In vier Schritten zur Einhaltung der DSGVO – ein klarer Leitfaden

Der erste Schritt ist bekanntlich der Schwerste. Aber: Jetzt machen lohnt sich!
Wir zeigen Ihnen, wie Sie sich anhand von 4 Schritten klar in Richtung „Einhaltung der DSGVO“ bewegen und die DSGVO in Ihrem Unternehmen künftig sicher umsetzen.

Die DSGVO nochmal in Kürze und im Überblick:

Ab dem 25. Mai dieses Jahres gilt die Datenschutzgrundverordnung (kurz: DSGVO in englisch GDPR) für alle Unternehmen in Deutschland und der EU, die personenbezogene Daten von EU-Bürgern erfassen.

Bei Verstößen gegen die dann geltenden Regeln drohen erheblich höhere Strafen als bisher. Das macht es aus Unternehmenssicht wesentlich kostspieliger, erwischt zu werden als bisher, gleichzeitig dadurch aber auch für die Aufsichtsbehörden interessanter, Unternehmen einen Verstoß nachzuweisen.

Nochmal zum detaillierten Nachlesen: Grundlegende und ausführlichere Informationen zur DSGVO finden Sie hier.

Wichtig zu wissen: Bereits der immaterielle Schaden, den eine Person davongetragen haben kann, ist dem Betroffenen zu ersetzen – Reagieren Sie noch rechtzeitig: Jetzt. Wir geben Ihnen im folgenden Beitrag den Fahrplan dazu.

Je nach Größe und Art des Unternehmens können Art und Menge der erfassten personenbezogenen Daten sehr unterschiedlich ausfallen. Demnach variiert auch das detaillierte Vorgehen, um einen entsprechenden Schutz für die Daten herzustellen, so dass eine detaillierte DSGVO-Konformität gegeben ist.

Aber: Mit diesen vier Schritten bilden Sie die Grundlage, um notwendige Maßnahmen zu identifizieren und gezielt und vorbereitet in Richtung „Einhaltung der DSGVO“ gehen zu können.

Los geht‘s

Schritt 1: Die Bestandsaufnahme – der Check für die Grundlage der Einhaltung der DSGVO

Analysieren Sie, ob und in welchem Umfang die DSGVO auf Ihr Unternehmen zutrifft.

Die DSGVO trifft auf Unternehmen zu, die personenbezogene Daten (zu identifizierten oder identifizierbaren natürlichen Personen) erfassen, speichern, nutzen oder auch weitergeben. Sofern solche Daten in Ihrem Unternehmen vorkommen und zu EU-Bürgern gehören oder mit Ihnen in Zusammenhang stehen, müssen die Vorgaben der DSGVO eingehalten werden.

Sie soll dem Zweck dienen, dass Sie klar belegen können, an welcher Stelle in Ihrem Unternehmen und zu welchem Zweck Sie personenbezogene Daten erfassen, wie Sie diese speichern, weiterverarbeiten und wie diese Daten geschützt werden.

Dabei soll auch die unnötige Nutzung personenbezogener Daten vermieden und schließlich eingestellt werden.

Dies bedeutet demnach:
Erstellen Sie eine aktuelle Übersicht aller Systeme in Ihrem Unternehmen, die personenbezogene Daten erfassen/beinhalten, mit folgenden Inhalten:

  • Wo: bei welchen Abläufen, bei welchen Situationen; z.B. Rechnungserstellung
  • Warum: Was ist der Grund für die Verarbeitung; z.B. Angabe der Anschrift in der Adresszeile?
  • Welche Arten von Daten: z.B. Name, Vorname, Geburtsdatum, usw.

 

Weiterhin ist es wichtig zu erfassen:

  • Wie erfolgt die Speicherung der Daten?
  • Mit welchen technischen Maßnahmen schütze ich die erfassten Daten?
  • Werden/wurden die Daten an Dritte weitergegeben? z.B. zur Auftragsverarbeitung – Beachten Sie hier unbedingt die „gesamtschuldnerische Haftung“ von Ihnen und dem Drittanbieter, der die Daten für Sie verarbeitet (achten Sie künftig bei der Auswahl von Anbietern auch auf DSGVO-Konformität)

 

Die klassische – und manchmal schnell vergessene – Datenerfassung erfolgt beispielsweise im Telefonbuch (Name, Adresse, Geburtsdatum der Person), als im System hinterlegte Adresse, um Rechnungen oder Aufträge zu erstellen, bei Bestellungen usw.

