Der einfache Weg zur DSGVO

Datenschutz schafft Vertrauen zwischen Betroffenen und Unternehmen.

Datenschutz besteht aus 3 Teilen:

Datenschutz besteht aus drei Themen: Transparenz, RechtmÀssigkeit und Sicherheit

Die Aufregung hat sich gelegt.

Daten sind Werte und guter Datenschutz erlaubt Unternehmen, mit personenbezogenen Daten zu arbeiten.

Es gibt den einfachen Weg zur DSGVO. Auch fĂŒr Unternehmen mit Risikodaten.

Inzwischen gibt es Urteile der Datenschutzbehörden zum neuen Datenschutz, die Rechtssicherheit schaffen. In Österreich finden Sie diese Urteile hier: Rechtsinformationssystem RIS

Die hÀufigste Frage zur DSGVO: Was muss ich konkret tun?

Datenschutz verstehen

Verstehen ist wichtig.

Wenn sich alle im Team auskennen, gelingt der Datenschutz sehr einfach.

Auskennen hilft

Lesen Sie die DSGVO oder lassen Sie sich erklÀren, was wichtig ist.

Lassen Sie sich zeigen, wieviel nicht wichtig ist.

Zum Beispiel sind nur die ersten 49 von den 99 Artikeln fĂŒr Unternehmen wichtig.

Toll oder? Sie haben gerade die unwichtige HĂ€lfte erledigt.

Die DSGVO ist durchaus verstÀndlich geschrieben.

Manche Branchen haben mehr Verantwortung: Psychiater haben andere Daten als ElektrogeschÀfte.

Der beste Link zur lesbaren Variante: DSGVO-Gesetz.de

Was ist sonst noch wichtig?

Die Grundlagen des Datenschutzes

Die wichtigen Artikel sind:

Artikel 5 und 6: GrundsÀtze und RechtmÀssigkeit. Sie brauchen die beiden Artikel 5 und 6 bei der Transparenzpflicht nach Artikel 12, 13 und 14

Artikel 7 erklÀrt, was eine Einwilligung bedeutet und wie man das einfach schafft

Artikel 9 erklĂ€rt, welche 10 Daten-Arten die „Daten besonderer Kategorien“ sind, die strengeren Auflagen unterliegen

Artikel 12, 13 und 14 fordern die Information der Betroffenen bei der Erhebung der Daten. Gute Beispiele zeigen, wie das gelingt

Artikel 15 bis 22 beschreiben die Rechte der Betroffenen. Diese Rechte sind bei allen Unternehmen die selben

Der Artikel 25 fordert Datenschutz durch Technik, das ist hilfreich beim Einkauf

Der Artikel 28 regelt die Beziehung zu Auftragsverarbeitern, die mit Ihren Daten arbeiten. Sie machen einen Vertrag aus einer Vorlage – fertig

Artikel 30 beschreibt das Verzeichnis der Verarbeitungen. Das Verzeichnis ist die Basis aller Ihrer Überlegungen

Der Artikel 32 fordert den Schutz der Daten durch technische und organisatorische Maßnahmen. Wir nehmen die Maßnahmen, die bereits vorhanden sind und bestĂ€tigen deren Angemessenheit

Die Artikel 33 und 34 regeln die Pflichten beim Datenschutz-Verlust, beim „Data-Breach“.

Die Artikel 44-49 regeln den Umgang mit Daten ausserhalb des EuropÀischen Wirtschaftsraums. Also zB internationale Spedition, Reisedaten, Cloud oder die Nutzung von Software, die Daten nach ausserhalb der EU bringt und welche Regeln hier gelten.

Die 5 Themen Ihres DSGVO-Projektes

1) Das Verzeichnis der Verarbeitungen erstellen

Machen Sie eine Liste aller Zwecke, fĂŒr die Sie personenbezogene Daten verwenden. Ein Verzeichnis ist in wenigen Stunden fertig.

Das Verzeichnis hat 2 Teile:

  1. Sie fĂŒhren ein Verzeichnis fĂŒr die Verarbeitungen, in denen Sie als Verantwortliche(r) ĂŒber „Zwecke und Mittel der Verarbeitung“ entscheiden.
  2. Sie fĂŒhren ein Verzeichnis fĂŒr die Verarbeitungen, in denen Sie als Auftragsverarbeiter fĂŒr andere Verantwortliche tĂ€tig werden.

2) Die DatenschutzerklÀrung schafft Transparenz

Transparenzpflicht Artikel 12/13/14: Betroffene haben das Recht, bei Erhebung der Daten zu erfahren, fĂŒr welche Zwecke und wie Daten verarbeitet werden.

Damit Betroffene lesen können, was Sie mit ihren Daten tun, ist die DatenschutzerklÀrung ein guter Platz.
Dort können Sie auch die Rechte fĂŒr die Betroffenen erklĂ€ren.

Die DatenschutzerklÀrung soll alle Informationen zum Umgang mit personenbezogenen Daten (zB Zwecke der Verarbeitung, die Dauer, die Rechte der Betroffenen, den Umgang mit Cookies und Social Media Plugins) enthalten. Leicht findbar auf Ihrer Webseite.
Ein gutes Beispiel, wie das aussehen kann: https://drschwenke.de/datenschutz

Bei diesem hervorragenden Juristen finden Sie auch einen Generator, um eine DatenschutzerklÀrung zu erhalten, die genau auf Ihre Funktionen zugeschnitten ist.

3) Die Risikobewertung hilft, die Angemessenheit des Schutzes zu klÀren

Vielleicht sind Sie Gewerbetreibende und haben nur Buchhaltungsdaten und MitarbeiterInnendaten. Wie können Sie das Risiko bewerten?

