Der einfache Weg zur DSGVO (eine Schritt für Schritt Anleitung)

Der einfache Weg zur DSGVO

Für einfache Verarbeitungen gelten wenige Forderungen, wir zeigen Ihnen, wie das mit wenig Aufwand geht

Es gibt den einfachen Weg zur DSGVO. Natürlich auch für Unternehmen mit Risikodaten

Die häufigste Frage zur DSGVO: Was muss ich konkret tun?

Von den 99 Artikeln der DSGVO sind nur wenige relevant für die Umsetzung in allen Unternehmen

Es kommt also auf die Branche an: Psychiater haben andere Daten als Elektrogeschäfte

Damit Sie Ihre Verarbeitungen schnell gestalten können, zeige ich Ihnen, was für Sie wichtig ist

Die Grundlagen des Datenschutzes

Das sind die wichtigen Artikel:

Artikel 5 und 6: Grundsätze und Rechtmässigkeit

Sie brauchen diese beiden bei der Informationspflicht nach Artikel 13 und 14. Damit machen Sie Ihre Datenschutzerklärung

Artikel 7 erklärt, was eine Einwilligung bedeutet und wie man das einfach bekommt

Artikel 13 und 14 fordern die Information der Betroffenen bei der Erhebung der Daten. Gute Beispiele zeigen, wie das gelingt

Artikel 15 bis 22 beschreiben die Rechte der Betroffenen. Diese Rechte sind bei allen Unternehmen die selben

Der Artikel 25 fordert Datenschutz durch Technik, das ist hilfreich beim Einkauf

Der Artikel 28 regelt die Beziehung zu Auftragsverarbeitern, die mit Ihren Daten arbeiten. Sie machen einen Vertrag aus einer Vorlage – fertig

Artikel 30 beschreibt das Verzeichnis der Verarbeitungen. Das ist die Basis aller Ihrer Argumente für Ihre Maßnahmen

Der Artikel 32 fordert den Schutz der Daten durch technische und organisatorische Maßnahmen. Wir nehmen die Maßnahmen, die bereits vorhanden sind und bestätigen deren Angemessenheit

Die Artikel 44-49 regeln den Umgang mit Daten ausserhalb des Europäischen Wirtschaftsraums. Also Cloud und Software, die Daten aus dem EWR bringt und welche Regeln hier gelten.

Ihre Fragen habe ich mit 26 Unternehmen der verschiedensten Branchen bereits beantwortet. Sie starten mit unserer Erfahrung

Die 5 Themen Ihres DSGVO-Projektes

1) Das Verzeichnis der Verarbeitungen

Machen Sie eine Liste aller Ihrer Daten und Zwecke, die Sie verwenden.

Hilfreich ist dazu die „Standard- und Musterverordnung“. Man kann sich an den Aufbewahrungszeiten und den Beschreibungen orientieren, wie ein Verarbeitungsverzeichnis aussehen kann. Die gute Nachricht: Die Listen der Felder brauchen Sie nicht zu übernehmen, das ist nicht gefordert.
Hier gehts zur Standard- und Musterverordnung:  Link zur Standard- und Musterverordnung
Ein Verzeichnis ist in wenigen Stunden fertig.

2) Die Datenschutzerklärung

Damit Betroffene lesen können, was Sie mit ihren Daten tun, ist die Datenschutzerklärung der richtige Platz.
Dort können Sie auch die Rechte für die Betroffenen erklären.

Die Datenschutzerklärung soll alle Informationen zum Umgang mit personenbezogenen Daten (zB Zwecke der Verarbeitung, die Dauer, die Rechte der Betroffenen, den Umgang mit Cookies und Social Media Plugins) enthalten. Leicht findbar auf Ihrer Webseite.
Ein gutes Beispiel, wie das aussehen kann: https://drschwenke.de/datenschutz

Bei diesem hervorragenden Juristen finden Sie auch einen Generator, um eine Datenschutzerklärung zu erhalten, die genau auf Ihre Funktionen zugeschnitten ist.

3) Die Risikobewertung

Vielleicht sind Sie Gewerbetreibende und haben nur Buchhaltungsdaten und MitarbeiterInnendaten. Wie können Sie das Risiko bewerten?

