Vom 25. Mai 2018 an wird es ernst. Die EU-Datenschutzgrundverordnung, kurz DSGVO, wird wirksam. Für viele Unternehmen wird angesichts des näher rückenden Datums klar, dass Sie im Bereich Datenschutz noch Luft nach oben haben. Unter Umständen etwas viel Luft… Daher möchten wir Ihnen mit einigen Gedanken und Hinweisen helfen, diesen komplexen Prozess anzugehen.

Wir haben uns aus diesem Grund schon lange mit Fachanwälten, Datenschützern und vor allem mit Unternehmen zusammengesetzt. Unser gemeinsames Ziel war es, die Anforderungen klar zu umreißen und die notwendigen Schritte aus Sicht der IT definieren. Dabei wurde klar: Der Teufel steckt im Detail. Einige Punkte sind juristisch noch nicht komplett geklärt, und die Anforderungen sind je nach Unternehmenszweck durchaus unterschiedlich. Außerdem ranken sich jede Menge Mythen um die DSGVO, die munter durchs Internet verbreitet werden.

Wir von movetech sind ein IT-Systemhaus. Wir sind keine Anwaltskanzlei; insofern gibt es hier keinerlei Anspruch auf Vollständigkeit oder Perfektion. Wenn Sie juristischen Rat benötigen, fragen Sie bitte einen Anwalt.

 

Was brauchen Sie unbedingt?

Egal ob Kleinbetrieb, Kindergarten, Verein oder Unternehmen: Sobald Sie mit personenbezogenen Daten Dritter zu tun haben, Sie benötigen am 25.05.2018 vermutlich auf jeden Fall:

 

  • ein Datenschutzkonzept

  • ein Verfahrensverzeichnis

  • Auftragsverarbeitungsverträge von Ihren Dienstleistern (IT-Dienstleister, Steuerbüro etc.)

  • TOMs: Technische und organisatorische Maßnahmen

  • einen Datenschutzbeauftragten, wenn Sie mehr als 10 Mitarbeiter beschäftigen. Wenn bei der Verarbeitung personenbezogener Daten Minderjährige betroffen oder besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO vorhanden sind, kann ein DSB auch bei unter 10 Mitarbeitern Pflicht sein.

  • eine Datenschutzfolgeabschätzung, wenn sie mit Daten nach Art. 9 DSGVO arbeiten (=Risikobewertung/Notfallpläne), somit ein Informationssicherheitsmanagementsystem (ISMS)

  • ein DSGVO-gerechtes Impressum auf Ihrer Homepage

  • eine Datenschutzerklärung auf Ihrer Homepage

 

Sehr sinnvoll wäre zudem aus unserer Sicht:

 

  • die Verschlüsselung sämtlicher mobilen Geräte, die in Ihrem Unternehmen zum Einsatz kommen oder Ihrem Unternehmen gehören (Notebooks, Smartphones, USB-Sticks, externe Festplatten, Tablets)

  • eine intensive Schulung der Mitarbeiter. Denn das schärfste Schwert ist aus unserer Sicht nicht die etwaige Zahlung einer hohen Strafe, sondern die Meldepflicht: Kein Unternehmen möchte im Fall der Fälle alle seine Kunden, Lieferanten etc. innerhalb von 72 Stunden darüber informieren, dass es ein potentielles Datenleck gegeben hat.

  • die Definition der relevanten Prozesse. Was tut Ihr Unternehmen in dem Fall, wenn jemand nachfragt, welche Daten über ihn gespeichert sind? Wer ist zuständig? Wie ist der Ablauf? Wie lässt sich das Löschen solcher Daten gegenüber Dritten dokumentieren oder nachweisen?

Die Umsetzung ist in erster Linie mit erheblichem Aufwand verbunden, einiges lässt sich mit der Hilfe von Dritten bewerkstelligen. Jedoch spätestens das Datenschutzkonzept oder die Definition bestimmter Prozesse sollte von dem Unternehmen selbst durchgeführt werden - schließlich sollen sich alle darüber bewusst werden, welche Daten wie verarbeitet und wie damit umgegangen wird.

Mit der DSGVO wird die Informationssicherheit auf einneues Niveau gehoben. Das mag man als sinnvoll erachten oder nicht. Ab dem 25. Mai 2018 spielt Meinung allerdings keine Rolle mehr - die Verordnung tritt dann in Kraft.

Sicherheit versprechen auch viele Anbieter von Software. Dabei dürfte es denen weniger um die Belange ihrer Kunden gehen als vielmehr um das eigene Wohlergehen. Mit Angst lässt sich eben Geld verdienen… Der Kauf und die Installation eines Programms allein sorgen in keinem Fall für eine umfassende DSGVO-Konformität. Außerdem: Ein Produkt von der Stange wird nie die Komplexität der IT oder eines Unternehmens mit seinen Prozessen auffangen können.

Damit Sie die richtigen Schritte in die Wege leiten können, helfen wir Ihnen gern. Sprechen Sie uns doch einfach an.

Ihr Steffen Mauer