In vier Schritten zur Einhaltung der DSGVO
Ein klarer Leitfaden
Veröffentlicht am: 5. April 2018 – aktualisiert am 20.08.2021
Der erste Schritt ist bekanntlich der schwerste. Aber: Jetzt machen lohnt sich! Wir zeigen Ihnen, wie Sie sich in 4 Schritten in Richtung „Einhaltung der DSGVO“ bewegen und die DSGVO in Ihrem Unternehmen künftig sicher umsetzen.
Die DSGVO nochmal in Kürze und im Überblick:
Seit dem 25. Mai 2018 gilt die Datenschutzgrundverordnung (kurz: DSGVO in englisch GDPR) für alle Unternehmen in Deutschland und der EU, die personenbezogene Daten von EU-Bürgern erfassen.
Bei Verstößen gegen die geltenden Regeln drohen hohe Strafen. Das macht es aus Unternehmenssicht wesentlich kostspieliger, erwischt zu werden als bisher, gleichzeitig aber auch für die Aufsichtsbehörden interessanter, Unternehmen einen Verstoß nachzuweisen.
Nochmal zum detaillierten Nachlesen: Grundlegende und ausführlichere Informationen zur DSGVO finden Sie hier.
Wichtig zu wissen: Bereits der immaterielle Schaden, den eine Person davongetragen haben kann, ist dem Betroffenen zu ersetzen.
Je nach Größe und Art des Unternehmens fallen Art und Menge der erfassten personenbezogenen Daten unterschiedlich aus. Demnach variiert auch das detaillierte Vorgehen, um einen Schutz für die Daten herzustellen, sodass die DSGVO-Konformität gegeben ist.
Aber: Mit diesen vier Schritten haben Sie die Grundlage, um notwendige Maßnahmen zu identifizieren und gezielt und vorbereitet in Richtung „Einhaltung der DSGVO“ gehen zu können.
Los geht‘s!
Schritt 1: Die Bestandsaufnahme - der Check für die Grundlagen der Einhaltung der DSGVO
Analysieren Sie, ob und in welchem Umfang die DSGVO auf Ihr Unternehmen zutrifft.
Die DSGVO trifft auf Unternehmen zu, die personenbezogene Daten (zu identifizierten oder identifizierbaren natürlichen Personen) erfassen, speichern, nutzen oder auch weitergeben. Sofern solche Daten in Ihrem Unternehmen vorkommen und zu EU-Bürgern gehören oder mit ihnen in Zusammenhang stehen, müssen die Vorgaben der DSGVO eingehalten werden.
Sie soll dem Zweck dienen, dass Sie klar belegen können, an welcher Stelle in Ihrem Unternehmen und zu welchem Zweck Sie personenbezogene Daten erfassen, wie Sie diese speichern, weiterverarbeiten und wie diese Daten geschützt werden.
Dabei soll auch die unnötige Nutzung personenbezogener Daten vermieden und letztendlich eingestellt werden.
Dies bedeutet: Erstellen Sie eine Übersicht aller Systeme in Ihrem Unternehmen, die personenbezogene Daten erfassen/beinhalten, mit folgenden Inhalten:
- Wo: bei welchen Abläufen, bei welchen Situationen; z.B. Rechnungserstellung
- Warum: Was ist der Grund für die Verarbeitung; z.B. Angabe der Anschrift in der Adresszeile
- Welche Arten von Daten: z.B. Name, Vorname, Geburtsdatum, usw.
Weiterhin ist es wichtig zu erfassen:
- Wie erfolgt die Speicherung der Daten?
- Mit welchen technischen Maßnahmen schütze ich die erfassten Daten?
- Werden/wurden die Daten an Dritte weitergegeben? Z.B. zur Auftragsverarbeitung – Beachten Sie hier unbedingt die „gesamtschuldnerische Haftung“ von Ihnen und dem Drittanbieter, der die Daten für Sie verarbeitet (achten Sie künftig bei der Auswahl von Anbietern auch auf DSGVO-Konformität).
