Der einfache Weg zur DSGVO

Datenschutz schafft Vertrauen zwischen Betroffenen und Unternehmen.

Datenschutz besteht aus 3 Teilen:

Datenschutz besteht aus drei Themen: Transparenz, Rechtmässigkeit und Sicherheit

Die Aufregung hat sich gelegt.

Daten sind Werte und guter Datenschutz erlaubt Unternehmen, mit personenbezogenen Daten zu arbeiten.

Es gibt den einfachen Weg zur DSGVO. Auch für Unternehmen mit Risikodaten.

Inzwischen gibt es Urteile der Datenschutzbehörden zum neuen Datenschutz, die Rechtssicherheit schaffen. In Österreich finden Sie diese Urteile hier: Rechtsinformationssystem RIS

Die häufigste Frage zur DSGVO: Was muss ich konkret tun?

Datenschutz verstehen

Verstehen ist wichtig.

Wenn sich alle im Team auskennen, gelingt der Datenschutz sehr einfach.

Auskennen hilft

Lesen Sie die DSGVO oder lassen Sie sich erklären, was wichtig ist.

Lassen Sie sich zeigen, wieviel nicht wichtig ist.

Zum Beispiel sind nur die ersten 49 von den 99 Artikeln für Unternehmen wichtig.

Toll oder? Sie haben gerade die unwichtige Hälfte erledigt.

Die DSGVO ist durchaus verständlich geschrieben.

Manche Branchen haben mehr Verantwortung: Psychiater haben andere Daten als Elektrogeschäfte.

Der beste Link zur lesbaren Variante: DSGVO-Gesetz.de

Was ist sonst noch wichtig?

Die Grundlagen des Datenschutzes

Die wichtigen Artikel sind:

Artikel 5 und 6: Grundsätze und Rechtmässigkeit. Sie brauchen die beiden Artikel 5 und 6 bei der Transparenzpflicht nach Artikel 12, 13 und 14

Artikel 7 erklärt, was eine Einwilligung bedeutet und wie man das einfach schafft

Artikel 9 erklärt, welche 10 Daten-Arten die „Daten besonderer Kategorien“ sind, die strengeren Auflagen unterliegen

Artikel 12, 13 und 14 fordern die Information der Betroffenen bei der Erhebung der Daten. Gute Beispiele zeigen, wie das gelingt

Artikel 15 bis 22 beschreiben die Rechte der Betroffenen. Diese Rechte sind bei allen Unternehmen die selben

Der Artikel 25 fordert Datenschutz durch Technik, das ist hilfreich beim Einkauf

Der Artikel 28 regelt die Beziehung zu Auftragsverarbeitern, die mit Ihren Daten arbeiten. Sie machen einen Vertrag aus einer Vorlage – fertig

Artikel 30 beschreibt das Verzeichnis der Verarbeitungen. Das Verzeichnis ist die Basis aller Ihrer Überlegungen

Der Artikel 32 fordert den Schutz der Daten durch technische und organisatorische Maßnahmen. Wir nehmen die Maßnahmen, die bereits vorhanden sind und bestätigen deren Angemessenheit

Die Artikel 33 und 34 regeln die Pflichten beim Datenschutz-Verlust, beim „Data-Breach“.

Die Artikel 44-49 regeln den Umgang mit Daten ausserhalb des Europäischen Wirtschaftsraums. Also zB internationale Spedition, Reisedaten, Cloud oder die Nutzung von Software, die Daten nach ausserhalb der EU bringt und welche Regeln hier gelten.

Die 5 Themen Ihres DSGVO-Projektes

1) Das Verzeichnis der Verarbeitungen erstellen

Machen Sie eine Liste aller Zwecke, für die Sie personenbezogene Daten verwenden. Ein Verzeichnis ist in wenigen Stunden fertig.

Das Verzeichnis hat 2 Teile:

  1. Sie führen ein Verzeichnis für die Verarbeitungen, in denen Sie als Verantwortliche(r) über „Zwecke und Mittel der Verarbeitung“ entscheiden.
  2. Sie führen ein Verzeichnis für die Verarbeitungen, in denen Sie als Auftragsverarbeiter für andere Verantwortliche tätig werden.

2) Die Datenschutzerklärung schafft Transparenz

Transparenzpflicht Artikel 12/13/14: Betroffene haben das Recht, bei Erhebung der Daten zu erfahren, für welche Zwecke und wie Daten verarbeitet werden.

Damit Betroffene lesen können, was Sie mit ihren Daten tun, ist die Datenschutzerklärung ein guter Platz.
Dort können Sie auch die Rechte für die Betroffenen erklären.

Die Datenschutzerklärung soll alle Informationen zum Umgang mit personenbezogenen Daten (zB Zwecke der Verarbeitung, die Dauer, die Rechte der Betroffenen, den Umgang mit Cookies und Social Media Plugins) enthalten. Leicht findbar auf Ihrer Webseite.
Ein gutes Beispiel, wie das aussehen kann: https://drschwenke.de/datenschutz

Bei diesem hervorragenden Juristen finden Sie auch einen Generator, um eine Datenschutzerklärung zu erhalten, die genau auf Ihre Funktionen zugeschnitten ist.

3) Die Risikobewertung hilft, die Angemessenheit des Schutzes zu klären

Vielleicht sind Sie Gewerbetreibende und haben nur Buchhaltungsdaten und MitarbeiterInnendaten. Wie können Sie das Risiko bewerten?

