Home / Social Media Management / Social Media Fallstudien / Datenschutzgrundverordnung Umsetzung

Datenschutzgrundverordnung Umsetzung

Datenschutzgrundverordnung Umsetzung

 Die Datenschutzgrundverordnung Umsetzung soll für mehr Transparenz bei der Verarbeitung von Nutzerdaten sorgen. Firmen, die gegen die Datenschutzgrundverordnung verstoßen, müssen mit hohen Strafen rechnen. Fünf Schritte sind nötig, um mit der DSGVO zu entsprechen.

Die Datenschutzgrundverordnung rückt näher. Stichtag ist der 25.Mai 2018. Spätestens ab diesem Zeitpunkt müssen Unternehmen die strengen Anforderungen dieses europaweit geltenden Datenschutzrechts erfüllen, sonst drohen Schadensersatzklagen sowie Bußgelder von bis zu 20 Millionen Euro beziehungsweise vier Prozent des Jahresumsatzes.

Jedoch haben viele Unternehmen bisher kaum etwas unternommen, um die Regelungen zu erfüllen. Die nachfolgenden Schritte sollten unbedingt in den nächsten Wochen erfolgen.

 

Welche Maßnahmen für die DSGVO nötig sind:

Schritt 1: Dateninventur

Es steht zunächst eine Dateninventur an, die Datenflüsse im Unternehmen sind festzuhalten. Wer erhebt aus welchem Grund welche Daten, wie werden diese verarbeitet und wie lange gespeichert? Dies stellt die Grundlage für das Verarbeitungsverzeichnis dar, in dem zukünftig alle Prozesse der Datenverarbeitung dynamisch erfasst werden müssen. Dieses Verzeichnis ist nicht nur eine datenschutzrechtliche Bestandsaufnahme, sondern das Herzstück eines jeden Datenschutzkonzepts. Eine der wichtigsten Aufgaben unter der Datenschutzgrundverordnung ist die Dokumentation. Das Unternehmen ist in der Pflicht, die Rechtmäßigkeit der Verarbeitungsvorgänge und ausreichende Schutzmaßnahmen, beispielhaft eine Trennung von Daten oder Schulungsmaßnahmen der Mitarbeiter, darzulegen und gegebenenfalls zu beweisen. Ohne eine Bestandsaufnahme und ein stetig fortgeschriebenes Verzeichnis ist dies kaum möglich.

 

Schritt 2: Bewertung

Es folg einerseits die Analyse der jeweiligen Rechtsgrundlagen der Verarbeitung und anderseits die Bewertung, wie hoch das Risiko einer solchen Verarbeitung ist. Jede Datenverarbeitung ist unzulässig, soweit nicht eine Rechtsgrundlage, also eine Erlaubnis, für die Verarbeitung besteht. Dies kann eine gesetzliche Erlaubnis oder eine Einwilligung sein. Dabei ist die im ersten Schritt erstellte Dateninventur die Grundlage, da aus dieser die konkrete Verarbeitungstätigkeit abzulesen ist. Es ist zum Beispiel ein Unterschied, ob Daten für die Vertragsabwicklung verwendet werden oder aber auch, um Werbung eines Partnerunternehmens zu versenden. Die erste Tätigkeit ist direkt aus der Datenschutzgrundverordnung zulässig, für letztere wird eine Einwilligung benötigt. Weiterhin ist bei jeder Verarbeitung das Risiko einzuschätzen und angemessene Sicherungsmaßnahmen zu treffen. Auch hierfür ist die Dateninventur die Grundlage. Aus den dort ersichtlichen Informationen ist zu bestimmen, welcher Schaden für Betroffene entstehen kann und anhand dessen die Daten gegen ein Leck zu sichern.

 

Schritt 3: Einwilligung

Es ist für jede Verarbeitungstätigkeit, für die keine gesetzliche Erlaubnis besteht, eine den Vorgaben der DSGVO entsprechende Einwilligung einzuholen, soweit eine solche noch nicht besteht. Auch vor Geltung der Datenschutzgrundverordnung eingeholte Einwilligungen behalten ihre Gültigkeit, solange sie nicht gegen die neuen gesetzlichen Regelungen verstoßen. Eine Einwilligung muss daher auf einer freien Entscheidung beruhen, es müssen vorab alle notwendigen Informationen erteilt werden, sie muss eindeutig erfolgen und widerruflich sein. Sollte das Ergebnis sein, dass keine taugliche Einwilligung vorliegt, ist eine solche zwingend einzuholen, ansonsten die betroffene Verarbeitung einzustellen.

 

Schritt 4: Information

Gleichzeitig hat die Erfüllung der Informationspflichten zu erfolgen. Die DSGVO verpflichtet zu einer großen Transparenz gegenüber den Betroffenen. Es muss über die Rechtsgrundlagen, die Zwecke der Verarbeitung und die Dauer der Speicherung informiert werden. Es ist offensichtlich, dass dies nur erfüllt werden kann, wenn eine Klarheit über die Datenströme im eigenen Unternehmen besteht. Es sind dann die Datenschutzerklärung sowie eventuelle weitere nach außen gerichtete Erklärung anzupassen. Dieser Punkt darf nicht unterschätzt werden, denn dies sind die Aushängeschilder.

 

Schritt 5: Datenwege

Als letzter Punkt bleiben alle Verträge mit dritten Unternehmen. Werden Daten an diese übertragen und wenn ja, wer übt die Herrschaft über die Daten aus, bestimmt wie und für was diese verwendet werden? Auch ist zu prüfen, ob ein Datenexport stattfindet, also Daten außerhalb des Europäischen Wirtschaftsraums verarbeitet werden und daher eine rechtliche Absicherung eines solchen Datentransfers notwendig ist.

 

Autor : Tolunay Aydin

 

Über Tolunay Aydin

Siehe Auch

Abschlusspräsentation im Next Gen Lab – SAP

Abschlussveranstaltung im Next Gen Lab SAP Methode Digital Business Model Innovation by Collaboation Am Donnerstag, …