Die klassische – und manchmal schnell vergessene – Datenerfassung erfolgt beispielsweise im Telefonbuch (Name, Adresse, Geburtsdatum der Person), als im System hinterlegte Adresse, um Rechnungen oder Aufträge zu erstellen, bei Bestellungen usw.
Aber auch die Daten Ihrer Mitarbeiterinnen und Mitarbeiter, Bestelldaten von Kunden, Bankverbindungen der Kunden zur Abbuchung bei Bestellungen usw. Je nach Branche fallen einmal mehr, einmal weniger relevante Daten an. Allen gemein ist jedoch, dass die DSGVO für ALLE gilt.
Nach neuester Rechtsprechung gilt dies auch für die IP-Adresse. Sie ist als ein „personenbezogenes Datum“ zu werten. Durch den Abgleich der IP-Adresse mit den Daten des Internetproviders wäre die Person auffindbar. Daher gilt es auch, die Erfassung von IP-Adressen zu dokumentieren.
Und es gilt zu beachten: Die Einwilligung zur Datenerfassung und Nutzung muss vorliegen und ist vom Unternehmen aufzubewahren und entsprechend zu dokumentieren. Alternativ muss die Erfassung in sich durch den Auftrag begründet sein (Artikel 6 und 7 DSGVO). Es ist verboten, irgendeine Art von Datenverarbeitung durchzuführen, die nicht durch die Einwilligung des Betroffenen abgedeckt ist. Lediglich durch eine gesetzliche Erlaubnis kann dies aufgehoben werden. Das bedeutet zum Beispiel, dass Sie sich vor Versand von Newslettern die Einwilligung des Empfängers gesichert haben müssen.
Hier eine kurze Checkliste häufig vorkommender Situationen, in denen Unternehmen personenbezogene Daten erfassen:
- Telefonbuch: Name, Adresse, Geburtsdatum, Telefonnummer usw. von Geschäftspartnern, Interessenten, Lieferanten und Kunden
- Abschluss und/oder Bestellung von Produkten oder Dienstleistungen des Unternehmens
- Empfängerlisten von Newslettern
- Bewerbungen
- Personaldaten der Mitarbeiterinnen und Mitarbeiter
- Alle Daten aus Ihren Geschäftsprozessen, die auf Personen beziehbar sind – Kaufhistorien, Bestellinteressen, Abrechnungsdaten
- Website-Logs, IP-Adressen
- …
Bevor Sie nun zu Schritt 2 übergehen, sollten Sie einen wichtigen Punkt klären: Erfassen Sie an irgendeiner Stelle im Unternehmen Daten, die Sie für Ihren eigentlichen Unternehmenszweck und deren Abwicklung nicht benötigen? In solchen Fällen können Sie die Frage „warum?“ nicht mit einer Nutzung zum Ziel des Unternehmenszweckes beantworten.
Wenn das der Fall ist, sollten Sie diese Erfassung unterlassen und die bisher erfassten Daten so sichern, dass sie von Dritten keinesfalls missbraucht werden können. Für die „Stilllegung“ solcher Daten gibt es viele Lösungen, die in sogenannten Datenmanagement-Lösungen integriert sind. Auch einige professionelle Enterprise Content-Management-Systeme bilden den Datenschutz DSGVO-konform ab.
Die große Frage, die an dieser Stelle aufkommen kann: Benötigen Sie in Ihrem Unternehmen einen betrieblichen Datenschutzbeauftragten? Die gängigen Informationen zur DSGVO besagen dazu, dass Sie einen betrieblichen Datenschutzbeauftragten dann benötigen, wenn Ihr Unternehmen in einem der zwei Bereiche tätig ist: in regelmäßiger und systematischer großflächiger Beobachtung von Betroffenen oder der Verarbeitung sensibler Datenkategorien, wie zum Beispiel in der gezielten Zielgruppenwerbung.
