DSGVO how-to: So verarbeiten Sie Ihre Daten konform

Der Stichtag klingt noch weit weg, aber der Aufwand für eine ab dem 25. Mai 2018 rechtskonforme Verarbeitung von personenbezogenen Daten sollte nicht unterschätzt werden.

Gehandelt werden muss jetzt:  Wer die DSGVO-Anforderungen nicht erfüllt, riskiert Bußgelder von bis zu 20 Millionen Euro bzw. 4 Prozent des weltweiten Umsatzes des vorangegangenen Geschäftsjahres. Insbesondere kleine bis mittelständische Unternehmen kann das in Bedrängnis bringen. Die DSGVO gilt aber auch für Verwaltungen aller staatlichen Ebenen.

Fragen Sie bei Ihrem Softwarehersteller/-partner nach, wie es um die DSGVO-Compliance steht. Microsoft gewährleistet beispielsweise, dass bis zum Inkrafttreten der Verordnung am 25. Mai 2018 alle Microsoft Cloud-Dienste mit der DSGVO rechtskonform sein werden. Das schließt Produkte wie Office 365, Dynamics 365, Microsoft Azure, SQL Server, Enterprise Mobility + Security (EMS), Windows 10 und Microsoft 365 (bestehend aus Office 365, Windows 10 sowie EMS) ein.

Was sich mit der DSGVO ändert

Grundsätzliche Datenschutz-Prinzipien, wie die Zweckbindung, Datenminimierung und Transparenz, bleiben erhalten. Neu sind einige angepasste Begriffsdefinitionen. Bei der Einwilligung etwa, muss eindeutig nachgewiesen werden, dass eine effektive Einwilligung erteilt wurde. Standardmäßig angekreuzte Kästchen oder ein stillschweigendes Einverständnis reichen nicht aus.

Künftig hat eine Person jederzeit das Recht nachzufragen, welche Daten ein Unternehmen von ihr wofür speichert und verwendet. Sie kann auch eine Kopie ihrer Daten verlangen. Damit dies schnell möglich ist, sollte ein Unternehmen sein Datenmanagement genau kennen. Nicht vergessen: Oft werden Namen, E-Mail- und Post-Adressen auch an externe Dienste weitergereicht – Newsletter-Anbieter, Spediteure oder Paketversender etc. Es sollte also eine möglichst exakte Datendokumentation vorliegen, inklusive definierter Prozesse und Ansprechpartner, die schnell auf derartige Auskunftsanfragen reagieren können.

Rechte und Pflichten

Damit verbunden ist das Recht auf Datenübertragbarkeit. Unternehmen müssen in der Lage sein, einer Person ihre Daten in einem maschinenlesbaren Format zu übertragen. Dafür braucht es natürlich eine IT- und Software-Infrastruktur, die jederzeit den kompletten Daten-Überblick bietet und mit wenigen Klicks einen Datenexport erlaubt.

Verlangt eine Person die Löschung ihrer Daten, ist ebenfalls Sorgfalt gefragt: Denn nur aus den eigenen Datenbanken löschen reicht nicht. Auch bei den Partnern – Stichwort Versand, E-Mails, Rechnungen – müssen die weitergereichten Daten verschwinden. Ein dezidiertes Löschkonzept hilft, Abläufe und Verantwortlichkeiten zu definieren.

Schutz gewährleisten

Die DSGVO fordert außerdem von Unternehmen und Organisationen, dass jene Systeme ausreichend belastbar sind, um personenbezogene Daten zu schützen. Werden neue IT geplant oder neue Geschäftsmodelle entwickelt, ist eine Risikoabschätzung nötig, die mögliche Datenschutzverletzungen beurteilt. All das sollte ausreichend dokumentiert sein.

Wissen aufbauen und verwenden

Generell gilt also: Auf das Wissen des Datenschutzbeauftragten – der übrigens in jedem Unternehmen mit mehr als zehn Mitarbeitern bestimmt sein muss – sollte frühzeitig zurückgegriffen werden. Bei der Konzeption einer neuen Website, eines neuen Produkts oder Services zum Beispiel. Er darf nicht nur der Feuerwehrmann sein, wenn es beim Thema Datenschutz brennt. Und: Der 25. Mai 2018 ist kein Schlusstermin. Auch danach muss der Datenschutz immer im Blick bleiben und an neue Herausforderungen angepasst werden.

Es ist daher ratsam, das aktuelle Budget für den Datenschutz zu überprüfen und dementsprechend zu erhöhen. Lieber etwas in einen funktionierenden Schutz der Daten investieren, als von den drastisch erhöhten Bußgeldern der DSGVO überrascht zu werden.

Nicht zögern, handeln!

Aktuell ist das Engagement mit dem Thema Datenschutz noch verhalten. Eine Umfrage der Unternehmensberatung Ernst & Young zeigt, dass bei rund einem Viertel der befragten österreichischen Unternehmen der Datenschutz vom Top-Management wenig beachtet wird. Nur 20 Prozent der Firmen haben eine Datenschutz-Strategie ausformuliert. Fast 60 Prozent agieren ohne eigenen Datenschutzbeauftragten. Es ist also einiges zu tun, um bis Ende 2018 alle DSGVO-Anforderungen zu erfüllen.

Unterstützung holen

Viele Anwender sind mit der Umsetzung der DSGVO noch überfordert, gleichzeitig überschwemmen Seminaranbieter mit zig Veranstaltungen den Markt und machen die Wahl schwer. Wie geht man das Unterfangen allgemein am besten an? Die großen Softwarehersteller der eigenen Unternehmenssoftware bieten eine erste Anlaufstelle. Einerseits setzen deren Rechenzentren bereits weltweit auf einheitliche, geprüfte und bewährte Technologien und hohe Sicherheitsstandards und stellen damit wichtige Weichen für einen sicheren Weg zur DSGVO-Compliance. Andererseits veröffentlichen Tools zu Analyse der eigenen Situation. Microsoft hat beispielsweise ein Assessment-Tool veröffentlicht, mit dem Unternehmen und Verwaltungen ihr technisches und organisatorisches Set-up in Bezug auf die DSGVO beurteilen können. Das Online-Tool mit Fragen stellt nicht nur wichtige Fragen, es gibt auch Anleitungen zur Umsetzung der neuen Verordnung. Mit diesen Infos vorab wendet man sich dann am besten an den Softwarepartner des Vertrauens, der seine Kunden bei der Erfüllung der Datenschutzrichtlinien unterstützen und so vor Bußgeldern schützen kann.

Unterstützung holen

Zusammen mit dem Spezialisten VACE bieten wir Ihnen verschiedene Workshops zum Thema an.

Jetzt informieren!