Aber auch die Daten Ihrer Mitarbeiterinnen und Mitarbeiter, Bestelldaten Ihrer Kunden, Bankverbindungen der Kunden zur Abbuchung bei Bestellungen usw. –je nach Branche fallen natürlich einmal mehr, einmal weniger relevante Daten an. Allen gemein ist jedoch, dass die DSGVO für ALLE gilt.

Nach neuester Rechtsprechung gilt dies auch für die IP-Adresse. Sie ist zu werten wie ein „personenbezogenes Datum“. Durch den Abgleich der IP-Adresse mit den Daten des Internetproviders wäre die Person auffindbar – daher gilt es auch, die Erfassung von IP-Adressen zu dokumentieren.

Und es gilt zu beachten: Die Einwilligung zur Datenerfassung und Nutzung muss vorliegen und ist vom Unternehmen aufzubewahren/entsprechend zu dokumentieren bzw. die Erfassung muss in sich durch den Auftrag begründet sein (Artikel 6 und 7 DSGVO). Es ist grundlegend verboten, irgendeine Art von Datenverarbeitung durchzuführen, die nicht durch die Einwilligung des Betroffenen abgedeckt ist. Lediglich durch eine gesetzliche Erlaubnis kann dies aufgehoben werden. Z.B. bedeutet dies, dass Sie sich vor Versand von Newslettern die Einwilligung des Empfängers gesichert haben müssen.

Hier eine kurze Checkliste häufig vorkommender Situationen, in denen Unternehmen personenbezogene Daten erfassen:

  • Telefonbuch: Name, Adresse, Geburtsdatum, Telefonnummer usw. von Geschäftspartnern, Interessenten, Lieferanten und Kunden
  • Abschluss und/oder Bestellung von Produkten oder Dienstleistungen des Unternehmens
  • Empfängerlisten von Newslettern
  • Bewerbungen
  • Personaldaten der Mitarbeiterinnen und Mitarbeiter
  • Alle Daten aus Ihren Geschäftsprozessen, die auf Personen beziehbar sind – Kaufhistorien, Bestellinteressen, Abrechnungsdaten
  • Website-Logs, IP-Adressen

 

Bevor Sie nun zu Schritt 2 übergehen, sollten Sie einen wichtigen Punkt klären: Erfassen Sie an irgendeiner Stelle im Unternehmen Daten, die Sie für Ihren eigentlichen Unternehmenszweck und deren Abwicklung nicht benötigen? Demnach können Sie die Frage „warum?“ nicht mit einer Nutzung zum Ziel des Unternehmenszweckes beantworten.

Wenn dies der Fall ist, sollten Sie diese Erfassung unterlassen und die bisher erfassten Daten so sichern, dass Sie von Dritten keinesfalls missbraucht werden können. Für die „Stilllegung“ solcher Daten gibt es mittlerweile viele Lösungen, die in sogenannten Datenmanagement-Lösungen integriert sind. Auch einige professionelle Enterprise Content-Management-Systeme bilden den Datenschutz DSGVO-konform ab.

Die große Frage, die an dieser Stelle aufkommen kann: Benötigen Sie in Ihrem Unternehmen einen betrieblichen Datenschutzbeauftragten? Die gängigen Informationen zur DSGVO besagen dazu, dass Sie einen betrieblichen Datenschutzbeauftragten dann benötigen, wenn Ihr Unternehmen in einem der zwei Bereiche tätig ist: in regelmäßiger und systematischer großflächiger Beobachtung von Betroffenen oder der Verarbeitung sensibler Datenkategorien, wie zum Beispiel in der gezielten Zielgruppenwerbung.

Schritt 2: Die Übersicht ordnen – eine lohnende Arbeit.

Da Sie bereits im ersten Schritt die Grundlagenarbeit erledigt haben und nun wissen, wo und warum in Ihrem Unternehmen personenbezogene Daten erfasst werden, geht es nun darum, dass Sie diese Datenübersicht klassifizieren und somit ordnen.

Klassifizieren, also sortieren Sie Ihre Übersicht nun nach der Intensität des aktuellen Datenschutzes. Belegen Sie die ersten Plätze mit den Bereichen bzw. Abläufen in Ihrem Unternehmen, die bereits Ihrer Meinung nach einen hohen technischen Schutz der Daten aufweisen. Diese Liste führen Sie dann absteigend fort und finden dann an letzter Stelle den Bereich, der technisch am schlechtesten oder auch gar nicht geschützt ist. Ggf. müssen Sie auch hier die Tatsache berücksichtigen, dass Sie Daten erfassen, die Sie eigentlich im Sinne des Unternehmenszwecks überhaupt nicht erfassen müssen/dürfen. Auch dieses sollten Sie in der Liste aufführen, denn auch für diese Daten ist ein entsprechender Schutz (selbst bei Stilllegung) erforderlich.