Eine einfache Methode ist die Klassifizierung der Daten nach den Auswirkungen fĂŒr die Betroffenen, wenn die Daten in falsche HĂ€nde kommen. Mit dieser Methode stellen wir fest, ob Sie eine professionelle Risikobewertung benötigen. Diese zweite Methode ist ebenfalls einfach: Sie verwendet die 18 Risiken des ErwĂ€gungsgrundes 75 aus der DSGVO.

Bei den meisten Daten ist das Risiko gering. Es kommt aber immer auf den Kontext an. NatĂŒrlich gibt es Daten, die ein Risiko fĂŒr Betroffene darstellen, zB. Kreditkartendaten, BonitĂ€tsauskĂŒnfte oder Bewerbungsdaten von Menschen, die noch in einem aufrechten DienstverhĂ€ltnis stehen. Wer sich bei Ihnen bewirbt, möchte nicht, dass der Chef davon erfĂ€hrt.

Die Schritt-fĂŒr-Schritt-Anleitung gibt es im Handbuch, das Sie von mir bekommen, fertig zur Anwendung.

4) VertrÀge regeln Auftragsverarbeitung

Wenn Sie anderen Unternehmen Daten zur Verarbeitung im Auftrag ĂŒbergeben, fĂŒr die Sie verantwortlich sind, macht man einen Vertrag, der den Umgang mit personenbezogenen Daten regelt. Letztendlich haben Sie ja die Verantwortung, dass mit den Daten nichts passiert. Sie mĂŒssen Ihre Dienstleister vertraglich binden. Dieser Vertrag besteht aus 10 Themen und ist eine Checkliste, in der alle Aspekte enthalten sind und den Sie wie einen Fragebogen an Ihre Leistungsvereinbarungen anpassen. Keine große Sache.

FĂŒr alle amerikanischen Dienstleistungen verwenden wir seit dem Ende von Privacy Shield die „Standard Contractual Clauses“ der EU, die Sie hier finden: Standard Vertrags Klauseln = Standard Contractual Clauses

FĂŒr Ihre MitarbeiterInnen gibt es Verschwiegenheitsklauseln fĂŒr den Dienstvertrag und leicht verstĂ€ndliche ErklĂ€rungen.

Ich liefere Ihnen alles, was sie zum Datenschutz wissen mĂŒssen.

5) Maßnahmen zum Schutz der Daten

Es gibt eine Vielzahl passender TOM = „technische und organisatorische Maßnahmen“, die Sie zum Schutz der Daten ergreifen können, um das Risiko auf ein angemessenes Maß zu senken. Ich habe sehr gute Erfahrungen mit einem Katalog aller möglichen technischen und organisatorischen Maßnahmen. Sie wĂ€hlen, was Sie benötigen.

Einfache Regeln fĂŒr die MitarbeiterInnen, wie man sicher mit IT umgeht, sind zB hilfreich und wichtig. Die ĂŒberwiegende Mehrheit der Schutzverletzungen passieren nicht durch Hacker, es sind MissverstĂ€ndnisse oder Fehler aus einem Mangel an Wissen.

Einfache Regeln helfen Ihrem Team

Um den Nachweis der Vertraulichkeit erbringen zu können, mĂŒssen MitarbeiterInnen zur Verschwiegenheit verpflichtet werden. Der richtige Umgang mit Passworten stellt sicher, dass nur Befugte Zugriff haben.

Der Beleg, dass Ihre Maßnahmen „angemessen“ sind, fĂŒhren wir mit der Evidenz (welche Abweichungen gibt es?) und der Risikobewertung des Impacts (was wĂŒrde ein Risikoeintritt fĂŒr die betroffene Person konkret bedeuten?).

Awareness, die organisatorische Maßnahme, um den Sinn von Regeln verstĂ€ndlich zu machen

Bewusstseinsbildung funktioniert nicht nur fĂŒr den Datenschutz, es hilft auch wunderbar gegen jede Form von Cybercrime. Egal ob Social Engineering oder perfide Betrugsformen: Mit einer jĂ€hrlichen Awareness-Schulung von 90 Minuten bekommt man die Einhaltung der Regeln und eine lernende Organisation.

„Was ist wo passiert und was können wir daraus lernen, um den Mitbewerb zu ĂŒberholen?“ ist eine motivierende Fragestellung.

Ihr Unternehmen und Ihr Datenschutz

Ein erster Schritt ist ein GesprĂ€che ĂŒber die spezifische Situation in Ihrem Unternehmen.

Wenn Sie Daten in der Cloud haben, internationale Standorte, wenn Sie „Daten besonderer Kategorien“ haben oder wenn Sie neue Technologien einsetzen, kommen gewisse Vorgaben hinzu. Auch die Frage der/des Datenschutzbeauftragten lĂ€sst sich in einem ersten GesprĂ€ch sofort klĂ€ren.

Alles davon ist mit ĂŒberschaubaren Methoden lösbar.

Alle Maßnahmen werden einmal im Unternehmen eingerichtet und in einem Handbuch dokumentiert. Mit diesem Handbuch ist auch die jĂ€hrliche ÜberprĂŒfung des Systems (mit einer enthaltenen Fragenliste zur ÜberprĂŒfung) und der Nachweis der Wirksamkeit leicht zu erbringen.

Einfach muss es sein, denn nur einfache Lösungen funktionieren

Weitere Informationen zum Thema und zu Workshops finden Sie hier: DSGVO & Workshops

Datenschutz ist gar nichts so schwierig. Ich freue mich auf Ihre Fragen

Fragen? Kontaktieren Sie mich

Datenschutz geht ganz einfach mit Wissen und positiver Kommunikation
Einfacher Datenschutz fĂŒr eine digitale Wirtschaft