Go to Top

Die Last-Minute DSGVO-Checkliste

Mit nur noch ca. einem Monat an Zeit übrig, ist die Vorbereitung auf die kommende DSGVO (Datenschutzgrundverordnung) von wesentlicher Bedeutung. Am 25. Mai wird die neue EU-Datenschutz-Grundverordnung in vollem Umfang in Kraft treten und ab diesem Datum können Unternehmen, die den Datenschutz nicht ernst nehmen, mit hohe Geldstrafen rechnen. Eine letzte Überprüfung, ob Ihre DSGVO-Implementierung korrekt und sicher ist, ist daher unerlässlich. Dazu dient auch unsere Checkliste! Sie sollten diese als Richtschnur dafür nutzen, wonach Sie zumindest suchen sollten und – wenn nicht bereits getan – auch bis zum 25. Mai umsetzen.

  • Prüfen Sie, ob Ihr Unternehmen regelmäßig und systematisch Daten von in der EU ansässigen Personen oder Unternehmen in großem Umfang sammelt

Was als ein einfacher Punkt erscheint, ist letztlich der Hauptgrund dafür, dass man gezwungen ist, die neue DSGVO-Verordnung einzuhalten. Wenn Sie nicht in der EU ansässig sind und keine Geschäfte mit EU-Unternehmen tätigen, hat die DSGVO keine Auswirkungen auf Sie. Aber wenn Sie mit europäischen Unternehmen Geschäfte machen, sollten Sie die neuen Vorschriften einhalten. Wenn Sie personenbezogene Daten von EU-Datensubjekten verarbeiten, müssen Sie die Sicherheitsanforderungen des DSGVO-Artikels 30 sowie andere in der Verordnung festgelegte Punkte beachten.

  • Überprüfen Sie, wo Ihre sensiblen Daten gespeichert sind

Es ist wichtig zu wissen, wo sensible personenbezogene Daten tatsächlich in Ihren Systemen gespeichert sind. Ohne diese Information sind Sie verloren! Da EU-Bürger verlangen können, dass ihre gespeicherten Informationen endgültig gelöscht werden, sollten Sie zu 100 Prozent wissen, dass Sie alle Speicherpositionen kennen, an denen sich diese einzelnen Daten befinden, so dass Sie diese Daten innerhalb eines sehr kurzen Zeitrahmens löschen können.

  • Seien Sie in der Lage, schnell auf persönliche Daten zuzugreifen, sie zu löschen und zu ändern

Da Personen mit der DSGVO außerdem erweiterte Rechte erhalten, um auf ihre Informationen zuzugreifen, sollten Sie als Unternehmen in der Lage sein, Ungenauigkeiten korrigieren und Informationen löschen zu können, und damit die direkte Bereitstellung von Marketinginformationen und automatisierte Datensammlung innerhalb eines kurzen Zeitrahmens stoppen zu können.

  • Überprüfen Sie, ob Ihre IT-Lösungen und -Prozesse “Datenschutz durch Design” implementieren.

In Artikel 25 führt die DSGVO das Konzept des Datenschutzes durch Technologiedesign und datenschutzfreundliche Voreinstellungen ein. Dieses Konzept greift die Idee auf, dass der Datenschutz am besten eingehalten werden kann, wenn er bereits bei der Entwicklung eines Datenverarbeitungsvorgangs technisch integriert ist. Das bedeutet, dass Datenschutzmaßnahmen am besten in Ihr IT-System und mit den richtigen organisatorischen Prozessen integriert werden, bevor das System zum ersten Mal in Betrieb genommen wird.

Wenn dies nicht möglich ist, weil Ihr IT-System noch einige Jahre laufen wird, sind Sie gezwungen, geeignete technische Maßnahmen zu ergreifen, um die Rechte und Freiheiten der betroffenen Personen zu schützen.

In jedem Fall sollten Sie bei der Implementierung eines IT-Systems, das persönliche Informationen sammelt, speichert oder verarbeitet, eine solide Bewertung der Risiken für diese Rechte und Freiheiten durch die gewählte Lösung vornehmen.

