Datenschutz
Die DSGVO kommt: Sind Sie bereit für den 25. Mai?
von Thomas Reppa
7. März 2018

Verschlafen Sie bis zum 24. Mai den Datenschutz Ihres Unternehmens an die Datenschutz-Grundverordnung (DSGVO) anzupassen, werden hohe Strafen fällig. Wir haben für Sie eine Checkliste erstellt, damit Sie bis Ende Mai alles schaffen.

Unternehmer sollen die Daten Ihrer Kunden und Mitarbeiter besser schützen – das ist jedenfalls der Zweck der Datenschutz-Grundverordnung, kurz DSGVO. Bereits im April 2016 wurde das neue europäische Datenschutzgesetz beschlossen, seitdem sollen die 99 Artikel von deutschen Unternehmen umgesetzt werden. Allerdings sahen Experten bereits im Herbst vergangenen Jahres: Viele Unternehmen werden diese Deadline nicht schaffen. Damit Sie nicht zu diesen Unternehmen gehören, haben wir für Sie eine Checkliste erstellt.

To-Do 1: Datenschutzbeauftragten benennen (wenn’s sein muss)

Je nachdem, wie viele Mitarbeiter Ihres Unternehmens sich mit der Verarbeitung personenbezogener Daten beschäftigen, braucht Sie einen Datenschutzbeauftragten. Die magische Zahl ist hier neun. Arbeiten regelmäßig nur maximal neun Mitarbeiter mit personenbezogenen Daten, brauchen Sie keinen Datenschutzbeauftragten. In diesem Fall kann diese Aufgabe vom Geschäftsführer selbst übernommen werden. Allerdings müssen sie auch jene Mitarbeiter berücksichtigen, die ab und zu diese Daten verarbeiten und beispielsweise auf die Kundendatenbank zugreifen. Die Art der Anstellung – fest oder frei, Voll- oder Teilzeit, Praktikant, Azubi oder Senior – spielt keine Rolle.

Allerdings gilt diese Ausnahme nicht, wenn Ihr Unternehmen Daten verarbeitet, für die eine Datenschutz-Folgenabschätzung nötig ist. Dies gilt für besonders sensible Daten Ihrer Kunden, etwa zur ethnischen Herkunft, sexuellen Orientierung, Gesundheit oder politischen Einstellung – etwa bei Arztpraxen oder der Versicherungsmaklern.

To-Do 2: “Verzeichnis der Verarbeitungstätigen” anlegen

Laut Artikel 30 der DSGVO sollen Sie zudem ein “Verzeichnis der Verarbeitungstätigkeiten” anlegen. Im Prinzip ist dies nur eine Tabelle. Diese dokumentiert, welche Art von Daten wann, wie und warum im Unternehmen erhoben werden. Dies betrifft sowohl Kundendaten (Name, Adresse, Telefonnummer, etc.) als auch interne Daten (Personaldaten, Lohnbuchhaltung, Lieferanten, Partner und mehr). Bei größeren Unternehmen empfiehlt es sich deswegen, einen Projektverantwortlichen zu bestimmen. Dieser befragt alle, die mit Datenverarbeitung von internen und externen Daten zu tun haben. Eine genaue Liste dieser Fragen und ein Beispiel für eine solche Tabelle finden Sie beim Unternehmermagazin Impulse, die sich auch schon aktiv mit dem Thema auseinander gesetzt hat.

To-Do 3: Prozesse festlegen und dokumentieren

Alle Vorgänge innerhalb des Unternehmens, die mit Datenverarbeitung zu tun haben sollten festgeschrieben und in einem Prozesshandbuch niedergelegt werden. In diesem Schritt können auch alle notwendigen Schritte optimiert werden. Fragen, die sich hier unter anderem gestellt werden sollten sind:

  • Wie informieren Sie Ihre Kunden über die Datenverarbeitung?
  • Ein Kunde besteht auf die Löschung seiner Daten. Was ist hier der Prozess und wer verantwortet ihn?
  • Im Fall eines Hackangriffs muss binnen 72 Stunden die zuständige Landesdatenschutzbehörde informiert werden. Was ist hier Ihr Prozess?
  • Wie schulen Sie Ihre Mitarbeiter in diesen Prozessen?

To-Do 4: Wenn nötig: Datenschutz-Folgeabschätzung durchführen

Wie bereits oben beschrieben, ist eine Datenschutz-Folgeabschätzung nötig, wenn Sie mit risikobehafteten Daten arbeiten. Sollten diese Daten missbraucht werden, besteht für den Kunden ein sehr hohes Risiko, da es sich hierbei um ihre Persönlichkeit handelt. Ihre Landesdatenschutzbehörde berät Sie übrigens in diesen Fragen. So können Sie sicher gehen, dass Sie alles richtig machen.

To-Do 5: Alles dokumentieren

Als Geschäftsführer ihrer Firma sollten Sie zudem alles erfassen, was mit Datenschutz zu tun hat. Welche Fortbildungen zum Thema hat Ihr Team besucht? Welche Software-Updates, wie Firewalls, wurden wann installiert? Gab es Verträge mit Dienstleistern? Haben Sie eine gute Dokumentation, besteht eine gute Chance, dass Sie trotz Datenlecks ohne Bußgeld davon kommen.

Bei CoffeeCup sind Ihre Daten übrigens sicher. Wir gehören zu den wenigen Unternehmen, die schon seit Herbst 2017 die DSGVO implementiert haben. Sie bekommen bei uns also state-of-the-art-Schutz Ihrer Daten – und dass zum kleinen Preis.

DEMO-TERMIN

Bereit uns kennenzulernen?

In wenigen Minuten erklären wir Ihnen CoffeeCup und Sie können es sofort testen.

CoffeeCup Blog
Das könnte Sie auch interessieren