Auch ein Jahr nach Inkrafttreten, ist sie ein äußerst wichtiges Thema für viele Organisationen: Die Datenschutz-Grundverordnung (DSGVO). Seit dem 25. Mai 2018 ist dieses Gesetz für die gesamte Europäische Union (EU) verpflichtend in der Umsetzung. Organisationen müssen die neuen Vorschriften erfüllen. Hat Ihre Organisation dafür bereits alles Notwendige getan? Wir haben sechs praktische Tipps für Sie.

Wenn Sie ein IT-Servicemanagement-Tool wie TOPdesk verwenden, registrieren Sie Informationen über Personen, bspw. Ihre Mitarbeiter oder Ansprechpartner Ihrer Kunden, die Sie betreuen. Das macht die DSGVO für Ihr Unternehmen relevant. Jedes Land innerhalb der EU setzt die Vorschriften in seiner eigenen Gesetzgebung um.

1. Abbildung Ihrer Datenverarbeitung

Seit dem 25. Mai 2018 sind Sie dazu verpflichtet, die von Ihnen verarbeiteten personenbezogenen Daten zu erfassen. Zudem müssen Sie angeben zu welchem Zweck diese erfasst werden, an wen Sie sie weitergeben und wie Sie die Einhaltung der Vorschriften sicherstellen können. In einigen Fällen ist es notwendig, eine Datenschutz-Folgenabschätzung für die Privatsphäre in Bezug auf personenbezogene Daten gemäß DSGVO durchzuführen.

2. Erlaubnis zur Nutzung der Daten einholen

Sie verwenden Software innerhalb Ihrer Organisation, um Ihre Mitarbeiter oder Kunden zu unterstützen? Die Einwilligung zur Speicherung der personenbezogenen Daten ist nicht immer erforderlich, z.B. wenn diese Daten auf das für die Vertragserfüllung erforderliche Maß beschränkt sind. In anderen Fällen müssen Sie um Erlaubnis bitten. Um herauszufinden, was für Ihre Organisation gilt, überprüfen Sie bitte die Gesetzgebung Ihres Landes.

3. Recht auf Zugang, Berichtigung und/oder Löschung

Von Ihnen als Organisation, die personenbezogene Daten verarbeitet (speichert, verändert, löscht) wird erwartet, dass Sie über das, was Sie über jemanden speichern, transparent aufzeigen und demjenigen auf Rückfrage zur Verfügung stellen können. Die betroffenen Personen können Sie dazu auffordern, falsche Daten zu ändern oder sogar zu löschen. Seien Sie vorbereitet und halten Sie Ihre Support-Abteilung auf dem Laufenden, wie diese Art der Anfragen zu bearbeiten sind.

4. Abschluss von Auftragsdatenverarbeitungs-verträgen mit (Cloud)-Anbietern

Verwenden Sie SaaS-Software (Software as a Service) zur Verarbeitung personenbezogener Daten? Dann müssen Sie sicherstellen, dass Sie als Verantwortlicher für die Daten einen Auftragsdatenverarbeitungsvertrag mit Ihrem Software-Lieferanten, dem so genannten Auftragnehmer, abschließen. In diesem Vertrag legen Sie klare Vereinbarungen über die Rolle des jeweils anderen bei der Verarbeitung personenbezogener Daten fest. Zum Beispiel über Vertraulichkeit und den Umgang mit Datenlecks oder dem Zeitraum, wie lange nach einem Vertragsende die Daten beim Lieferanten noch gespeichert werden dürfen.

Was diese Verträge beinhalten, hängt von den erbrachten Leistungen ab. Deshalb ist es sinnvoll, Ihre Lieferanten zu fragen, ob diese einen Mustervertrag vorliegen haben. Zudem stellt dies eine gute Gelegenheit dar, um zu prüfen, wie gut Ihre Lieferanten die DSGVO umsetzen.

5. Einrichten eines Prozesses für Sicherheitsvorfälle

Vermeiden Sie Stress, indem Sie im Voraus darüber nachdenken, wie Sie sich verhalten werden, wenn ein Sicherheitsvorfall bspw. in Form der Weitergabe von personenbezogenen Daten an nicht autorisierte Personen auftritt. In einigen Fällen muss der Verantwortliche einen Datenschutzverstoß innerhalb von 72 Stunden an die Datenschutzaufsichtsbehörde Ihres Bundeslandes melden. Oder sogar persönlich mit den Personen, deren Daten entwendet oder in falsche Hände gerieten, in Kontakt treten. Deshalb ist es enorm wichtig, einen Prozess für derartige Sicherheitsvorfälle zu definieren und diesen regelmäßig durch Tests zu validieren. Mit diesem Prozess kann die richtige Person eine Entscheidung über die notwendigen Schritte im Falle eines Datenschutzverstoßes treffen.

6. Bestellung eines Datenschutzbeauftragten

Seit dem 25. Mai 2018 müssen einige Organisationen für bestimmte Fälle einen Datenschutzbeauftragten benennen. Die meisten Organisationen werden diesen Datenschutzbeauftragten jedoch nicht benötigen. Trotzdem ist es sinnvoll, jemanden in der Organisation – entweder intern oder extern – zu haben, der weiß, was es im Bezug zur DSGVO zu beachten gilt. Der Datenschutzbeauftragte kann die Webseite Ihrer zuständigen Aufsichtsbehörde zum Thema Datenschutz im Auge behalten und beispielsweise Webinare zu diesem Thema besuchen. So vermeiden Sie Fehler, die zu hohen Bußgeldern oder Reputationsschäden führen können.

Als Fazit lässt sich ein Jahr nach in Kraft treten der DSGVO zusammenfassen, dass Unternehmen die Umsetzung der DSGVO sehr ernst nehmen. Dies resultiert in einer gestiegenen Anzahl an Anfragen für den Abschluss von Auftragsdatenverarbeitungsverträgen oder der generellen Anfrage von (potentiellen) Kunden, ob die eigene Software auch den Anforderungen der DSGVO gerecht wird.

Auf dieser Seite haben wir weitere Informationen zur DSGVO für Sie zusammengefasst.