Gibt es einen einfachen Weg für die DSGVO?

Seit der Datenschutz im April 2016 EU-weit neu geregelt wurde, wird zwar viel darüber geschrieben, aber das Wenigste davon hilft den Unternehmen.

Das ist kurios, denn es gibt den einfachen Weg zur DSGVO.

Die häufigste Frage: Was muss ich tun?

Eine Gruppe befreundeter UnternehmerInnen ist auf mich zugekommen und hat angefragt, ob man das nicht in einfachen Worten und für ganz normale Menschen erklären kann. Niemand möchte Jus oder Technik studieren, nur um als UnternehmerIn alles richtig zu machen.

Die Herausforderung Datenschutz

Zuerst habe ich alles zusammengetragen, was relevant ist:

1) Die Datenschutzgrundverordnung DSGVO der EU mit der Nummer 2016/679
2) Die Datenschutzrichtlinie der EU (für Behörden)) mit der Nummer 2016/680
3) Das (alte) österreichische Datenschutzgesetz DSG2000
4) Das neue Datenschutzanpassungsgesetz vom 29. Juni 2017
5) Den Bericht des Verfassungsausschusses über die Regierungsvorlage

Diese Dokumente habe ich auf ihre einzelnen Aussagen zerlegt.

Warum ist der Ausschussbericht dabei?

Weil in diesem Bericht, den das Parlament bekommt, erläutert wird, was aus welchen Gründen in das Gesetz gepackt wurde.

Auf den Seiten 9 und 10 sind die speziellen Vorschriften für Bildaufzeichnungen praxisbezogen erläutert.

Auf Seite 19 wird die Datennutzung zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung erwähnt.

Auf Seite 24 wird zum §50 (Protokollierung von Zugriffen) für die Behörde sehr eng beschrieben, wie „Vertraulichkeit“ sichergestellt werden muss. Gleiches ist im §54 der Datenschutzanpassungsgesetzes für den Schutz der Daten für Behörden sehr detailliert beschrieben.

Für Unternehme ist der Art 32 der DSGVO hier weit weniger konkret. Man kann aber davon ausgehen, dass die Praxis für Behörden auch beispielgebend für die Praxis von Unternehmen werden könnte.

Wen es interessiert, der/die kann es hier nachlesen:

Ausschussbericht 1761

Dann habe ich mir einzelne Branchen (ÄrztInnen, Versicherungsmaklerinnen, Handwerksbetriebe, Schulungsunternehmen, UnternehmensberaterInnen) hergenommen und die Lösungen für eine praktikable Umsetzung im Unternehmen zugeordnet.

Auch wenn manche das Gegenteil behaupten: Diese Analyse ergibt ein vollkommen klares Bild.

Kurzfassung:

  • Personenbezogene Daten gehören den Betroffenen
  • Diese Daten dürfen nur so verwendet werden, wie die Betroffenen das erwarten
  • Die Daten müssen mit technischen und organisatorischen Maßnahmen angemessen gegen Risiken geschützt werden

Das mag jetzt schwierig klingen, es ist aber in Wahrheit keine Hexerei.

Die Grundsätze der DSGVO

Was hilft uns nun bei der Suche nach dem Hilfreichen?

Sehen wir uns die Forderungen genauer an:

  1. Personenbezogene Daten sind Daten, die auf eine lebende Person hinweisen. Diese Daten müssen vertraulich behandelt werden.
    Der Nachweis über die Vertraulichkeit muss erbracht werden können.
  2. Der Schutz dieser Daten muss (und darf) dem Risiko angemessen erfolgen. Ein niedriges Risiko erfordert weniger Maßnahmen. Das ist gut so.
  3. Ein „Verzeichnis aller Verarbeitungen“ muss eigentlich nicht jeder führen.
    Aber: Es ist hilfreich, um die eigene Risikobewertung machen und Maßnahmen zuordnen zu können.
  4. Betroffene haben Rechte auf Informationen über Zweck, Art und Dauer der Verarbeitung.
    Hier hilft das Verzeichnis der Verarbeitungen und eine Datenschutzerklärung.
  5. Die Daten müssen – dem Risiko angemessen – durch „technische und organisatorische Maßnahmen“ geschützt werden.
    Wieder hilft hier das Verzeichnis der Verarbeitung, um die Maßnahmen den Verfahren zuzuordnen.
  6. Für diese angemessene Sicherheit darf man nur DienstleisterInnen zur Verarbeitung der Daten einsetzen, die „ausreichende Garantien“ für den Datenschutz bieten. Ausreichende Garantien durch „technische und organisatorische Maßnahmen“. Mit diesen DienstleisterInnen (zB Ihrer IT-Firma oder Ihrer Steuerberatung) brauchen Sie einen Vertrag zu den Datenschutzpflichten.
  7. Für DienstleisterInnen bedeutet das, dass man diese „ausreichenden Garantien“ leicht verständlich beschreiben sollte. Das ist ein Wettbewerbsvorteil.

Für diese Grundsätze

Die 5 Themen Ihres DSGVO-Projektes

1) Das Verzeichnis der Verarbeitungen

Machen Sie eine Liste aller Ihrer Daten und Zwecke, die Sie verwenden.

Hilfreich ist dazu die „Standard- und Musterverordnung“. Man kann sich an den Aufbewahrungszeiten und den Beschreibungen orientieren, wie ein Verarbeitungsverzeichnis aussehen kann. Die gute Nachricht: Die Listen der Felder brauchen Sie nicht zu übernehmen, das ist nicht gefordert.
Hier gehts zur Standard- und Musterverordnung:  Link zur Standard- und Musterverordnung
Ein Verzeichnis ist in wenigen Stunden fertig.