Eine einfache Methode ist die Klassifizierung der Daten nach den Auswirkungen für die Betroffenen, wenn die Daten in falsche Hände kommen. Mit dieser Methode stellen wir fest, ob Sie eine professionelle Risikobewertung benötigen. Diese zweite Methode ist ebenfalls einfach: Sie verwendet die 18 Risiken des Erwägungsgrundes 75 aus der DSGVO.

Bei den meisten Daten ist das Risiko gering. Es kommt aber immer auf den Kontext an. Natürlich gibt es Daten, die ein Risiko für Betroffene darstellen, zB. Kreditkartendaten, Bonitätsauskünfte oder Bewerbungsdaten von Menschen, die noch in einem aufrechten Dienstverhältnis stehen. Wer sich bei Ihnen bewirbt, möchte nicht, dass der Chef davon erfährt.

Die Schritt-für-Schritt-Anleitung gibt es im Handbuch, das Sie von mir bekommen, fertig zur Anwendung.

4) Verträge regeln Auftragsverarbeitung

Wenn Sie anderen Unternehmen Daten zur Verarbeitung im Auftrag übergeben, für die Sie verantwortlich sind, macht man einen Vertrag, der den Umgang mit personenbezogenen Daten regelt. Letztendlich haben Sie ja die Verantwortung, dass mit den Daten nichts passiert. Sie müssen Ihre Dienstleister vertraglich binden. Dieser Vertrag besteht aus 10 Themen und ist eine Checkliste, in der alle Aspekte enthalten sind und den Sie wie einen Fragebogen an Ihre Leistungsvereinbarungen anpassen. Keine große Sache.

Für alle amerikanischen Dienstleistungen verwenden wir seit dem Ende von Privacy Shield die „Standard Contractual Clauses“ der EU, die Sie hier finden: Standard Vertrags Klauseln = Standard Contractual Clauses

Für Ihre MitarbeiterInnen gibt es Verschwiegenheitsklauseln für den Dienstvertrag und leicht verständliche Erklärungen.

Ich liefere Ihnen alles, was sie zum Datenschutz wissen müssen.

5) Maßnahmen zum Schutz der Daten

Es gibt eine Vielzahl passender TOM = „technische und organisatorische Maßnahmen“, die Sie zum Schutz der Daten ergreifen können, um das Risiko auf ein angemessenes Maß zu senken. Ich habe sehr gute Erfahrungen mit einem Katalog aller möglichen technischen und organisatorischen Maßnahmen. Sie wählen, was Sie benötigen.

Einfache Regeln für die MitarbeiterInnen, wie man sicher mit IT umgeht, sind zB hilfreich und wichtig. Die überwiegende Mehrheit der Schutzverletzungen passieren nicht durch Hacker, es sind Missverständnisse oder Fehler aus einem Mangel an Wissen.

Einfache Regeln helfen Ihrem Team

Um den Nachweis der Vertraulichkeit erbringen zu können, müssen MitarbeiterInnen zur Verschwiegenheit verpflichtet werden. Der richtige Umgang mit Passworten stellt sicher, dass nur Befugte Zugriff haben.

Der Beleg, dass Ihre Maßnahmen „angemessen“ sind, führen wir mit der Evidenz (welche Abweichungen gibt es?) und der Risikobewertung des Impacts (was würde ein Risikoeintritt für die betroffene Person konkret bedeuten?).

Awareness, die organisatorische Maßnahme, um den Sinn von Regeln verständlich zu machen

Bewusstseinsbildung funktioniert nicht nur für den Datenschutz, es hilft auch wunderbar gegen jede Form von Cybercrime. Egal ob Social Engineering oder perfide Betrugsformen: Mit einer jährlichen Awareness-Schulung von 90 Minuten bekommt man die Einhaltung der Regeln und eine lernende Organisation.

„Was ist wo passiert und was können wir daraus lernen, um den Mitbewerb zu überholen?“ ist eine motivierende Fragestellung.

Ihr Unternehmen und Ihr Datenschutz

Ein erster Schritt ist ein Gespräche über die spezifische Situation in Ihrem Unternehmen.

Wenn Sie Daten in der Cloud haben, internationale Standorte, wenn Sie „Daten besonderer Kategorien“ haben oder wenn Sie neue Technologien einsetzen, kommen gewisse Vorgaben hinzu. Auch die Frage der/des Datenschutzbeauftragten lässt sich in einem ersten Gespräch sofort klären.

Alles davon ist mit überschaubaren Methoden lösbar.

Alle Maßnahmen werden einmal im Unternehmen eingerichtet und in einem Handbuch dokumentiert. Mit diesem Handbuch ist auch die jährliche Überprüfung des Systems (mit einer enthaltenen Fragenliste zur Überprüfung) und der Nachweis der Wirksamkeit leicht zu erbringen.

Einfach muss es sein, denn nur einfache Lösungen funktionieren

Weitere Informationen zum Thema und zu Workshops finden Sie hier: DSGVO & Workshops

Datenschutz ist gar nichts so schwierig. Ich freue mich auf Ihre Fragen

Fragen? Kontaktieren Sie mich

Datenschutz geht ganz einfach mit Wissen und positiver Kommunikation
Einfacher Datenschutz für eine digitale Wirtschaft