Praxistipps und Empfehlungen
So viele Daten – so viele Prozesse.
Wo und wie Sie richtig mit der Umsetzung der DSGVO starten.
Alle Unternehmen, die personenbezogene Daten verarbeiten, haben zukünftig einer erweiterten Rechenschaftspflicht als zentralen Grundsatz in der Datenverarbeitung zu genügen. Das bedeutet konkret, dass ein effektives Datenschutz-Managementsystem nicht nur vorhanden, sondern vor allem jeder einzelne Schritt dabei dokumentiert sein muss. Dies betrifft nicht nur Datenverarbeitungsprozesse, sondern auch Datenbestand und Datenflüsse. Wenn Sie nicht lückenlos nachweisen können, dass Sie geeignete Maßnahmen ergriffen haben und alle Umsetzungen jederzeit datenschutzrechtlich korrekt erfolgt sind, kann sich dies maßgeblich auf die Höhe eines eventuellen Bußgeldtatbestands auswirken.
Deshalb sollte jetzt an 1. Stelle eine Risiko-Analyse der eigenen Verfahren stehen. Dokumentieren Sie die Datenverarbeitungsprozesse in Ihrem Unternehmen, erweitern Sie Datenschutzerklärungen um die neuen Informationspflichten, passen Sie Betriebsvereinbarungen an, klären Sie Haftungsfragen und Dokumentationen Dritter in der Auftragsdatenverarbeitung, schulen Sie alle Mitarbeiter oder definieren Sie den Prozess bei Widerruf der Einwilligung. Die To-Do's lassen sich noch eine Weile fortsetzen... Gerne begleiten und beraten wir Sie dabei.
Wichtig ist, dass sich die Prüfung und Umsetzung der Datensicherheit im eigenen Unternehmen nicht mehr nur an den bekannten TOM (technisch-organisatorische Maßnahmen gem. Anlage §9 Satz 1 des BDSG) orientieren kann. Zukünftig geht es um individuell angemessene Maßnahmen. Das heißt, dass bei der Beurteilung des Schutzniveaus die jeweiligen Risiken des Betroffenen durch Vernichtung, Verlust oder Veränderung betrachtet werden müssen. Die konkrete Maßnahme kann dann die Verschlüsselung personenbezogener Daten sein oder die Sicherstellung der Belastbarkeit eines Systems oder auch die rasche Wiederherstellbarkeit bei Datenverlust oder auch alles zusammen. Wenn die Prozesse von der Risikoanalyse, über die Umsetzung der geeigneten Maßnahmen bis zur kontinuierlichen Evaluierung der Wirksamkeit nachvollziehbar dokumentiert sind, ist auch weiterhin ein Höchstmaß an Datensicherheit im eigenen Unternehmen gegeben. Regelmäßige Audits externer Datenschutzbeauftragter können dies zusätzlich sicherstellen. Und es ist davon auszugehen, dass auch rasch die ersten Akkreditierungen seriöser Prüfinstitute seitens der Datenschutzbehörden folgen, so dass man auch nach außen seinen hohen Standard zertifizieren und dokumentieren lassen kann.