2) Die Datenschutzerklärung

Damit Betroffene lesen können, was Sie mit ihren Daten tun, ist die Datenschutzerklärung der richtige Platz.
Dort können Sie auch die Rechte für die Betroffenen erklären.

Die Datenschutzerklärung soll alle Informationen zum Umgang mit personenbezogenen Daten (zB Zwecke der Verarbeitung, die Dauer, die Rechte der Betroffenen, den Umgang mit Cookies und Social Media Plugins) enthalten. Leicht findbar auf Ihrer Webseite.
Ein gutes Beispiel, wie das aussehen kann: https://drschwenke.de/datenschutz

Bei diesem hervorragenden Juristen finden Sie auch einen Generator, um eine Datenschutzerklärung zu erhalten, die genau auf Ihre Funktionen zugeschnitten ist.

3) Die Risikobewertung

Vielleicht sind Sie Gewerbetreibende und haben nur Buchhaltungsdaten und MitarbeiterInnendaten. Wie können Sie das Risiko bewerten?

Eine einfache Methode ist die Klassifizierung der Daten nach den Auswirkungen für die Betroffenen, wenn die Daten in falsche Hände kommen.

Ich verwende 5 Klassen, die man leicht einschätzen kann:

  1. Daten, die öffentlich sind
  2. Daten, die nicht öffentlich sind aber für die man von Betroffenen berechtigt wurde
  3. Daten, die geeignet sind, das Ansehen zu gefährden
  4. Daten, die geeignet sind, die Existenz zu gefährden
  5. Daten die Leib und Leben gefährden können

Bei den meisten Daten ist das Risiko gering, es kommt aber immer auf den Kontext an. Natürlich gibt es Daten, die ein Risiko für Betroffene darstellen, zB. Kreditkartendaten, Bonitätsauskünfte oder Bewerbungsdaten von Menschen, die noch in einem aufrechten Dienstverhältnis stehen und der Chef nicht erfahren soll, dass er sich bei Ihnen beworben hat.

In einem Datenschutzworkshop, der in einem einfachen Unternehmen meist etwa 8 Stunden dauert, ist die Risikobewertung in einer halben Stunde an das Unternehmen angepasst und erledigt.

4) Verträge

Mit den Dienstleistern macht man einen Vertrag, der den Umgang mit personenbezogenen Daten regelt. Letztendlich haben Sie ja die Verantwortung, dass mit den Daten nichts passiert. Sie müssen Ihre Dienstleister vertraglich binden. Dieser Vertrag ist eine Checkliste, in der alle Aspekte enthalten sind und den Sie wie einen Fragebogen an Ihre Leistungsvereinbarungen anpassen. Keine große Sache.

Für Ihre MitarbeiterInnen gibt es Verschwiegenheitsklauseln für den Dienstvertrag und leicht verständliche Erklärungen, was sie zum Datenschutz wissen müssen.

5) Maßnahmen zum Schutz der Daten

Es gibt eine Vielzahl passender „technischer und organisatorischer Maßnahmen“, die Sie zum Schutz der Daten ergreifen können, um das Risiko auf ein angemessenes Maß zu senken. Ich habe sehr gute Erfahrungen mit einem Katalog aller möglichen technischen und organisatorischen Maßnahmen. Sie wählen, was Sie benötigen.

Einfache Regeln für die MitarbeiterInnen, wie man sicher mit IT umgeht, sind zB hilfreich und wichtig. Die überwiegende Mehrheit der Schutzverletzungen passieren nicht durch Hacker, es sind Missverständnisse oder Fehlverhalten mangels Wissen.

Um den Nachweis der Vertraulichkeit erbringen zu können, müssen MitarbeiterInnen zur Verschwiegenheit verpflichtet werden und der Umgang mit Passworten muss sicherstellen, dass nur Befugte Zugriff haben.

Awareness, die effizienteste Maßnahme

Bewusstseinsbildung funktioniert nicht nur für den Datenschutz, es hilft auch wunderbar gegen jede Form von Cybercrime. Egal ob Social Engineering oder perfide Betrugsformen: Mit einer jährlichen Awareness-Schulung von 90 Minuten bekommt man die Einhaltung der Regeln und eine lernende Organisation.

„Was ist wo passiert und was können wir daraus lernen, um den Mitbewerb zu überholen?“ ist eine motivierende Fragestellung.

Ihr Unternehmen und Ihr Datenschutz

Ein erster Schritt ist ein Vorgespräch über die spezifische Situation in Ihrem Unternehmen.

Wenn Sie Daten in der Cloud haben, internationale Standorte, wenn Sie „Daten besonderer Kategorien“ haben oder wenn Sie neue Technologien einsetzen, kommen gewisse Vorgaben hinzu. Auch die Frage der/des Datenschutzbeauftragten lässt sich in einem ersten Gespräch sofort klären.

Alles davon ist mit überschaubaren Methoden lösbar.

Alle Maßnahmen werden einmal im Unternehmen eingerichtet und in einem Handbuch dokumentiert. Mit diesem Handbuch ist auch die jährliche Überprüfung des Systems (mit einer enthaltenen Fragenliste zur Überprüfung) und der Nachweis der Wirksamkeit leicht zu erbringen.

Einfach muss es sein, denn nur einfache Lösungen funktionieren

Weitere Informationen zum Thema und zu Workshops finden Sie hier: DSGVO & Workshops

Datenschutz ist gar nichts so schwierig. Ich freue mich auf Ihre Fragen

Fragen? Kontaktieren Sie mich