Die Datenschutz-Grundverordnung (EU-DSGVO) ist eine der größten Herausforderungen administrativer Art, die Unternehmen in den letzten Jahren aufgebürdet wurde. Dies gilt insbesondere für Unternehmen, zu deren Geschäftsmodell der regelmäßige Umgang mit Kundendaten gehört. Und das sind heutzutage fast alle. Wenn Sie nicht genau wissen, ob Sie zu diesen Unternehmen gehören oder wie es um Ihre DSGVO-Konformität bestellt ist, Ist das bereits das erste Zeichen:
1. Sie wissen nicht, ob oder inwieweit das Inkrafttreten der DSGVO Konsequenzen für Ihren Betrieb hat.
Vielleicht das einfachste und deutlichste Zeichen. Um den Umgang mit Daten in Ihrem Unternehmen regelkonform zu gestalten, müssen Sie natürlich zunächst einen Überblick über sowohl Regeln als auch Daten haben. Ist dem nicht der Fall, trifft vermutlich auch Zeichen 2 zu:
2. Es gibt keine Person oder Gruppe innerhalb Ihrer Organisation, die für die Koordination Ihres DSGVO-Compliance-Programms verantwortlich ist.
Ein unkoordiniertes Compliance-Programm könnte aufgrund von Aufgabenüberschneidungen einen erheblichen Aufwand bedeuten und auch wichtige Compliance-Lücken nicht füllen. Diejenigen, die für die Einhaltung der DSGVO-Richtlinien innerhalb Ihrer Organisation verantwortlich sind, sollten ein gutes Verständnis für die Nutzung der Technologie und die Datenverarbeitungsaktivitäten der Organisation haben. Ein gutes Verständnis der Datenschutzgesetze und jahrelange Erfahrung im Bereich der Cybersicherheit sind ebenfalls von großem Nutzen. Nichtsdestotrotz könnten diese beiden Rollen auch leicht an zertifizierte Fachkräfte ausgelagert werden.
3. Es gibt keine Dokumentation der persönlichen Daten, die Ihr Unternehmen sammelt und verarbeitet.
Ohne eine Bewertung aller persönlichen Daten, die Ihr Unternehmen sammelt und verarbeitet, wird es schwierig, die DSGVO einzuhalten. Es muss klar sein, welche Daten von wem und aus welchen Gründen wie verwendet werden. So ist es zum Beispiel notwendig, diese Informationen später in Ihrer Datenschutzerklärung anzugeben, und es bestimmt auch Ihre Rolle im Rahmen der DSGVO.
Die DSGVO verlangt von jeder Organisation eine Aufzeichnung ihrer Verarbeitungstätigkeiten (30(1), 30(2)). Diese Aufzeichnung muss unter anderem die Zwecke der Verarbeitung, die Kategorie der betroffenen Personen und personenbezogene Daten sowie die Fristen für die Löschung verschiedener Kategorien von Daten gemäß Artikel 30 Absatz 1 enthalten. Es gibt jedoch einige Ausnahmen. Diese Anforderung gilt nicht für:
"ein Unternehmen oder eine Organisation, die weniger als 250 Personen beschäftigt, es sei denn, dass die von ihm vorgenommene Verarbeitung geeignet ist, die Rechte und Freiheiten der betroffenen Personen zu gefährden, die Verarbeitung nicht gelegentlich erfolgt oder die Verarbeitung besondere Kategorien von Daten im Sinne von Artikel 9 Absatz 1 oder personenbezogene Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten im Sinne von Artikel 10 umfasst."
4. Es wurde keine Überprüfung der Aktivitäten Ihres Unternehmens zur Verarbeitung personenbezogener Daten wegen Verletzung der Rechte der betroffenen Personen im Rahmen des DSGVO vorgenommen.
Die DSGVO hat die Rechte von Personen, deren persönliche Daten Sie erheben und verarbeiten, gestärkt und erweitert. Die Verfahren Ihres Unternehmens müssen gegen diese Rechte geprüft werden, um sicherzustellen, dass die betroffenen Personen ihre Rechte ungehindert ausüben können. Beispielsweise muss Ihr Unternehmen Verfahren zur Löschung personenbezogener Daten oder zur elektronischen Bereitstellung von Daten in einem gebräuchlichen Format einrichten, nachdem es eine Anfrage von einer betroffenen Person erhalten hat.
5. Die Datenschutz- und Sicherheitsrichtlinien Ihres Unternehmens wurden nicht überprüft und aktualisiert.
Es ist wahrscheinlich, dass sich die alten Richtlinien nicht auf alle Instrumente und Dienste beziehen, die derzeit zur Erhebung und Verarbeitung personenbezogener Daten im Unternehmen verwendet werden. Personen haben nach dem DSGVO das Recht, über die Erhebung und Verwendung ihrer personenbezogenen Daten informiert zu werden. Die Datenschutzbestimmungen müssen diese Informationen prägnant, transparent, verständlich, leicht zugänglich und genau kommunizieren. Die Sicherheitsrichtlinien Ihres Unternehmens sollten auch alle Datenverarbeitungsaktivitäten genau widerspiegeln. Das Unternehmen muss nachweisen, dass es angemessene technische und organisatorische Maßnahmen ergriffen hat, um alle von ihm erfassten und verarbeiteten personenbezogenen Daten zu schützen.
Zusammengefasst:
- Sie wissen nicht, ob oder inwieweit das Inkrafttreten der DSGVO Konsequenzen für Ihren Betrieb hat.
- Es gibt keine Person oder Gruppe innerhalb Ihrer Organisation, die für die Koordination Ihres DSGVO-Compliance-Programms verantwortlich ist.
- Es gibt keine Dokumentation der persönlichen Daten, die Ihr Unternehmen sammelt und verarbeitet.
- Es wurde keine Überprüfung der Aktivitäten Ihres Unternehmens zur Verarbeitung personenbezogener Daten wegen Verletzung der Rechte der betroffenen Personen im Rahmen des DSGVO vorgenommen.
- Die Datenschutz- und Sicherheitsrichtlinien Ihres Unternehmens wurden nicht überprüft und aktualisiert.
Und nun?
Sollten Sie eine oder mehrere der obigen Fragen mit „Ja“ beantworten müssen, stehen die Chancen gut, dass Sie noch nicht DSGVO-konform sind. Was Sie nun dringend tun sollten: Kontaktieren Sie einen Dienstleister, der über entsprechende Qualifikationen verfügt und bessern Sie nach. Wo nötig, ziehen Sie einen Anwalt zu Rate. Wenn Sie bei der Erstellung und Umsetzung eines Maßnahmenkatalogs Unterstützung brauchen, zögern Sie nicht lange und melden Sie sich bei uns:
Haftungsausschluss:
Dieser Blog-Beitrag ist keine Rechtsberatung für Ihr Unternehmen zur Einhaltung von EU-Datenschutzgesetzen wie der DSGVO. Stattdessen liefert es Hintergrundinformationen, die Ihnen helfen, die DSGVO besser zu verstehen. Diese rechtlichen Informationen sind nicht dasselbe wie eine Rechtsberatung, bei der ein Anwalt das Gesetz auf Ihre spezifischen Umstände anwendet, deshalb bestehen wir darauf, dass Sie einen Anwalt konsultieren, wenn Sie eine Beratung zu Ihrer Interpretation dieser Informationen oder deren Richtigkeit wünschen. Kurz gesagt, Sie dürfen sich darauf nicht als Rechtsberatung oder als Empfehlung für ein bestimmtes Rechtsverständnis verlassen.