Keine Panik - es ist ja nur die DSGVO. Aber wer den Kopf in den Sand
steckt, verstößt demnächst gegen geltendes Recht und riskiert enorme
Strafen zulasten seines Unternehmens. Sehen Sie es lieber als Chance.
Außerdem sind Sie nicht allein im Daten-Labyrinth. Jedes Unternehmen,
das in irgendeiner Weise personenbezogene Daten verarbeitet, zum
Beispiel eine Kundendatei führt, Rechnungen ausstellt oder
Lieferantendaten speichert, ist davon betroffen. Die folgenden 10
Schritte sollen Ihnen dabei helfen, die erforderlichen schnellen,
letzten Maßnahmen rechtzeitig zu setzen!
Schritt 1: Dateninventur
Verschaffen Sie sich einen erstenÜberblick, was Ihr Unternehmen mit
personenbezogenen Daten macht und wozu diese überhaupt benötigt
werden. Diese kann man zum Beispiel in Mitarbeiterdaten, Kundendaten
und Lieferantendaten einteilen. Also eine Status-quo-Erhebung
beziehungsweise eine Analyse des Ist-Zustandes.
Schritt 2: Zeit und Budget planen sowie einen Maßnahmenplan erstellen
Hier sollten Sie sich fragen, ob die Vorbereitungen und der Zeitplan
intern zu schaffen sind oder ob doch ein externer Berater zum Zug
kommt. Haben Sie bereits einen Maßnahmenplan bis zum 25. Mai 2018?
Und wie geht es danach mit der DSGVO in Ihrem Unternehmen weiter?
Schritt 3: Zuständigkeit und Ansprechpartner
Wer ist zuständig beziehungsweise der Ansprechpartner und wer kümmert
sich zukünftig um Fragen zur DSGVO? Nominieren Sie in diesem Fall
eine für die DSGVO zuständige Person. Einen Datenschutzbeauftragten
müssen Sie nur benennen, wenn Sie eine öffentliche Behörde sind oder
Ihre Kerntätigkeit in einer umfangreichen, regelmäßigen und
systematischen Verarbeitung besonderer sensibler Daten wie
Gesundheits-und Bankdaten sowie Sozialversicherungsnummer oder
Religionsbekenntnis besteht.
In vielen Fällen werden Sie besser beraten sein, wenn Sie statt des
Datenschutzbeauftragten einen Datenschutzmanager bestellen, der sich
ausführlich um alle Fragen der DSGVO-Compliance kümmert. Aber der
auch die IT, das Produktmanagement sowie das Marketing und den
Vertrieb miteinbezieht. Stellen Sie ebenfalls sicher, dass alle
Verantwortlichen und jeder Mitarbeiter Ihrer Firma erkennt, dass die
DSGVO in Zukunft der neue Standard für sämtliche Kundendaten sein
wird. Am besten, Sie organisieren ein Informationsaudit in Ihrem
Unternehmen. In der A&W 12/2017 sind wir darauf bereits näher
eingegangen.
Schritt 4: Datenverarbeitungsprozesse erheben
Diese Aufgabe besteht darin, im Detail Informationen darüber zu
erheben, was das Unternehmen mit personenbezogenen Daten macht - und
zwar für jede Verarbeitungstätigkeit, egal ob das die
Personalverwaltung, das Kundenbeziehungsmanagement oder das
Beschaffungswesen ist.
Dabei stellen sich folgende Fragen: Welche Daten werden für welche
Zwecke verarbeitet? Wie lange werden sie aufbewahrt? An wen werden
diese übermittelt und auf welcher Rechtsgrundlage verarbeitet? Gibt
es bereits Auftragsverarbeiter und wenn ja: Wie sehen hier die
Verträge aus, und so weiter und so fort. Hier ist eine Fülle an
Informationen für jedeVerarbeitungstätigkeit zu erheben. Das ist ein
ganz wesentlicher und in vielen Fällen auch der aufwendigste Teil der
DSGVO. Denn dieser Schritt ist notwendig, um das Verzeichnis der
Verarbeitungstätigkeiten zu erstellen.
