Der einfache Weg zur DSGVO

Weil die DSGVO alles regelt, was mit Daten von Menschen zu bedenken ist, sieht das für einfache Unternehmen mit Daten ohne Risiko verwirrend aus. Denn für einfache Verarbeitungen gelten wenige Forderungen, aber die müssen für Laien erst mal gefunden werden.

Die gute Nachricht: Es gibt den einfachen Weg zur DSGVO: 4 Stunden Wissen + 4 Stunden Dokumentation anwenden für die Organisation Ihres Datenschutzes

Die häufigste Frage zur DSGVO: Was muss ich konkret tun?

Von den 99 Artikeln der DSGVO sind nur wenige relevant für die Umsetzung in allen Unternehmen. Spezielle Artikel hängen von der Art der Daten ab, die verarbeitet werden.

Es kommt also zuerst auf die Branche an: Psychiater haben andere Daten als Elektrogeschäfte. Dann kommt es darauf an, was auf Ihrer Webseite alles passiert: Formulare, Webshops, Analytics oder Chats: Es gibt eine Reihe von Artikeln, die davon abhängen, was Sie mit den Daten auf Ihrer Webseite machen.

Damit Sie Ihre spezielle Verarbeitungen richtig gestalten können, müssen Sie mal die Grundlagen des Datenschutzes verstehen. Es ist wie beim Autofahren: Wenn Sie das Schild „Einfahrt verboten“ kennen, wissen Sie, was Sie zu tun haben. Wenn Sie morgen eine neue Software für die Verarbeitung von Personendaten kaufen, sollten Sie den Artikel 25 bedenken, denn der fordert von Ihnen Datenschutz durch Technik zu berücksichtigen.

Die Grundlagen des Datenschutzes

Wichtig für das Verstehen der Pflichten für alle Unternehmen sind:

Artikel 5 und 6: Die Grundsätze und die Rechtmässigkeit

Sie brauchen diese beiden bei der Informationspflicht nach Artikel 13 und 14. Dort müssen Sie dazu Angaben machen

Artikel 7 erklärt, was eine Einwilligung bedeutet und welche Qualität sie haben muss

Artikel 13 und 14 verlangen die Information der Betroffenen bei der Erhebung der Daten. Hier müssen alle etwas tun

Artikel 15 bis 22 beschreiben die Rechte der Betroffenen. Auch diese Rechte müssen bei der Erhebung der Daten nach Artikel 13 /14 erklärt werden

Der Artikel 25 fordert Datenschutz durch Technik, also beim Einsatz von Technik, das beginnt bei der Auswahl

Der Artikel 28 regelt die Beziehung zu Auftragsverarbeitern, die mit Ihren Daten arbeiten sollen. Denn sie müssen Verträge machen

Artikel 30 beschreibt das Verzeichnis der Verarbeitungen. Das ist die Basis aller Ihrer Argumente für Ihre Maßnahmen

Der Artikel 32 fordert den Schutz der Daten durch technische und organisatorische Maßnahmen. Sie haben die Verantwortung, diese Maßnahmen auch von Ihren Auftragsverarbeitern zu fordern

Die Artikel 44-49 regeln den Umgang mit Daten ausserhalb des Europäischen Wirtschaftsraums. Also Cloud und Software, die Daten aus dem EWR bringt und welche Regeln hier gelten.

Die Fragen, die nun in Ihrem Kopf entstehen, habe ich mit 26 Unternehmen der verschiedensten Branchen bereits beantwortet.

Die Minimalvariante zur DSGVO

Das ist das kleine Programm:

Definitionen, Grundsätze, Rechtmässigkeit, Verträge, Verzeichnis, Schutz der Daten, Daten ausserhalb des EWR

Einfache Erweiterungen zur DSGVO gibt es für Unternehmen mit Risikodaten: Gesundheit, Bonität, Videokameras, Online-Marketing, US-Software etc.