Schritt 2: Die Übersicht ordnen – eine lohnende Arbeit
Da Sie bereits im ersten Schritt die Grundlagenarbeit erledigt haben und nun wissen, wo und warum in Ihrem Unternehmen personenbezogene Daten erfasst werden, geht es nun darum, diese Datenübersicht zu klassifizieren und zu ordnen.
Sortieren Sie Ihre Übersicht nun nach der Intensität des aktuellen Datenschutzes. Belegen Sie die ersten Plätze mit den Bereichen bzw. Abläufen in Ihrem Unternehmen, die Ihrer Meinung nach bereits einen hohen technischen Schutz der Daten aufweisen. Diese Liste führen Sie dann absteigend fort und finden an letzter Stelle den Bereich, der technisch am schlechtesten oder auch gar nicht geschützt ist. Ggf. müssen Sie auch hier berücksichtigen, dass Sie Daten erfassen, die Sie eigentlich im Sinne des Unternehmenszwecks überhaupt nicht erfassen müssten/dürften. Auch diese sollten Sie in der Liste aufführen, denn auch für sie ist ein entsprechender Schutz (selbst bei Stilllegung) erforderlich.
Diese Liste sollte ab sofort fester Bestandteil Ihrer unternehmerischen Arbeit sein. Sobald Sie einen Bereich im Unternehmen erkennen, der neu Daten erfasst, speichert und verarbeitet, sollten Sie diesen Ablauf in die Liste aufnehmen, um alles genau zu dokumentieren und fortzuführen.
Netter Nebeneffekt: Mit dieser erstellten Übersicht haben Sie nicht nur immer den Nachweis zur Hand, wie Sie welche Daten schützen, sondern können zusätzlich auch schneller auf Anfragen reagieren. Denn ein wesentlicher Punkt, den die DSGVO mit sich bringt: Unternehmen müssen schnell die Maßnahmen aufzeigen können, die sie zur Einhaltung der DSGVO-Anforderungen getroffen haben. Auch welche Daten wo und wie erfasst werden, kann abgefragt werden.
Gut zu wissen: Diese Liste sollten Sie auf jeden Fall mindestens manuell weiterführen. Sollten Sie sich entschließen, ein System zum Schutz der Daten und zum DSGVO-konformen Arbeiten einzuführen, kann die Liste natürlich automatisch aufgeführt werden – der manuelle Aufwand entfällt dann, die Basis haben Sie damit aber geschaffen.
Nun beginnt die Fleißarbeit und der dritte Schritt: Erfüllen Sie die Auflagen der aktuellen Richtlinie oder müssen Sie nachbessern?
Schritt 3: Sicherheit – Fleißarbeit, die sich auszahlt
… denn Kunden schenken Ihnen ihr Vertrauen, wenn Sie DSGVO-sicher arbeiten!
Anhand Ihrer in Schritt 2 erstellten Tabelle können Sie nun Punkt für Punkt das Thema „Sicherheit“ abarbeiten.
Die Punkte 1 ff. der DSGVO zu den „Grundsätzen in Bezug auf die Verarbeitung personenbezogener Daten“ beinhalten Aussagen bezüglich der Sicherheit: Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine „angemessene“ Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder Schädigung durch technische und organisatorische Maßnahmen.
Am einfachsten ist zu klären, was Sie tun sollten, wenn geplant ist, im Unternehmen an „neuen“ Stellen personenbezogene Daten zu erheben bzw. diese anders als bisher zu erheben. Der Grundsatz „privacy by design“ (Art. 25 DSGVO) ist für die Einhaltung der DSGVO ein ganz Wesentlicher: Unternehmen sollen direkt mit Beginn eines Projektes das Thema „Datenschutz durch Technikgestaltung“ berücksichtigen. Der Grundgedanke dahinter: Datenschutz lässt sich dann am besten einhalten, wenn er bereits in der Entstehung des Datenverarbeitungsvorganges technisch integriert ist und nicht im Nachhinein mühselig eingebaut und womöglich in bereits bestehende Abläufe eingearbeitet werden muss.
