26.06.2018 Alter: 6 yrs
Kategorie: Managementsysteme

DSGVO - Rechtssicherheit und Effizienz - eine echte Herausforderung

Seit dem 25.5.2018 ist die Datenschutz-Grundverordnung (DSGVO) in allen Unternehmen anzuwenden.


Das stellt unsere Kunden, Lieferanten und auch uns selbst vor erhebliche Herausforderungen, zumal die in Aussicht gestellten Strafen bei Nichterfüllung außerordentlich hoch sind. Im Folgenden wollen wir die wichtigsten Arbeitsschritte kurz vorstellen. Das Thema ist sehr umfangreich und hier in keiner Weise vollständig abgehandelt  (aus Platzgründer wird der Inhalt auch stichpunktartig wiedergegeben).

Bewusstsein schaffen, Datenschutzleitlinie und Datenschutzziele, Regelung der Verantwortlichkeiten Bewusstsein zu Risiken und Transparenz über Zielkonflikte, z. B. zwischen Marketing und Rechtssicherheit

Prüfen, ob ein Datenschutzbeauftragter zu bestellen ist. Ein Datenschutzbeauftragter ist erforderlich, wenn in der Regel mehr als 9 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Hinweis: Personen, die mit den Daten nur „in Berührung kommen und sie nicht ständig verarbeiten," zählen nicht (aber Abgrenzungs- und Nachweisproblem). Die Ergebnisse der Prüfung sind zu dokumentieren, bei entsprechenden Veränderungen im Unternehmen ist die Prüfung erneut durchzuführen. Die Person muss entsprechende Qualifikationen und Erfahrungen haben und die Ressourcen, um ihre Aufgabe wahrnehmen zu können, und darf nicht aus dem Management kommen. Sie ist frühzeitig und umfassend in die jeweiligen Belange einzubeziehen.

Auditierung der personenbezogenen Daten, wobei zu dokumentieren ist, welche Daten gespeichert sind (Kunden-, Lieferanten- und Mitarbeiterdaten), woher die Daten stammen, zu welchem Zweck sie erhoben wurden, wo und wie lange sie gespeichert werden. Falls nötig, ist eine Datenbereinigung durchzuführen, bei der nur diejenigen Daten behalten werden, die für die angegebenen Zwecke erforderlich sind. Die übrigen Daten sollten gelöscht werden.

Verzeichnis der Verarbeitungstätigkeiten anlegen, in Form einer Tabelle, die ggf. der Aufsichtsbehörde zur Verfügung zu stellen ist. Es ist aufzulisten, welche personenbezogenen Daten wann, wie und warum im Unternehmen erhoben werden. Insgesamt ist eine Vielzahl von einzelnen Angaben erforderlich, die hier nicht vollständig dargestellt werden kann.

Prozesslandschaft und alle Prozesse dokumentieren, in denen personenbezogene Daten verarbeitet werden. Die Prozesse sind ggf. an die Datenschutzrichtlinie anzupassen. Zu diesen Prozessen zählen unter anderem das Vorgehen bei der Bearbeitung von Anfragen im Rahmen der betroffenen Rechte und Informationspflichten, zur Dokumentation der Datenverarbeitung, sowie zur Meldung von Datenschutzverletzungen. Zu betrachten ist dabei sowohl die technische Verarbeitung, als auch das Verhalten der Mitarbeiter.

Eine Datenschutz-Folgeabschätzung ist unter Umständen als Vorsorgemaßnahme zu erstellen, mit deren Hilfe etwaige Risiken einer Verletzung der Persönlichkeitsrechte der Betroffenen bei der Verarbeitung der Daten einzuschätzen sind, um geeignete Schutzmaßnahmen planen zu können. Insbesondere Unternehmen, die sensible Informationen wie z. B. zu Gesundheit, Finanzen, ethnischer Zugehörigkeit und politischer Einstellung etc. verarbeiten, sollten die Folgen abschätzen.

Prüfen Sie, wie Einwilligungen zur Datenverarbeitung eingeholt, gespeichert und gemanagt werden. Kontrollieren Sie dabei sämtliche Formulare und Verfahren. Ist das derzeitige Verfahren nicht datenschutzkonform, so ist es unverzüglich anzupassen. Holen Sie sich gegebenenfalls neue Einwilligungen.

Technische und organisatorische Maßnahmen (TOM) zum Schutz personenbezogener Daten einführen, sofern dies nicht bereits schon geschehen ist. Dazu gehören Privacy by Design und Privacy by Default sowie Pseudonymisierung und die Verschlüsselung von Daten sowie das Einführen von strikten Berechtigungsstrukturen für den Zugriff auf Daten. Ferner sind die entsprechenden Maßnahmen der Datensicherheit zum Schutz der personenbezogenen Daten umzusetzen.

Wir empfehlen dringend, all die Aufgaben und die Dokumentation der Tätigkeiten im Rahmen eines unternehmensweiten geschlossenen Managementsystems einzuarbeiten, das alle anderen Bereiche wie z. B. Qualität, Umwelt, Energie und Arbeitssicherheit mit abdeckt. Nur so lassen sich Rechtssicherheit und Verbesserung der Unternehmensleistung verbinden. Gerne unterstützen wir Sie bei diesen Aufgaben. Zu den oben genannten Punkten und Fragen des Schutzes Ihrer Daten in der GUT können Sie sich an uns wenden.

Dr. Ralf Freise, GUT


GUT in Berlin

GUT Unternehmens- und Umweltberatung GmbH

Heidelberger Str. 64a
12435 Berlin

Tel:  +49 (0)30 53339-0
Fax: +49 (0)30 53339-299
Email: infogut.de

Lageplan / Wegbeschreibung