Sehen wir uns die Forderungen genauer an:

  1. Personenbezogene Daten sind Daten, die auf eine lebende Person hinweisen. Diese Daten müssen vertraulich behandelt werden.
    Der Nachweis über die Vertraulichkeit muss erbracht werden können.
  2. Der Schutz dieser Daten muss (und darf) dem Risiko angemessen erfolgen. Ein niedriges Risiko erfordert weniger Maßnahmen. Das ist gut so.
  3. Ein „Verzeichnis aller Verarbeitungen“ muss eigentlich nicht jeder führen.
    Aber: Es ist hilfreich, um die eigene Risikobewertung machen und Maßnahmen zuordnen zu können.
  4. Betroffene haben Rechte auf Informationen über Zweck, Art und Dauer der Verarbeitung.
    Hier hilft das Verzeichnis der Verarbeitungen und eine Datenschutzerklärung.
  5. Die Daten müssen – dem Risiko angemessen – durch „technische und organisatorische Maßnahmen“ geschützt werden.
    Wieder hilft hier das Verzeichnis der Verarbeitung, um die Maßnahmen den Verfahren zuzuordnen.
  6. Für diese angemessene Sicherheit darf man nur DienstleisterInnen zur Verarbeitung der Daten einsetzen, die „ausreichende Garantien“ für den Datenschutz bieten. Ausreichende Garantien durch „technische und organisatorische Maßnahmen“. Mit diesen DienstleisterInnen (zB Ihrer IT-Firma oder Ihrer Steuerberatung) brauchen Sie einen Vertrag zu den Datenschutzpflichten.
  7. Für DienstleisterInnen bedeutet das, dass man diese „ausreichenden Garantien“ leicht verständlich beschreiben sollte. Das ist ein Wettbewerbsvorteil.

Für diese Grundsätze

Die 5 Themen Ihres DSGVO-Projektes

1) Das Verzeichnis der Verarbeitungen

Machen Sie eine Liste aller Ihrer Daten und Zwecke, die Sie verwenden.

Hilfreich ist dazu die „Standard- und Musterverordnung“. Man kann sich an den Aufbewahrungszeiten und den Beschreibungen orientieren, wie ein Verarbeitungsverzeichnis aussehen kann. Die gute Nachricht: Die Listen der Felder brauchen Sie nicht zu übernehmen, das ist nicht gefordert.
Hier gehts zur Standard- und Musterverordnung:  Link zur Standard- und Musterverordnung
Ein Verzeichnis ist in wenigen Stunden fertig.

2) Die Datenschutzerklärung

Damit Betroffene lesen können, was Sie mit ihren Daten tun, ist die Datenschutzerklärung der richtige Platz.
Dort können Sie auch die Rechte für die Betroffenen erklären.

Die Datenschutzerklärung soll alle Informationen zum Umgang mit personenbezogenen Daten (zB Zwecke der Verarbeitung, die Dauer, die Rechte der Betroffenen, den Umgang mit Cookies und Social Media Plugins) enthalten. Leicht findbar auf Ihrer Webseite.
Ein gutes Beispiel, wie das aussehen kann: https://drschwenke.de/datenschutz

Bei diesem hervorragenden Juristen finden Sie auch einen Generator, um eine Datenschutzerklärung zu erhalten, die genau auf Ihre Funktionen zugeschnitten ist.

3) Die Risikobewertung

Vielleicht sind Sie Gewerbetreibende und haben nur Buchhaltungsdaten und MitarbeiterInnendaten. Wie können Sie das Risiko bewerten?

Eine einfache Methode ist die Klassifizierung der Daten nach den Auswirkungen für die Betroffenen, wenn die Daten in falsche Hände kommen. Mit dieser Methode stellen wir fest, ob Sie eine professionelle Risikobewertung benötigen. Diese zweite Methode ist ebenfalls einfach: Sie verwendet die 18 Risiken des Erwägungsgrundes 75 aus der DSGVO.

