahmen  zur Gewährleistung des Schutzes personenbezogener Daten für eine rechtskonforme Umsetzung vor.:

1. Datenschutzbeauftragten benennen
   Unternehmen müssen unter bestimmten Voraussetzungen einen Datenschutzbeauftragten benennen. Er ist Pflicht, wenn im Unternehmen personenbezogene Daten per EDV verarbeitet werden. Personenbezogene Daten sind insbesondere Kundendaten und Mitarbeiterdaten. Ausnahmen bestehen nur für Unternehmen, bei denen regelmäßig weniger als 9 Mitarbeiter mit der Datenverarbeitung beschäftigt sind, sofern keine Daten „mit hohem Risiko für die Betroffenen“ verarbeitet werden.
    
2. Verzeichnis der Verarbeitungstätigkeiten anlegen
   Jedes Unternehmen muss ein „Verzeichnis der Verarbeitungstätigkeiten“ anlegen. Das ist eine Übersicht, welche Daten wann, wie und warum im Unternehmen erhoben werden: Kundendaten, Lieferantendaten und Mitarbeiterdaten. Die Unternehmen müssen darüber hinaus den Weg der Daten nachzeichnen, von der Erhebung, über die Speicherung,  bis hin zur Nutzung. Dies bezieht auch Lieferanten und Partner mit ein.
    
3. Prozesse festlegen und Prozesshandbuch erstellen
   Unternehmer sollten jetzt alle mit Datenverarbeitung verbundenen Prozesse dokumentieren und – wenn nötig – optimieren. Bei größeren Unternehmen sollte ein Projektverantwortlicher ernannt werden, der alle Datenverarbeitungsvorgänge im Unternehmen aufnimmt und auch bei Lieferanten und Partnern und dokumentiert.
    
4. Datenschutz-Folgenabschätzung durchführen
   Wer mit besonders sensiblen Daten arbeitet, muss damit besonders umsichtig umgehen und dann eine Datenschutz-Folgeabschätzung durchführen. Das gilt für alle Unternehmen, die eine Identifizierung und Kategorisierung der Person ermöglichen (z.B. nach Themen wie Sexualität, Krankheiten, Finanzen, rassische oder ethnische Herkunft oder politischen Ansichten)  – denn hier besteht ein besonders hohes Risiko für die Betroffenen. Ein hohes Risiko kann sich aus der Art der Daten, ihrem Umfang oder dem Zweck der Datenverarbeitung ergeben. Ziel der Datenschutz-Folgeabschätzung ist, die Risiken für die Persönlichkeitsrechte der betroffenen Personen zu kennen, um so geeignete Schutzmaßnahmen treffen zu können.
    
5. Informations- und Mitteilungspflichten sowie Verbraucherrechte gewährleisten
   Die DSGVO räumt den Betroffenen umfangreiche Informations- und Auskunftsrechte ein und legt den Unternehmen Mitteilungspflichten auf. Zudem haben die Betroffenen ein Recht auf Widerruf von Einwilligungen sowie die Mitnahme der Daten.
    
6. Anstrengungen Dokumentieren
   Unternehmer sollten alle ihre Anstrengungen dokumentieren: Zu welchem Seminar ist der Datenschutzbeauftragte gegangen? Welche Sicherheitssysteme wurden wann installiert? Welche Verträge wurden mit Dienstleistern geschlossen? Denn selbst bei Datenlecks oder Verstößen wie Fehlern in der Datenschutz-Erklärung besteht bei guter Dokumentation die Chance, ohne Bußgeld davonzukommen. Dazu müssen die Unterlagen auf Anfrage umgehend (innerhalb von 72 h) vorlegt werden.

Wer ist betroffen?

Die Umsetzung der DSGVO-Anforderungen ergibt sich für alle internen und externen Datenverarbeitungsvorgänge, in denen Kunden- Lieferanten- und Mitarbeiter-Daten erhoben und verarbeitet werden. Damit sind mehr oder weniger alle Unternehmensbereiche betroffen:

• Vertrieb
• Marketing
• HR
• IT
• Einkauf

Was können wir für Sie tun?

Wir beraten Sie umfassend und begleiten Sie bei der Umsetzung der Maßnahmen:

• Risikobeurteilung und Datenschutz-Folgeabschätzung
• Projektmanagement (Projektplanung, Umsetzung, Transformation)
• Prozessanalyse, Prozessdefinition und -optimierung
• Bereitstellung von Workflowlösungen für das Rechtehandling und Verarbeitungsprozesse
• Bereitstellung von Workflowlösungen für Datenmitnahme, –Löschung sowie  Informations- und Mitteilungspflichten