Auch im Artikel 25 der DSGVO findet sich der Begriff „Privacy by Default“. Der „Datenschutz durch datenschutzfreundliche Voreinstellungen“ bedeutet, dass die Werkseinstellungen datenschutzfreundlich anzulegen sind. Insbesondere Personen/Nutzer, die wenig technikaffin sind, sollen davon profitieren. So wird die Privatsphäre geschützt, ohne aktiv Einstellungen vornehmen zu müssen.
Was machen Sie nun mit Ihrer in Schritt 2 erstellten Liste und mit den Daten, die bereits im Unternehmen sind?
Die Bereiche in Ihrer Liste, die bereits einen hohen technischen Schutz haben, können Sie an diesem Punkt vernachlässigen. Hier sollten Sie regelmäßig überprüfen, dass die Technik, die Sie zum Schutz und zur Dokumentation verwenden, mindestens dem aktuellen Standard entspricht. Ist dies nicht mehr der Fall, muss nachgebessert werden.
Bei den Punkten, die keinen oder nur einen geringen Schutz aufweisen, sollten Sie sich die folgenden Fragen pro Punkt (und demnach pro Situation, in der Daten erfasst/verarbeitet werden) stellen:
- In welcher Form befinden sich die Daten im Unternehmen? Z.B. in Aktenordnern, digital, auf einzelnen Laufwerken einzelner MitarbeiterInnen, zentral auf dem Server, auf vielen Servern usw.
- Wer im Unternehmen hat Zugriff auf die Daten und ist dies so gewollt?
- Gibt es Zugriffseinschränkungen? Sehen alle Personen alle Daten?
- Werden die Daten bereits durch technische Maßnahmen geschützt? Verschlüsselung, passwortgeschützte Bereiche etc.?
- Ist die Dokumentation so sichergestellt, dass sie weder verfälscht werden noch abhanden kommen kann?
Diese Fragen liefern Ihnen die Handlungsmöglichkeiten direkt mit: Die DSGVO fordert einen ausreichenden Schutz personenbezogener Daten und das „Datenmanagement“ von Unternehmen – von der Erstellung der Daten bis hin zur Stilllegung soll alles dokumentiert und sicher sein.
Folgende technische Schutzmaßnahmen können Sie bspw. ergreifen, um die Daten DSGVO-konform zu sichern:
- Ein zentrales Lager der Daten in digitaler Form – wenn nicht an einer Stelle / an einem Ort machbar, dann dennoch mit der Möglichkeit eines zentralen Zugriffs. Denken Sie an diesem Punkt intensiv über die Einführung eines Dokumenten-Management- bzw. Enterprise-Content-Management-Systems nach. Es gibt viele, die die Erfüllung der DSGVO abbilden können.
- Datenverschlüsselung in jeglicher Form: beim E-Mail-Verkehr, beim Abfragen und Erfassen personenbezogener Daten, Anonymisierung, Pseudonymisierung etc.
- Zugriffsberechtigungen auf Daten, Verzeichnisse und Dokumente (gesteuert, nachvollziehbar und kontrolliert)
- Mindestens ein Schutz der Unternehmenssysteme (Firewall etc.) sollte vorhanden sein
- Nahtlose Dokumentation, am besten prozessgesteuert, so sind die Fehler nochmals minimiert
- …
Wenn Sie in Ihrem Unternehmen nur Daten erfassen, die dem Unternehmenszweck dienen, diese auf den wesentlichen Datenbedarf bei der Erfassung beschränken und alles entsprechend dokumentieren (alles Grundsätze der DSGVO in Bezug auf die Verarbeitung personenbezogener Daten), haben Sie schon eine gute fundierte Grundlage für die Einhaltung der DSGVO. Kombiniert mit den technischen Maßnahmen zum Schutz sind Sie dann auf einem guten Weg zur DSGVO-Konformität.
Haben Sie viele Bereiche, die noch keinen ausreichenden Schutz der Daten abbilden, so kann es sinnvoll sein, eine Plattform im Unternehmen einzuführen, die das gesamte Datenmanagement übernimmt und gleichzeitig auch DSGVO-konform arbeitet.
