Home Ausbildung Betriebsführung Per Checkliste zur erfolgreichen Umsetzung

Die Datenschutz-Grundverordnung kommt:

Per Checkliste zur erfolgreichen Umsetzung

placeholder
Ab heute dem 25. Mai 2018 sind alle Unternehmen dazu verpflichtet, die Vorgaben der Datenschutz-Grundverordnung (DSGVO) zu erfüllen. Wie die meisten Akteure und Entscheider inzwischen wissen, ist die DSGVO ein von der Europäischen Union verabschiedetes umfassendes Datenschutzgesetz. Es überträgt das Eigentum an Kundendaten von den Organisationen, die sie verwenden, auf den einzelnen Kunden. Die neue Verordnung gilt für Unternehmen, die mit den Kundendaten von EU-Bürgern arbeiten. Dadurch erhält die DSGVO den Charakter eines globalen Datenschutzgesetzes.

Allerdings ist der Einsatz für Unternehmen hoch: Nichteinhaltung führt im Extremfall zu einer Geldstrafe von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes der Unternehmensgruppe – je nachdem, welcher Betrag höher ist. Und nach dem jüngsten Missbrauch von Kundendaten durch Facebook sind alle Augen auf den angemessenen Schutz privater Daten gerichtet.

Zentrale Aspekte rund um die Umsetzung der DSGVO

Nach einer zweijährigen Vorbereitungszeit wird es nun endgültig ernst und angesichts der Flut von Kundendaten, die künftig unter dem Schutz der DSGVO stehen, empfinden viele Unternehmen die Umsetzung als wahre Herkulesaufgabe. Darunter fallen sämtliche Daten, die zur Identifizierung eines Individuums verwendet werden können. Trotzdem lohnt es sich, die zentralen Anforderungen mit kühlem Blick unter die Lupe zu nehmen und sich darüber klar zu werden, was für die Umsetzung der Verordnung zu tun ist.

1. Einwilligung des Kunden einholen

Die wichtigste Maxime: Im Zweifelsfall zuerst fragen! Die DSGVO schreibt vor, dass Unternehmen vor der Verarbeitung oder Speicherung von Kundendaten die Zustimmung des Kunden einholen müssen. Der Antrag auf Einwilligung muss nicht nur unmissverständlich formuliert sein, sondern auch klar darlegen, wie die Daten des Kunden verwendet und lange sie gespeichert werden. Galten Stillschweigen oder Untätigkeit des Kunden früher als Zustimmung, ist das bei der DSGVO nicht mehr der Fall. Stattdessen müssen Unternehmen nachweisen, dass sie die Zustimmung des Kunden zur Nutzung seiner Daten erhalten haben. Darüber hinaus müssen die Einwilligungsbedingungen stets mit den aktuellsten Kundendaten und dem Zweck, für den sie verwendet werden, übereinstimmen. Wenn hier eine Änderung erfolgt, ist ein neuer Antrag geboten. Zudem haben Kunden jederzeit das Recht, ihre Einwilligung zu widerrufen, was jedes Unternehmen dazu verpflichtet, innerhalb eines angemessenen Zeitraums entsprechend zu reagieren und zu handeln.