Diese Liste sollte ab sofort nun fester Bestandteil Ihrer unternehmerischen Arbeit sein. Sobald Sie demnach einen Bereich im Unternehmen erkennen, der neu Daten erfasst, speichert und verarbeitet, sollten Sie diesen Ablauf in die Liste aufnehmen, um dies genau zu dokumentieren und fortzuführen.

Guter Nebeneffekt: Mit dieser erstellten Übersicht haben Sie nicht nur immer den Nachweis zur Hand, wie sie welche Daten schützen, sondern zusätzlich können Sie auch schneller auf Anfragen reagieren. Denn ein wesentlicher Punkt, den die DSGVO mit sich bringt: Unternehmen müssen schnell die Maßnahmen aufzeigen können, die sie zur Einhaltung der DSGVO-Anforderungen getroffen haben. Ganz nebenbei: Auch welche Daten wo und wie erfasst werden, kann abgefragt werden.

Gut zu wissen: Diese Liste sollten Sie auf jeden Fall mindestens manuell weiterführen. Sollten Sie sich entschließen, ein System zum Schutz der Daten und zum DSGVO-konformen Arbeiten einzuführen, kann die Liste natürlich automatisch aufgeführt werden – der manuelle Aufwand entfällt dann, die Basis haben Sie damit aber geschaffen.

Nun beginnt die Fleißarbeit und damit der dritte Schritt: Erfüllen Sie die Auflagen der aktuellen Richtlinie oder müssen Sie nachbessern?

Schritt 3: Sicherheit – Fleißarbeit, die sich auszahlt, denn Kunden gewinnen und behalten Vertrauen, wenn Sie DSGVO-sicher sind!

Anhand Ihrer in Schritt 2 erstellten Tabelle können Sie nun Punkt für Punkt das Thema „Sicherheit“ abarbeiten.

Die Punkte 1 ff. der DSGVO bei den „Grundsätzen in Bezug auf die Verarbeitung personenbezogener Daten“ beinhalten auch die Aussagen bezüglich der Sicherheit: Personenbezogene Daten müssen demnach in einer Weise verarbeitet werden, die eine „angemessene“ Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder Schädigung durch technische und organisatorische Maßnahmen.

Am einfachsten und schnellsten ist zu klären, was Sie tun sollten, wenn geplant ist, im Unternehmen an „neuen“ Stellen personenbezogene Daten zu erheben bzw. wenn diese anders als bisher zu erheben:

Der Grundsatz „privacy by design“ (Art. 25 DSGVO) ist daher für die Einhaltung der DSGVO ein ganz Wesentlicher: Unternehmen sollen künftig direkt mit Beginn eines Projektes das Thema „Datenschutz durch Technikgestaltung“ berücksichtigen. Der Grundgedanke dahinter Datenschutz lässt sich dann am besten einhalten, wenn er bereits in der Entstehung des Datenverarbeitungsvorganges technisch integriert ist und eben nicht im Nachhinein oft mühselig noch eingebaut wird und womöglich bereits bestehende Abläufe eingearbeitet werden.

Ebenso im Artikel 25 der DSGVO findet sich der ergänzende Begriff „Privacy by Default“. Der „Datenschutz durch datenschutzfreundliche Voreinstellungen“ bedeutet, dass bereits die Werkseinstellungen datenschutzfreundlich anzulegen sind. Insbesondere Personen/Nutzer, die wenig technikaffin sind, sollen von diesem Gedanken profitieren. Grundlegend ist somit die Privatsphäre geschützt, ohne entsprechend aktiv Einstellungen vornehmen zu müssen.

Was machen Sie nun mit Ihrer in Schritt 2 erstellten Liste und demnach mit den Daten, die bereits im Unternehmen sind?

Die Bereiche in Ihrer Liste, die bereits einen hohen technischen Schutz genießen, können Sie an diesem Punkt vernachlässigen. Hier sollten Sie regelmäßig überprüfen, dass die Technik, die Sie zum Schutz und zur Dokumentation verwenden, mindestens dem aktuellen Standard entspricht. Ist dies nicht mehr der Fall, sollten Sie in Ihrem Sinne nachbessern.