Diese Lösungen haben bereits direkt die entsprechenden Abfolgen, den Schutz und die Dokumentationen inne und liefern Ihnen somit die Möglichkeit, ohne großes „Nachdenken“ die Risiken des Datenmissbrauchs nahezu auszuschließen und die DSGVO einzuhalten.
So können Sie alle Bereiche im Unternehmen ausreichend schützen, ohne jeden Punkt einzeln angehen zu müssen.
Schritt 4: Dokumentation und Archivierung – das „A“ und „O“, um Ihr Unternehmen zu schützen
Der vierte Schritt beinhaltet Dinge, die ganz klassisch in den Bereich des Dokumentenmanagements fallen:
Datensätze, Informationen, Prozesse und Belege rechtssicher und nachvollziehbar zu dokumentieren und aufzubewahren. Dies gilt auch und vor allen Dingen für die DSGVO.
Quasi per Knopfdruck müssen Sie in der Lage sein, Informationen zu liefern, wo, wann und mit welcher Berechtigung Sie personenbezogene Daten erfassen und schützen.
Auch Daten, bei denen der oder die Betroffene verlangt, dass Sie diese löschen, müssen Sie nachweislich vernichten.
Jeder Zusatz vereinfacht und verkürzt die Arbeitszeit dabei enorm: Ihre Datensätze und Schriftstücke über die Gründe der Datenverarbeitung, die Einwilligung des Kunden, die Bestellung, die Weitergabe der Daten an Dritte und die gesamten Basisinformationen zum Projekt sind in einem entsprechenden System sicherer dokumentiert und archiviert, als es in jedem Papierordner der Fall ist. Noch dazu haben Sie die benötigten Informationen schnell zur Hand.
In vielen Firmen gibt es gewachsene Informationsinseln: Einzelne Bereiche erfassen Informationen und Daten zu Kunden, andere Abteilungen verwalten die Folgeaufgaben dazu, wieder eine dritte Einheit übernimmt die Endbearbeitung. So ist kein zentraler Zugriff auf die Informationen möglich. Allein diesen Zustand zu beenden rechtfertigt ein System für das Datenmanagement.
Bewahren Sie folgende Datensätze auf:
- über die Gründe der Verarbeitung,
- über die Kategorien der verarbeiteten personenbezogenen Daten,
- über die Identität Dritter, mit denen die Daten geteilt werden,
- ob (und welche) Drittländer und -unternehmen personenbezogene Daten erhalten sowie die rechtliche Grundlage der Datenverarbeitung (z.B. Zustimmung: Ihr Unternehmen sollte prüfen, welche Rechtsgrundlagen es aktuell für die Verarbeitung verschiedener Arten von persönlichen Daten nutzt. Wenn Sie die Zustimmung als Grundlage für die Datenverarbeitung nutzen, müssen Sie überlegen, wie Sie diese Zustimmung einholen und klar zeigen können, wie und wann diese Zustimmung erteilt wurde).
Wie hier klar wird, ist eine rechtssichere Dokumentation und auch Archivierung entsprechend der geltenden gesetzlichen Bestimmungen für den Nachweis der Einhaltung der DSGVO ein sehr wichtiger Bestandteil. Unternehmen können eventuellen Rechtsansprüchen Stand halten und einen lückenlosen Nachweis der Verfahren und Abläufe ermöglichen, wenn sie automatisierte Prozesse zur Einhaltung zu Hilfe nehmen. Zumal die DSGVO ausdrücklich den Stand der Personen, deren Daten erfasst und verarbeitet werden, stärkt.
Fazit
Die DSGVO kann auch als Chance gesehen werden, das oftmals vorherrschende Informationschaos anzugehen und Klarheit zu schaffen.
So können sich durch die Strukturierung der Daten im Unternehmen ungeahnte Kapazitäten eröffnen:
- Vielleicht wurde an mehreren Stellen im Unternehmen ein und derselbe Datensatz erfasst, bearbeitet, angereichert und gepflegt: ein unglaublicher Mehraufwand.