Eine einfache Methode ist die Klassifizierung der Daten nach den Auswirkungen für die Betroffenen, wenn die Daten in falsche Hände kommen. Mit dieser Methode stellen wir fest, ob Sie eine professionelle Risikobewertung benötigen. Diese zweite Methode ist ebenfalls einfach: Sie verwendet die 18 Risiken des Erwägungsgrundes 75 aus der DSGVO.

Bei den meisten Daten ist das Risiko gering, es kommt aber immer auf den Kontext an. Natürlich gibt es Daten, die ein Risiko für Betroffene darstellen, zB. Kreditkartendaten, Bonitätsauskünfte oder Bewerbungsdaten von Menschen, die noch in einem aufrechten Dienstverhältnis stehen und der Chef nicht erfahren soll, dass er sich bei Ihnen beworben hat.

Die beiden Methoden sind in jedem Workshop und im Handbuch, das Sie bekommen fertig zur Anwendung.

4) Verträge

Mit den Dienstleistern macht man einen Vertrag, der den Umgang mit personenbezogenen Daten regelt. Letztendlich haben Sie ja die Verantwortung, dass mit den Daten nichts passiert. Sie müssen Ihre Dienstleister vertraglich binden. Dieser Vertrag ist eine Checkliste, in der alle Aspekte enthalten sind und den Sie wie einen Fragebogen an Ihre Leistungsvereinbarungen anpassen. Keine große Sache.

Für Ihre MitarbeiterInnen gibt es Verschwiegenheitsklauseln für den Dienstvertrag und leicht verständliche Erklärungen, was sie zum Datenschutz wissen müssen.

5) Maßnahmen zum Schutz der Daten

Es gibt eine Vielzahl passender „technischer und organisatorischer Maßnahmen“, die Sie zum Schutz der Daten ergreifen können, um das Risiko auf ein angemessenes Maß zu senken. Ich habe sehr gute Erfahrungen mit einem Katalog aller möglichen technischen und organisatorischen Maßnahmen. Sie wählen, was Sie benötigen.

Einfache Regeln für die MitarbeiterInnen, wie man sicher mit IT umgeht, sind zB hilfreich und wichtig. Die überwiegende Mehrheit der Schutzverletzungen passieren nicht durch Hacker, es sind Missverständnisse oder Fehlverhalten mangels Wissen.

Um den Nachweis der Vertraulichkeit erbringen zu können, müssen MitarbeiterInnen zur Verschwiegenheit verpflichtet werden und der Umgang mit Passworten muss sicherstellen, dass nur Befugte Zugriff haben.

Awareness, die effizienteste Maßnahme

Bewusstseinsbildung funktioniert nicht nur für den Datenschutz, es hilft auch wunderbar gegen jede Form von Cybercrime. Egal ob Social Engineering oder perfide Betrugsformen: Mit einer jährlichen Awareness-Schulung von 90 Minuten bekommt man die Einhaltung der Regeln und eine lernende Organisation.

„Was ist wo passiert und was können wir daraus lernen, um den Mitbewerb zu überholen?“ ist eine motivierende Fragestellung.

Ihr Unternehmen und Ihr Datenschutz

Ein erster Schritt ist ein Vorgespräch über die spezifische Situation in Ihrem Unternehmen.

Wenn Sie Daten in der Cloud haben, internationale Standorte, wenn Sie „Daten besonderer Kategorien“ haben oder wenn Sie neue Technologien einsetzen, kommen gewisse Vorgaben hinzu. Auch die Frage der/des Datenschutzbeauftragten lässt sich in einem ersten Gespräch sofort klären.

Alles davon ist mit überschaubaren Methoden lösbar.

Alle Maßnahmen werden einmal im Unternehmen eingerichtet und in einem Handbuch dokumentiert. Mit diesem Handbuch ist auch die jährliche Überprüfung des Systems (mit einer enthaltenen Fragenliste zur Überprüfung) und der Nachweis der Wirksamkeit leicht zu erbringen.

Einfach muss es sein, denn nur einfache Lösungen funktionieren

Weitere Informationen zum Thema und zu Workshops finden Sie hier: DSGVO & Workshops

Datenschutz ist gar nichts so schwierig. Ich freue mich auf Ihre Fragen

Fragen? Kontaktieren Sie mich


[/av_textblock]

0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.