Bei den Zeilen, die keinen oder einen geringen Schutz in Ihrer Liste aufweisen, sollten Sie sich die folgenden Fragen pro Zeile (und demnach pro Situation, in der Daten erfasst/verarbeitet werden) stellen:

  • In welcher Form befinden sich die Daten im Unternehmen – z.B. in Aktenordnern, digital, auf einzelnen Laufwerken einzelner MitarbeiterInnen, zentral auf dem Server, auf vielen Servern usw.
  • Wer im Unternehmen hat Zugriff auf die Daten und ist dies so gewollt?
  • Gibt es Zugriffseinschränkungen? Sehen alle Personen alle Daten?
  • Werden die Daten bereits durch technische Maßnahmen geschützt? Verschlüsselung, passwortgeschützte Bereiche etc.?
  • Ist die Dokumentation so sichergestellt, dass sie weder verfälscht werden noch abhandenkommen kann?

 

Diese Fragen liefern Ihnen die Handlungsmöglichkeiten direkt mit: Die DSGVO fordert einen ausreichenden Schutz personenbezogener Daten und das „Datenmanagement“ von Unternehmen – von der Erstellung der Daten bis hin zur Stilllegung soll alles dokumentiert und sicher sein.

Folgende technische Schutzmaßnahmen können Sie bspw. Ergreifen, um die Daten DSGVO-konform zu sichern:

  • Ein zentrales Lager der Daten in digitaler Form – wenn nicht an einer Stelle, an einem Ort machbar, dann dennoch mit der Möglichkeit eines zentralen Zugriffs. Denken Sie an diesem Punkt intensiv über die Einführung eines Dokumenten-Management- bzw. Enterprise-Content-Management-Systems nach – es gibt viele, die die Erfüllung der DSGVO abbilden können.
  • Datenverschlüsselung in jeglicher Form: beim Email-Verkehr, beim Abfragen und Erfassen personenbezogener Daten, Anonymisierung, Pseudonymisierung etc.
  • Zugriffsberechtigungen auf Daten, Verzeichnisse und Dokumente (gesteuert, nachvollziehbar und kontrolliert)
  • Mindestens ein Schutz der Unternehmenssysteme (Firewall etc.) sollte vorhanden sein
  • Nahtlose Dokumentation, am besten prozessgesteuert, so sind die Fehler nochmals minimiert

 

Wenn Sie in ihrem Unternehmen nur Daten erfassen, die dem Unternehmenszweck dienen, diese auf den wesentlichen Datenbedarf bei der Erfassung beschränken und dies alles entsprechend dokumentieren (alles Grundsätze der DSGVO in Bezug auf die Verarbeitung personenbezogener Daten), haben Sie schon eine gute fundierte Grundlage für die Einhaltung der DSGVO geschaffen. Kombiniert mit den technischen Maßnahmen zum Schutz sind sie dann auf einem guten Weg zur DSGVO-Konformität.

Haben Sie viele Bereiche, die noch keinen ausreichenden Schutz der Daten abbilden, so kann es sinnvoll sein, eine Plattform im Unternehmen einzuführen, die das gesamte Datenmanagement übernimmt und gleichzeitig auch DSGVO-konform arbeitet.

Diese Lösungen haben bereits direkt die entsprechenden Abfolgen, den Schutz und die Dokumentationen inne und liefern Ihnen somit die Möglichkeit, ohne großes manuelles „Nachdenken“ die Risiken des Datenmissbrauchs nahezu auszuschließen und die DSGVO einzuhalten.

So können Sie alle Bereiche im Unternehmen ausreichend schützen, ohne jeden Punkt einzeln angehen zu müssen.

Schritt 4 Dokumentation und Archivierung – das „A“ und „O“, um Ihr Unternehmen zu schützen!

Der vierte Schritt beinhaltet Dinge, die ganz klassisch in den Bereich des Dokumentenmanagements fallen:

Datensätze, Informationen, Prozesse und Belege rechtssicher und nachvollziehbar zu dokumentieren und aufzubewahren. Dies gilt auch und vor allen Dingen intensiv für die DSGVO.

Quasi per Knopfdruck müssen Sie in der Lage sein, Informationen zu liefern, wo wann und mit welcher Berechtigung Sie personenbezogene Daten erfassen und schützen.

Auch Daten, bei denen der Besitzer verlangt, dass sie diese löschen, müssen Sie nachweislich vernichten.

Jeder Zusatz vereinfacht und verkürzt die Arbeitszeit dabei enorm: Ihre Datensätze und Schriftstücke über die Gründe der Datenverarbeitung, die Einwilligung des Kunden, die Bestellung, die Weitergabe der Daten an Dritte und die gesamten Basisinformationen zum Projekt sind in einem entsprechenden System sicherer dokumentiert und archiviert, als es in jedem Papierordner der Fall ist. Noch dazu haben sie die benötigten Informationen schnell zur Hand.