Bei den meisten Daten ist das Risiko gering, es kommt aber immer auf den Kontext an. Natürlich gibt es Daten, die ein Risiko für Betroffene darstellen, zB. Kreditkartendaten, Bonitätsauskünfte oder Bewerbungsdaten von Menschen, die noch in einem aufrechten Dienstverhältnis stehen und der Chef nicht erfahren soll, dass er sich bei Ihnen beworben hat.

Die beiden Methoden sind in jedem Workshop und im Handbuch, das Sie bekommen fertig zur Anwendung.

4) Verträge

Mit den Dienstleistern macht man einen Vertrag, der den Umgang mit personenbezogenen Daten regelt. Letztendlich haben Sie ja die Verantwortung, dass mit den Daten nichts passiert. Sie müssen Ihre Dienstleister vertraglich binden. Dieser Vertrag ist eine Checkliste, in der alle Aspekte enthalten sind und den Sie wie einen Fragebogen an Ihre Leistungsvereinbarungen anpassen. Keine große Sache.

Für Ihre MitarbeiterInnen gibt es Verschwiegenheitsklauseln für den Dienstvertrag und leicht verständliche Erklärungen, was sie zum Datenschutz wissen müssen.

5) Maßnahmen zum Schutz der Daten

Es gibt eine Vielzahl passender „technischer und organisatorischer Maßnahmen“, die Sie zum Schutz der Daten ergreifen können, um das Risiko auf ein angemessenes Maß zu senken. Ich habe sehr gute Erfahrungen mit einem Katalog aller möglichen technischen und organisatorischen Maßnahmen. Sie wählen, was Sie benötigen.

Einfache Regeln für die MitarbeiterInnen, wie man sicher mit IT umgeht, sind zB hilfreich und wichtig. Die überwiegende Mehrheit der Schutzverletzungen passieren nicht durch Hacker, es sind Missverständnisse oder Fehlverhalten mangels Wissen.

Um den Nachweis der Vertraulichkeit erbringen zu können, müssen MitarbeiterInnen zur Verschwiegenheit verpflichtet werden und der Umgang mit Passworten muss sicherstellen, dass nur Befugte Zugriff haben.

Awareness, die effizienteste Maßnahme

Bewusstseinsbildung funktioniert nicht nur für den Datenschutz, es hilft auch wunderbar gegen jede Form von Cybercrime. Egal ob Social Engineering oder perfide Betrugsformen: Mit einer jährlichen Awareness-Schulung von 90 Minuten bekommt man die Einhaltung der Regeln und eine lernende Organisation.

„Was ist wo passiert und was können wir daraus lernen, um den Mitbewerb zu überholen?“ ist eine motivierende Fragestellung.

Ihr Unternehmen und Ihr Datenschutz

Ein erster Schritt ist ein Vorgespräch über die spezifische Situation in Ihrem Unternehmen.

Wenn Sie Daten in der Cloud haben, internationale Standorte, wenn Sie „Daten besonderer Kategorien“ haben oder wenn Sie neue Technologien einsetzen, kommen gewisse Vorgaben hinzu. Auch die Frage der/des Datenschutzbeauftragten lässt sich in einem ersten Gespräch sofort klären.

Alles davon ist mit überschaubaren Methoden lösbar.

Alle Maßnahmen werden einmal im Unternehmen eingerichtet und in einem Handbuch dokumentiert. Mit diesem Handbuch ist auch die jährliche Überprüfung des Systems (mit einer enthaltenen Fragenliste zur Überprüfung) und der Nachweis der Wirksamkeit leicht zu erbringen.

Einfach muss es sein, denn nur einfache Lösungen funktionieren

Weitere Informationen zum Thema und zu Workshops finden Sie hier: DSGVO & Workshops

Datenschutz ist gar nichts so schwierig. Ich freue mich auf Ihre Fragen

Fragen? Kontaktieren Sie mich