Schritt 5: Verzeichnis von Verarbeitungstätigkeiten
Hier stellen Sie eine solide Dokumentation Ihrer Dateninfrastruktur
her. All jene Informationen die Sie in Schritt 4 erhoben haben,
werden hier erfasst. Die Dokumentation muss auf eine Art und Weise
erfolgen, die das Unternehmen dann auf Anfrage der Datenschutzbehörde
offenlegen kann. In der Ausgabe der A&W 5/2018 haben wir dieses Thema
bereits näher verfolgt. Die passenden Vorlagen dazu finden Sie unter
www.wko.at/datenschutz auf der Website der WKO.
Schritt 6: Zustimmungserklärungen, AGB sowie Datenschutzerklärungen
prüfen und anpassen
Aktualisieren Sie sämtliche Datenschutzerklärungen dahingehend, wie
personenbezogene Daten verarbeitet werden. Das sollte on-wie offline
geschehen.
Schritt 7: Informationen auf Websites, Mails etc. prüfen und anpassen
Auch auf allen Ihren Websites, in Newslettern und
Social-Media-Kanälen muss transparent dargestellt werden, was Ihre
Datenrichtlinie impliziert. Passen Sie sämtliche Opt-ins an.
Einwilligungsformulare müssen den DSGVO-Standard erfüllen, denn ein
freiwilliges Opt-in ist nicht nur ein Muss, sondern der User soll
auch keine Probleme haben, seine Zustimmung zu widerrufen.
Oder betreiben Sie sogar ein Remarketing? Denn wenn der User fragt,
wie seine Daten verwendet werden, müssen Sie dies schnell
beantworten. Grundsätzlich sollten Sie Ihre Kunden nur nach Daten
fragen, die Sie für Ihr Unternehmen und für die Erfüllung des
Vertrages auch wirklich brauchen. Nähere Informationen lesen Sie dazu
in der Ausgabe 3/18 der A&W.
Schritt 8: "Recht auf Vergessenwerden"
Stellen Sie sich bitte auch folgende Fragen: Könnten Sie
beispielsweise die persönlichen Daten eines Kunden schnell löschen,
wenn Sie dazu aufgefordert werden? Und könnten Sie es danach auch
beweisen? Denn das "Recht auf Vergessenwerden" der DSGVO erfordert
dies. Die Privatsphäre der Kundendaten sollte das neue Schlagwort in
Ihrem Unternehmen werden! Minimieren Sie die Kundendaten und
beschränken Sie sich auf die notwendigste Datenerfassung.
Schritt 9: Datensicherheitsmaßnahmen prüfen und anpassen
Sind Sie auf eine Verletzung des Datenschutzes vorbereitet? Verfügt
Ihr Unternehmen über die Ressourcen, um eine Datenverletzung zu
untersuchen? Sind Ihre Berichtsstandards hoch genug, um innerhalb
eines Tages eine vollständige Datenübersicht zu erstellen? Achtung!
Wenn nicht gesicherte Kundendaten verloren gehen, müssen Sie
betroffene Kunden und die Datenschutzbehörde innerhalb von drei Tagen
informieren.
Schritt 10: Aktualisieren und prüfen
Die Verzeichnisse und Daten müssen ständig aktualisiert werden.
Betrachten Sie die DSGVO in Zukunft als einen sauberen, laufenden
Sisyphus- Prozess im Unternehmen, der von allen Beteiligten und
Mitarbeitern gelebt werden muss.
Ende der Serie
NEWS
Robuste und tönbare Schutzlackierung RAPTOR®
Die robuste und tönbare RAPTOR-Schutzlackierung von U-POL ist eine Lackierung aus Urethan mit großer Haltbarkeit. Sie ve...