2. Einstellung eines Datenschutzbeauftragten

Der Datenschutzbeauftragte ist der direkte Ansprechpartner für Fragen rund um die Einhaltung der DSGVO. Ob ein Unternehmen einen Datenschutzbeauftragten benötigt, muss einzelfallspezifisch sorgfältig geprüft werden. Da Unternehmen jedoch generell zur Einhaltung des Datenschutzes und entsprechender Maßnahmen verpflichtet sind, wird die Einstellung eines Datenschutzbeauftragten insbesondere größeren Unternehmen empfohlen. Doch was genau beinhaltet seine Funktion?
  • Regelmäßiges und systematisches Monitoring der betroffenen Personen
  • Bearbeitung von speziellen Datenkategorien
  • Durchführung eines Data Protection Impact Assessment (DPIA)
Wenn ein Unternehmen personenbezogene Daten dauerhaft speichert, muss vor jedem Projekt, das solche personenbezogenen Daten beinhaltet, eine Datenschutzfolgenabschätzung (Data Protection Impact Assessment, DPIA) durchgeführt werden. Dahinter verbirgt sich eine Prüfung der hauseigenen Prozesse und Verfahren einer Organisation. Im Zuge dessen wird ermittelt, wie sich die Prozesse auf die Privatsphäre der Personen, deren Daten gespeichert, gesammelt oder verarbeitet werden, auswirken oder diese gefährden könnten. Ein DPIA verfolgt drei Ziele:
  • Gesicherte Einhaltung der geltenden gesetzlichen, regulatorischen und politischen Anforderungen bezüglich Datenschutz
  • Ermittlung der Risiken und Auswirkungen
  • Evaluierung von Schutzmaßnahmen und alternativen Verfahren zur Minimierung potenzieller Datenschutzrisiken

3. Alarm bei Datenverstößen auslösen

Trotz aller Vorkehrungen beinhalten Datenschutzverletzungen für Unternehmen ein erhebliches Risiko nicht nur im Hinblick auf die Einhaltung der DSGVO, sondern vor allem für die Privatsphäre und das Vertrauen der Kunden. Im Falle einer Verletzung der DSGVO besteht die Pflicht, die lokalen Datenschutzbehörden innerhalb von 72 Stunden nach Feststellung des Verstoßes zu informieren. Das bedeutet aber auch, dass Unternehmen die geeignete Technologie und entsprechende Verfahren benötigen, um Verstöße innerhalb dieses Zeitrahmens zu erkennen und zu beheben. Um diese strenge Anforderung zu erfüllen, kann also eine Überarbeitung der internen Datensicherheitsrichtlinien sowie eine umfassende Schulung der Mitarbeiter erforderlich sein. So lässt sich sicherstellen und dokumentieren, dass im Unternehmen ein angemessener Reaktionsplan für Bedrohungen durch Datenverstöße vorliegt und bei Bedarf greift.

4. Das Recht auf Vergessen respektieren

Die DSGVO unterstützt das Prinzip der Datenminimierung, wonach Unternehmen nur diejenigen personenbezogenen Daten verwenden und aufbewahren dürfen, die zu einem bestimmten Zeitpunkt für einen bestimmten Zweck benötigt werden. Demnach sollte alles gelöscht werden, was nicht für den vorgesehenen Zweck und die vorgesehene Dauer benötigt wird. Darüber hinaus hat der Kunde, wie bereits erwähnt, jederzeit das Recht, seine Einwilligung zu revidieren und die Löschung der Daten zu verlangen. Unternehmen müssen dann alle Spuren der betreffenden Kundendaten aus ihren Repositories entfernen, in denen die Daten geteilt und gespeichert wurden.

Fazit

Um die Anforderungen der DSGVO lückenlos zu erfüllen, muss ein Prozess in Gang gesetzt werden, der sich durchaus über mehrere Wochen erstrecken kann. Dennoch gibt es überhaupt keinen Grund zu verzagen: Der Schutz der Kundendaten ist ein hohes Gut und am Ende profitieren vor allem die Unternehmen, die sich der Herausforderung entschlossen und mit Weitblick stellen. Wer strategisch vorgeht und alle relevanten Aspekte berücksichtigt, kann daher die Verordnung schnell und erfolgreich umsetzen.

Autor: Manuel Grenacher, core systems
Über den Autor
Autorenbild
Manuel Grenacher

Manuel Grenacher ist Gründer und CEO der Coresystems AG, einem führenden Anbieter von mobilen und cloudbasierten Softwarelösungen in den Segmenten Field Service Management und Workforce Management.

Newsletter

Das Neueste von
elektro.net direkt in Ihren Posteingang!