8 wesentliche To-Do's für Unternehmen

Unsere Autorin hat für Sie eine umfangreiche Liste zusammengestellt, die Ihnen helfen soll, sich mit den wichtigsten Punkten der EU-DSGVO im eigenen Unternehmen auseinanderzusetzen.

1. Status prüfen / Risikoanalyse

• Welche Daten werden erhoben und verarbeitet? In welcher Form?

• Aktuelle Situation mit DSGVO abgleichen

• Datenschutzfolgen-Abschätzung vorgeschrieben?

• Datenschutzverantwortlicher vorhanden?

• Grundprinzipien des Datenschutzes erfüllt?

• Informationspflicht laut DSGVO erfüllt?

• Sicherheitslücken lokalisieren

• Dokumentationslücken identifizieren

• Verträge mit Dienstleistern prüfen (z.B. Datenverarbeiter, Cloud-Dienste)

• Einwilligungen aktualisieren

Zu beachten: Achtung Betriebsblindheit bei internen Prüfern! Gegebenenfalls externe Spezialisten hinzuziehen und Audit durchführen lassen

Bildergalerie

2. Prozess planen/Datenschutz-Policy

• Zeitplan erstellen

• Budget klären / abrufen

• Verantwortlichkeiten klären

• Schulungen für Kernpositionen nötig? (Datenschutzbeauftragte / Techniker)

• Qualität des Prozesses sichern

• Ziele und To Dos definieren

Zu beachten: Wer hat die nötigen Qualifikationen für Bewertung, Umsetzung und Kontrolle des DS?

3. Maßnahmen durchführen und implementieren

• Technische Infrastruktur schaffen oder auf den neuesten Stand bringen (privacy by design / default)

• Kundeninformationen überarbeiten

• Informationen überall dort einbinden, wo Daten erhoben werden

• Datenschutzverantwortlichen nennen

• Informationen für Mitarbeiter überarbeiten, Schulungen vorbereiten

• Sicherheitsmechanismen einrichten (Zugang und Zugriff beschränken)

• Sensible Vorgänge nur an geeignete Menschen übertragen

• Dokumentation erweitern

• Systemwarnungen einrichten (Alarm bei unberechtigtem Zugriff oder auffälligen Datenbewegungen)

Zu beachten: Organisatorisch und technische Lösungen müssen sich optimal ergänzen. Prozesse sollten weitgehend automatisiert werden, um menschliches Versagen aufgrund von Alltagsroutinen oder Nachlässigkeiten zu minimieren.

4. Maßnahmen prüfen

• Informationspflichten nach DSGVO erfüllt, Transparenz gewährleistet?

• Datenablage und Speicherung prüfen

• Datenverschlüsselungen und Pseudonymisierung prüfen

• Datenauskunft, Berichtigung, Löschung schnell möglich?

• Datenportabilität möglich?

• Systemwarnung prüfen (Datenmissbrauch simulieren, z.B. Hackerangriff, interner Datenzugriff)

• Datenverlust klar ermittelbar? (Menge, Art, Welche Daten genau?)

Zu beachten: Achtung Betriebsblindheit bei internen Prüfern! Gegebenenfalls externe Spezialisten hinzuziehen und Audit durchführen lassen

5. Mitarbeiter schulen/sensibilisieren

• IT-Abteilung (Prinzipien privacy by design/default, etc.)

• Datenschutzbeauftragter (neue Aufgaben, erweiterte Haftung)

• HR (Einstellung neuer Mitarbeiter/Ausscheiden von Kollegen)

• Mitarbeiter mit Datenkontakt (Sensibilisierung)

• Leitfaden für neue Mitarbeiter

Zu beachten: Je nach Fachkompetenz entweder intern (z.B. durch Datenschutzbeauftragten oder IT-Mitarbeiter) oder extern (z.B. Datenschutzexperte, Jurist)

6. Prozesse dokumentieren

• Automatische Dokumentation, wo möglich (Logfiles, etc.)

• Dokumentation laut DSGVO anpassen

Zu beachten: Wesentlich in Hinblick auf Vermeidung potenziell verhängter Bußgelder!

7. Notfallkonzept erstellen

• Umfang der Datenpanne (wie viele?)

• Betroffene Daten (welche?)

• Betroffene Kunden (wie viele, welche?)

• Informations-/Meldepflichten erfüllen

• Sicherheitslücken schließen

• Schäden beheben

Zu beachten: Präzise definieren, wie im Falle einer Datenpanne gehandelt wird, z.B. anhand einer Checkliste.

8. Nachhaltigkeit sichern

• Regelmäßige Schulungen, um Bewusstsein zu erhalten

• Aktuelle Gesetze und Urteile verfolgen

• Sofortige Anwendung der Vorgaben bei Einführung neuer Produkte

• Audit nach längerer Zeit wiederholen

Diseser Artikel ist zunächst auf unserem Partnerportal MaschinenMarkt erschienen.