In vielen Firmen gibt es gewachsene Informationsinseln: Einzelne Bereiche erfassen Informationen und Daten zu Kunden, andere Abteilungen verwalten die Folgeaufgaben dazu, wieder eine dritte Einheit übernimmt die Endbearbeitung.So ist kein zentraler Zugriff auf die Informationen möglich. Allein diesen Zustand zu beenden, rechtfertigt ein System für das Datenmanagement.

Bewahren Sie die Datensätze über die Gründe der Verarbeitung auf, über die Kategorien der verarbeiteten personenbezogenen Daten; die Identität Dritter, mit denen die Daten geteilt werden; ob (und welche) Drittländer und -unternehmen personenbezogene Daten erhalten sowie die rechtliche Grundlage der Datenverarbeitung (z.B. Zustimmung: Ihr Unternehmen sollte prüfen, welche Rechtsgrundlagen es aktuell für die Verarbeitung verschiedener Arten von persönlichen Daten nutzt. Wenn Sie die Zustimmung als Grundlage für die Datenverarbeitung nutzen, müssen Sie überlegen, wie Sie diese Zustimmung einholen und klar zeigen können, wie und wann diese Zustimmung erteilt wurde.)

Wie hier klar wird, ist eine rechtssichere Dokumentation und auch Archivierung entsprechend der geltenden gesetzlichen Bestimmungen für den Nachweis der Einhaltung der DSGVO ein sehr wichtiger Bestandteil. Unternehmen können eventuellen Rechtsansprüchen Stand halten können und einen nahtlosen Nachweis der Verfahren und Abläufe ermöglichen, wenn sie automatisierte Prozesse zur Einhaltung zu Hilfe nehmen. Zumal die DSGVO ausdrücklich den Stand der Personen, deren Daten erfasst und verarbeitet werden, stärkt.

Fazit

Die DSGVO kann auch als Chance gesehen werden, das oftmals vorherrschende Informationschaos anzugehen und Klarheit zu schaffen.

So können sich durch die Strukturierung der Daten im Unternehmen ungeahnte Kapazitäten eröffnen:

  • Vielleicht wurde an mehreren Stellen im Unternehmen ein und derselbe Datensatz erfasst, bearbeitet, angereichert und gepflegt: ein unglaublicher Mehraufwand.
  • Vielleicht wurden bisher Datensätze oder Informationen so aufbewahrt, dass ein Dritter diese jederzeit hätte abgreifen und Schaden anrichten können: So können Sie diese Lücke schließen.

 

Klarheit und Struktur zu schaffen, bringt die Möglichkeit für fehlerminimierendes und effizienteres Arbeiten sowie jederzeit nachvollziehbare Arbeitsschritte mit sich. Wiederkehrende Abläufe können erkannt, Prozesse optimiert und automatisiert werden – der Schritt in Richtung Digitalisierung einzelner Tätigkeiten, Prozesse oder des gesamten Unternehmensablaufs ist vorbereitet und kann langfristig viele Vorteile bringen.

Dazu können Sie hier mehr lesen.

Sie wollen direkt mehr über DMS, ECM- oder EIM-Systeme erfahren? Wir beantworten gerne all Ihre Fragen rund um das Thema – rufen Sie uns an oder senden Sie uns einfach eine E-Mail. Wir freuen uns von Ihnen zu hören!

Quellen und weiterführende Links:

https://www.newsletter2go.de/blog/dsgvo-2018-diese-aenderungen-muessen-sie-wissen/

https://www.ibs.de/datenschutz/dsgvo-gdpr-umsetzen-leicht-gemacht/

https://www.channelpartner.de/a/auf-dem-weg-zur-dsgvo-compliance,3332718

https://www.symplasson.de/it-blog/anwender-tipps/die-dsgvo-einhalten

https://www.newsletter2go.de/wp-content/uploads/sites/2/2018/01/180115_Whitepaper_DSGVO_H%C3%A4ndlerbund_Newsletter2Go.pdf

https://www.it-daily.net/it-sicherheit/datenschutz/16039-6-anforderungen-der-eu-dsgvo-zeitnah-erfuellen-cloud-data-management

https://www.channelpartner.de/a/auf-dem-weg-zur-dsgvo-compliance,3332718

https://www.bitkom.org/NP-Themen/NP-Vertrauen-Sicherheit/Datenschutz/161109-EU-DS-GVO-FAQ-03.pdf

https://www.datenschutzbeauftragter-info.de/was-bedeutet-privacy-by-design-privacy-by-default-wirklich/

https://www.mailjet.de/dsgvo/vorbereitung/