18. Mai 2018 | pArtikel drucken | kKommentieren

DSGVO: Diese 5 To-Dos sollten Sie jetzt noch angehen

Wir weisen darauf hin, dass dieser Artikel lediglich dem unverbindlichen Informationszweck dient und keine Rechtsberatung im eigentlichen Sinne darstellt.

Die zweijährige Übergangsfrist der vom Rat der Europäischen Union und dem Europäischen Parlament erlassenen EU-Datenschutz-Grundverordnung (EU-DSGVO) endet am 25. Mai 2018. Dann ist die DSGVO für alle Mitgliedsstaaten verpflichtend. Was sollten Unternehmen noch vor Ablauf der Übergangsfrist umsetzen?

Das Bundesdatenschutzgesetz (BDSG a.F.) gilt ab dem 25.05.2018 nicht mehr. Eine letzte Überprüfung, ob man im Sinne der DSGVO rechtssicher agiert, ist somit unerlässlich.

In unserer Checkliste sehen Sie unsere Last-Minute Empfehlungen – übersichtlich dargestellt in der folgenden Infografik. Zum Vergrößern einfach auf das Bild klicken.

Bild: CANCOM

1. Speicherort für personenbezogene Daten definieren

Ein wesentlicher Bestandteil der neuen DSGVO sind Konzepte, die eine datenschutzkonforme Löschung von personenbezogenen Daten vorschreiben. Sobald die DSGVO verpflichtend ist, können betroffene Personen (Art. 4 Nr. 1 DSGVO) verlangen, dass ihre personenbezogenen Daten nach Art. 17 DSGVO unverzüglich gelöscht werden („Recht auf Vergessenwerden“).

Die betroffene Person hat beispielsweise ein Recht auf Löschung, wenn der Zweck, für den die personenbezogenen Daten erhoben oder verarbeitet wurden, nicht mehr notwendig ist, oder wenn die betroffene Person die Einwilligung zur Verarbeitung der Daten widerruft. Damit Unternehmen den Anforderungen zur Datenlöschung gerecht werden, ist es unerlässlich zu wissen, wo diese Daten tatsächlich im Unternehmen gespeichert sind.

Eine Ausnahme könnte dann bestehen, wenn die personenbezogenen Daten außerhalb der EU und EWR verarbeitet werden.

2. Datenschutzerklärung aktualisieren

Ein weiteres zentrales Element der DSGVO ist die Aktualisierung der Datenschutzerklärung. Der Umfang, welche Informationspflichten die Datenschutzerklärungen enthalten müssen (Art. 13 DSGVO), geht weit über die bisherige Informationspflicht hinaus: So ist beispielsweise die betroffene Person zum Zeitpunkt der Datenerhebung darüber zu informieren, zu welchem Zweck die personenbezogenen Daten verarbeitet werden.

Datenschutzerklärungen werden durch die DSGVO somit detaillierter und transparenter. Informieren Sie Kunden oder Nutzer genau, wie deren personenbezogene Daten verarbeitet werden und passen Sie vor allem die Datenschutzerklärung auf der Webseite an.

3. Schutz der Daten durch eine angemessene Security

Zum Schutz der personenbezogenen Daten bestimmt die DSGVO, dass geeignete technische und organisatorische Maßnahmen getroffen werden müssen. Ziel ist, durch diese Maßnahmen das Schutzniveau zu gewährleisten. Sollte der Schutz der personenbezogenen Daten verletzt werden, muss unverzüglich und möglichst binnen 72 Stunden eine Meldung an die zuständige Aufsichtsbehörde erfolgen.

Eine Verletzung des Schutzes personenbezogener Daten ist eine Verletzung der Sicherheit. Diese führt – ob beabsichtigt oder unrechtmäßig – zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang von personenbezogenen Daten, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet werden. Darunter fallen beispielsweise Datenpannen, Datenlecks, Datendiebstahl oder Hacking.

Erfolgt die Meldung nicht entsprechend den Bestimmungen der DSGVO, kann das zu hohen Geldbußen in Millionenhöhe führen. Deshalb ist es unbedingt notwendig, genau zu wissen, wo die entsprechenden Daten abgespeichert sind (siehe Punkt 2). Es ist ratsam, die Abläufe im Krisenfall vorab exakt zu definieren, um schnell und richtig agieren zu können.

4. Reaktionsplan – der Leitfaden im Ernstfall

Tritt trotz der ergriffenen Sicherheitsmaßen eine Datenpanne auf, hilft ein Reaktionsplan. Dieser stellt nicht nur die Auswirkungen fest, sondern enthält auch schnell umzusetzende Maßnahmen, die einen weiteren Verlust von personenbezogenen Daten verhindern sollen. In einem solchen Reaktionsplan sollten Informationen enthalten sein, wie die schnelle Kenntnisnahme von Datenpannen, die Bewertung des Ausmaßes sowie Maßnahmen zur Verhinderung weiterer Sicherheitslücken.

Bevor ein Reaktionsplan im Ernstfall zum Einsatz kommt, sollten die Abläufe vor Eintreten des Notfalls unbedingt geprobt werden. So kann bei einem Datenschutzvorfall reagiert und mögliche Schwächen eines Reaktionsplans aufgedeckt und entsprechend abgeändert werden.

5. Nennung eines Datenschutzbeauftragten

Ein Datenschutzbeauftragter ist beispielsweise zu benennen, wenn die Kerntätigkeit des Verantwortlichen in der umfangreichen Verarbeitung sensibler, personenbezogener Daten besteht. Kleine und mittlere Unternehmen sind hiervon nicht ausgenommen.

Neuer Stellenwert für Datenschutz und Datensicherheit

Mit der DSGVO kommen auf Unternehmen große Neuerungen zu. Spätestens mit der Anwendbarkeit der DSGVO nehmen die Themen Datenschutz und Datensicherheit einen völlig anderen Stellenwert ein. Entsprechende Technologien, wie etwa die richtige Datenverschlüsselung, Zwei-Faktor-Authentifizierung oder ein intelligentes Schlüssel-Management können Unternehmen dabei helfen, DSGVO-konform zu sein.

Quelle Titelbild: © TheDigitalArtist/Pixabay

Hier schreibt CANCOM.info Redaktion für Sie

Mehr Artikel vom Autor

Lesen Sie weiter auf CANCOM.info