- Vielleicht wurden bisher Datensätze oder Informationen so aufbewahrt, dass ein Dritter diese jederzeit hätte abgreifen und Schaden anrichten können: So können Sie diese Lücke schließen.
Klarheit und Struktur zu schaffen, bringt die Möglichkeit für fehlerminimierendes und effizienteres Arbeiten sowie jederzeit nachvollziehbare Arbeitsschritte mit sich. Wiederkehrende Abläufe können erkannt, Prozesse optimiert und automatisiert werden – der Schritt in Richtung Digitalisierung einzelner Tätigkeiten, Prozesse oder des gesamten Unternehmensablaufs ist vorbereitet und kann langfristig viele Vorteile bringen. Dazu können Sie hier mehr lesen.
https://de.sendinblue.com/blog/email-datenschutz-und-dsgvo/
https://www.ibs.de/datenschutz/muster-formulare-checklisten-ds-gvo-bdsg/
https://www.channelpartner.de/a/auf-dem-weg-zur-dsgvo-compliance,3332718
https://www.symplasson.de/die-dsgvo-einhalten-wie-sie-es-noch-schaffen-koennen/
https://www.channelpartner.de/a/auf-dem-weg-zur-dsgvo-compliance,3332718
https://www.dr-datenschutz.de/was-bedeutet-privacy-by-design-privacy-by-default-wirklich/
https://www.mailjet.com/de/blog/produkt/email-sicherheit-und-datenschutz-richtig-angehen/
Weitere Artikel zur DSGVO
Digitales Dokumentenmanagement – Der Lichtblick im DSGVO-Dschungel?
In diesem Artikel schauen wir uns an, wie uns digitale Lösungen durch den Dschungel an DSGVO-Vorschriften helfen können.
So gelingt Ihnen die sichere E-Mail-Archivierung
Die E-Mail ist ein schnelles und unkompliziertes Kommunikationsmittel und aus unserem Alltag nicht mehr weg zu denken. Doch welche Gesetze und Richtlinien gelten für die E-Mail-Archivierung? So gelingt Ihnen die sichere und gesetzeskonforme Aufbewahrung!
Die digitale Personalakte – Wie sicher sind unsere Daten?
Die Sicherheit der eigenen Daten ebenso wie die der MitarbeiterInnen, KundInnen und GeschäftspartnerInnen steht permanent im Fokus unseres heutigen Arbeitsalltags. Der Datenschutz wird dabei auch in der Personalabteilung der Unternehmen großgeschrieben: tagtäglich gehen hier personenbezogene Daten und Dokumente ein und aus. Dabei sind gesetzliche Regularien wie zum Beispiel die Datenschutz-Grundverordnung, kurz DSGVO, zu beachten.
DSGVO und ECM – mehr als nur zwei Buzzwords
Bei der Führung von Büchern und anderen Aufzeichnungen müssen deutsche Unternehmen diverse rechtliche Anforderungen und Richtlinien erfüllen. In diesem Beitrag stellen wir Ihnen die wichtigsten Aspekte vor, um eine regelkonforme Führung, Dokumentation und Aufbewahrung von elektronischen Dokumenten zu gewährleisten.
In vier Schritten zur Einhaltung der DSGVO – ein klarer Leitfaden
Der erste Schritt ist bekanntlich der Schwerste. Aber: Jetzt machen lohnt sich! Wir zeigen Ihnen, wie Sie sich anhand von 4 Schritten klar in Richtung „Einhaltung der DSGVO“ bewegen und die DSGVO in Ihrem Unternehmen künftig sicher umsetzen.
DSGVO – Die EU-Datenschutz-Grundverordnung im Überblick
Am 25. Mai 2018 trat die Datenschutz-Grundverordnung (kurz: DSGVO oder im Englischen GDPR) trat in Kraft und gilt seitdem in allen EU-Mitgliedsstaaten verpflichtend. In diesem Blogbeitrag geben wir einen kurzen Überblick, was die DSGVO beinhaltet und was Unternehmen beachten sollten.