Lösungen zur rechtsicheren Umsetzung der Datenschutz-Grundverordnung (DSGVO) – Projektmanagement,
Prozessautomatisierung und -dokumentation
Was kommt auf Sie zu?
Am 25. Mai tritt die neue Datenschutz-Grundverordnung (DSGVO) in
Kraft, die Unternehmen bewegen soll, persönliche Daten von Kunden und Mitarbeitern besser zu schützen. Das umfangreiche Gesetz (99 Artikel) ist für Nicht-Juristen kaum zu durchschauen. Und es stehen
hohe Strafen im Raum: Die maximale Geldbuße beträgt bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr
Welche Anforderungen sind zu erfüllen?
Die DSGVO schreibt technische und
organisatorische Maßnahmen zur Gewährleistung des Schutzes personenbezogener Daten für eine rechtskonforme Umsetzung vor.:
- Datenschutzbeauftragten benennen
Unternehmen müssen unter bestimmten Voraussetzungen einen Datenschutzbeauftragten benennen.
Er ist Pflicht, wenn im Unternehmen personenbezogene Daten per EDV verarbeitet werden. Personenbezogene Daten sind insbesondere Kundendaten und Mitarbeiterdaten. Ausnahmen bestehen nur für
Unternehmen, bei denen regelmäßig weniger als 9 Mitarbeiter mit der Datenverarbeitung beschäftigt sind, sofern keine Daten „mit hohem Risiko für die Betroffenen“ verarbeitet
werden.
- Verzeichnis der Verarbeitungstätigkeiten anlegen
Jedes Unternehmen muss ein „Verzeichnis der Verarbeitungstätigkeiten“ anlegen. Das ist eine
Übersicht, welche Daten wann, wie und warum im Unternehmen erhoben werden: Kundendaten, Lieferantendaten und Mitarbeiterdaten. Die Unternehmen müssen darüber hinaus den Weg der Daten nachzeichnen,
von der Erhebung, über die Speicherung, bis hin zur Nutzung. Dies bezieht auch Lieferanten und Partner mit ein.
- Prozesse festlegen und Prozesshandbuch erstellen
Unternehmer sollten jetzt alle mit Datenverarbeitung verbundenen Prozesse dokumentieren und
– wenn nötig – optimieren. Bei größeren Unternehmen sollte ein Projektverantwortlicher ernannt werden, der alle Datenverarbeitungsvorgänge im Unternehmen aufnimmt und auch bei Lieferanten und
Partnern und dokumentiert.
- Datenschutz-Folgenabschätzung durchführen
Wer mit besonders sensiblen Daten arbeitet, muss damit besonders umsichtig umgehen und dann
eine Datenschutz-Folgeabschätzung durchführen. Das gilt für alle Unternehmen, die eine Identifizierung und Kategorisierung der Person ermöglichen (z.B. nach Themen wie Sexualität, Krankheiten,
Finanzen, rassische oder ethnische Herkunft oder politischen Ansichten) – denn hier besteht ein besonders hohes Risiko für die Betroffenen. Ein hohes Risiko kann sich aus der Art der Daten,
ihrem Umfang oder dem Zweck der Datenverarbeitung ergeben. Ziel der Datenschutz-Folgeabschätzung ist, die Risiken für die Persönlichkeitsrechte der betroffenen Personen zu kennen, um so geeignete
Schutzmaßnahmen treffen zu können.
- Informations- und Mitteilungspflichten sowie Verbraucherrechte gewährleisten
Die DSGVO räumt den Betroffenen umfangreiche Informations- und Auskunftsrechte ein und legt
den Unternehmen Mitteilungspflichten auf. Zudem haben die Betroffenen ein Recht auf Widerruf von Einwilligungen sowie die Mitnahme der Daten.
- Anstrengungen Dokumentieren
Unternehmer sollten alle ihre Anstrengungen dokumentieren: Zu welchem Seminar ist der
Datenschutzbeauftragte gegangen? Welche Sicherheitssysteme wurden wann installiert? Welche Verträge wurden mit Dienstleistern geschlossen? Denn selbst bei Datenlecks oder Verstößen wie Fehlern in der
Datenschutz-Erklärung besteht bei guter Dokumentation die Chance, ohne Bußgeld davonzukommen. Dazu müssen die Unterlagen auf Anfrage umgehend (innerhalb von 72 h) vorlegt
werden.
Wer ist betroffen?
Die Umsetzung der DSGVO-Anforderungen ergibt sich für alle internen und externen
Datenverarbeitungsvorgänge, in denen Kunden- Lieferanten- und Mitarbeiter-Daten erhoben und verarbeitet werden. Damit sind mehr oder weniger alle Unternehmensbereiche
betroffen:
- Vertrieb
- Marketing
- HR
- IT
- Einkauf
Was können wir für Sie tun?
Wir beraten Sie umfassend und begleiten Sie bei der Umsetzung der
Maßnahmen:
- Risikobeurteilung und Datenschutz-Folgeabschätzung
- Projektmanagement (Projektplanung, Umsetzung, Transformation)
- Prozessanalyse, Prozessdefinition und -optimierung
- Bereitstellung von Workflowlösungen für das Rechtehandling und
Verarbeitungsprozesse
- Bereitstellung von Workflowlösungen für Datenmitnahme, –Löschung sowie
Informations- und Mitteilungspflichten