  • Stellen Sie sicher, dass Sie eine funktionierende Datenlöschlösung in Ihrem IT-System integriert haben

Einer der Hauptaspekte der DSGVO-Vorschriften ist das Recht einer Person auf ihre eigenen personenbezogenen Daten. In der Firmenrealität bedeutet dies, dass der ehemalige Partner, Mitarbeiter oder Kunde Sie auffordern kann, seine persönlichen Daten sicher zu löschen, wenn Sie keine rechtmäßige Notwendigkeit haben diese aufzubewahren oder andere rechtliche Gründe oder Gesetze dagegenstehen. Wie bereits erwähnt, müssen die genauen Speicherorte, an denen sich diese Daten befinden, zu jedem Zeitpunkt bekannt sein. Dies kann z.B. durch verschiedene Datenmanagement-Lösungen erreicht werden. Sobald die Daten gefunden wurden, sollten sie jedoch von einer professionellen Softwarelösung wie der von Blanco oder Ontrack Data Recovery sicher gelöscht werden. Einer der Hauptvorteile besteht darin, dass sie nicht nur auf technologisch hohem Niveau Löschungen bieten, sondern auch einen späteren Nachweis dafür erstellen, dass die Daten später auch erfolgreich gelöscht wurden. Daher ist es sinnvoll, eine dieser Löschlösungen in den gesamten Datenmanagement-Lebenszyklus zu integrieren und IT-Prozesse und -Lösungen zu verwenden.

  • Implementieren Sie einen Reaktionsplan für Datenpannen

Sobald eine Datenverletzung festgestellt wird, muss das betroffene Unternehmen gemäß der neuen Verordnung die Datenverletzung der nationalen Datenschutzbehörde seines Landes melden. Daher besteht ein Hauptzweck des Datenpannen-Reaktionsplans darin, die Auswirkungen des Verstoßes herauszufinden und festzustellen, ob sensible Daten in Bezug auf EU-Bürger kompromittiert wurden. Außerdem sollte der Plan Maßnahmen enthalten, die schnell implementiert werden können, um zu verhindern, dass durch diesen Verstoß weitere sensitive Daten verschwinden. Und schließlich – wenn Sie das noch nicht getan haben – sollten Sie:

  • Einen Datenschutzbeauftragten ernennen

Ein Datenschutzbeauftragter (DPO) wird von der DSGVO bei allen denjenigen Unternehmen benötigt, wenn …

  • die Organisation, die die Daten verarbeitet, eine öffentliche Behörde ist. (Ausnahme: Gerichte)
  • das Unternehmen oder die Organisation Daten in großem Umfang verarbeitet und die Verarbeitung “aufgrund ihrer Art, ihres Umfangs und / oder ihrer Zwecke” eine regelmäßige und systematische Überwachung der betroffenen Personen erfordert oder
  • das Unternehmen oder die Organisation große Mengen personenbezogener und sensibler Daten – wie alle Daten, die auf Rasse oder ethnische Herkunft, politische Meinung, religiöse oder philosophische Überzeugung, Gesundheitszustand usw. hinweisen – sowie Daten, die mit strafrechtlichen Verurteilungen und Straftaten in Zusammenhang stehen speichert.

Kurz gesagt, große Unternehmen müssen einen Datenschutzbeauftragten haben. Und da das vorherige deutsche Datenschutzgesetz bereits strenge Regel hatte, gibt es wohl kaum ein deutsches Unternehmen, das keinen Datenschutzbeauftragten beschäftigt. Wenn Sie das bislang nicht mussten, kann es jetzt allerdings sein, dass sich das mit der neuen EU-Verordnung geändert hat. Das gilt es zu prüfen.

Die Hauptaufgabe des Datenschutzbeauftragten besteht darin, dafür zu sorgen, dass in Ihrem Unternehmen die richtigen Prozesse für den gesetzlichen Umgang mit Daten im Rahmen der Datenschutzgrundverordnung eingerichtet sind und diese auch funktionieren. Zusätzlich muss er sowohl die Prozesse als auch die aktuellen und neu eingehenden Daten permanent überwachen, so dass das Datenmanagement immer innerhalb der Vorschriften liegt.

Fazit: Mit etwas weniger als einem Monat Zeit sollten Sie prüfen, ob die oben genannten Punkte in Ihrem Unternehmen bereits behandelt wurden. Die viel strengeren Bußgelder der DSGVO, die bis zu 4 Prozent des weltweiten Umsatzes erreichen können, verlangen, dass Sie im Voraus so oft wie möglich prüfen, ob Sie auch dieses Regelwerk und die darin verankerten Vorschriften einhalten.

Wenn Sie einige der hier genannten Punkte also noch nicht umgesetzt haben, sollten Sie sich jetzt beeilen!

 

Bildnachweis: Ontrack Data Recovery