Diese Fragen zur Datenschutzgrundverordnung (DSGVO) sind für Ihr Unternehmen wichtig
1. Wie stehen die aktuellen Maßnahmen zum neuen Gesetz?
Die bisherigen Maßnahmen, die hoffentlich schon den Rahmen bestehender Regelungen entsprechen und umgesetzt worden sind, müssen gegen die neuen abgeglichen bzw. implementiert werden. Der Datenschutzbeauftragte (DSB) und die fachverantwortlichen im Unternehmen entwerfen einen Plan, aus dem Handlungsanweisungen generiert werden. Diese strukturieren die nachfolgenden Arbeitsschritte.
2. Wo sind die personenbezogenen Daten zu finden?
Es müssen alle Systeme identifiziert werden, die personenbezogene Daten speichern oder verarbeiten. Da hilft nur verstärktes Nachdenken: Interne Datenbanken, Speicher für Selektionen (Marketingabteilung), CRM-, ERP-, und HR-Systeme sind ein guter Anfang. Dann kommen die Fragen:
- Tauschen wir personenbezogene (pb) Daten mit anderen Unternehmen aus?
- Wo liegen die per eMail eintreffenden Bewerbungen?
- Enthalten unsere eMails pb Daten?
Es gibt Software, die bei einer umfangreichen Suche hilft.
3. Wie separieren Sie pb Daten für die weitere Verarbeitung?
Nachdem Sie alle pb Daten gefunden haben, verfügen Sie über einen Katalog von Daten. Diese werden möglicherweise für Analysen oder andere Auswertungen benötigt. Bei einer datenschutz-konformen Verarbeitung müssen Sie diese anonymisieren. Das bedeutet: Ordnen Sie jedem Datensatz eine eineindeutige Kennziffer zu, die parallel auch in der Ursprungsdatei der pb-Daten gespeichert wird. Auf diese Datei darf der Analyst keinen Zugriff mehr haben. Der DSB berät in möglichen Ernstfällen.
4. Wie lösche ich Daten DSGVO-konform und protokolliere diese korrekt?
Personenbezogene Daten zu löschen ist eine äußerst sensible Tätigkeit. Generell können interne, oder gesetzliche Vorschriften eine Löschung erfordern. Die Vorgehensweisen sind dementsprechend verschieden:
Basis: Benutzen Sie durchgängig Programme für das sogenannte Information Lifecycle Management.In diesen werden Verfallsdaten und zugeordnete Prozesse definiert, mit denen automatisiert Daten mit Alterslimitierung gelöscht werden. Zu jedem Löschvorgang wird ein Protokoll für etwaige Nachweise erstellt.
Löschen auf Anforderung (z. B. eines Kunden): Vorsicht! Es gibt Daten, die erst nach dem Ablauf von Aufbewahrungsfristen gelöscht werden dürfen. Manchmal meint der Kunde auch "Sperren Sie meine Adresse", wenn er von Löschen spricht. Daher sind auf alle Fälle bei Löschvorgängen alle betroffenen Bereiche zu informieren. Jeder einzelne Bereich muss zustimmen, oder begründet ablehnen. Alle Anfragen, die Einbeziehung der Bereiche, deren Antworten und die schlussendlich eingeleiteten Maßnahmen zur Löschung sind zu dokumentieren. Ebenfalls ist der Kunde über die erfolgte Löschung zu informieren.
Auch für diese Frage gibt es Software Lösungen.
5. Was passiert mit aufzubewahrenden Daten?
Zum Datenschutz gehört auch die Datensicherheit. Daher müssen Unternehmen pb Daten mit technischen und organisatorischen Maßnahmen vor unbefugter Verarbeitung, Zerstörung, Veränderung und Verlust schützen.
Die DSGVO fordert, das diese Maßnahmen umgesetzt werden und zwar durch den Verantwortlichen und ggfs. dem Auftragsdatenverarbeiter. Dazu ist der aktuelle Stand der Technik zu berücksichtigen, aber auch die Implementierungskosten sowie Risikoabwägungen. Wichtig ist, den jeweiligen Zweck der Datenverarbeitung zu berücksichtigen. Daten dürfen nur zu dem Zweck verarbeitet werden, zu dem sie erhoben worden sind.
Fazit: Aufzubewahrende Daten müssen mit Hilfe technischer Lösungen sicher sein gegen unbefugte Bearbeitung, Veränderung, Zerstörung, Diebstahl und Verlust.
6. Wer ist für die korrekte Behandlung pb Daten verantwortlich?
Kurzfassung: Chefe!
Grundsätzlich ist die Geschäftsleitung des für die Daten verantwortlichen Unternehmens verantwortlich. Denn sie gibt das Budget, die Strategie und den Zweck der Datenverarbeitung vor. Diese Verantwortung lässt sich nicht delegieren. Lediglich die Aufgaben, die zur Einhaltung des DSGVO diesen, können an den DSB und den IT-Leiter weitergegeben werden. Auch wenn ein Auftraggeber und ein Dienstleister an Daten arbeiten (Auftragsdatenverarbeitung), bleibt die Verantwortung bei demjenigen, der die Strategie und Zwecke der verarbeitung vorgibt.