Loomion unterstützt Sie bei der DSGVO – Teil 2
Am 25. Mai 2018 wird sich mit der neuen Datenschutz-Grundverordnung (DSGVO) für Unternehmen einiges ändern. Unternehmen müssen den Ist-Zustand ihrer Infrastruktur prüfen und den Soll-Zustand gemäß DSGVO herbeiführen. Das wird keine einfache Aufgabe.
Loomion hilft bei der DSGVO
Die DSGVO (oder General Data Protection Regulation, kurz: GDPR) und die damit verbundenen Auswirkungen sind lange bekannt, trotzdem macht sich kurz vor Inkrafttreten der Richtlinie Aktionismus, ja schon fast Panik breit.
Große Unternehmen haben zum Teil eigene Programme losgetreten, um die Anforderungen der DSGVO zu erfüllen, wohingegen andere Unternehmen noch keine Vorkehrungen getroffen haben. Die DSGVO bringt für alle EU-Mitgliedstaaten einen einheitlichen rechtlichen Rahmen, wie in Zukunft mit personenbezogenen Daten umzugehen ist. In sogenannten Öffnungsklauseln werden zudem abweichende und ergänzende Regeln festgelegt. In der BRD wurden diese im neuen Bundesdatenschutzgesetz (BDSG) festgelegt. Es gibt also nicht nur eine, sondern zwei Gesetzesrichtlinien, mit denen sich deutsche Unternehmen auseinandersetzen müssen.
Personenbezogene Daten sind nach Art. 4 Nr. 1 DSGVO „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person“ beziehen. Alle Verarbeitungstätigkeiten und -prozesse solcher Daten müssen streng dokumentiert werden und obliegen dem Verantwortlichen – dem Geschäftsführer. Dieser kann sich dann eigener Mitarbeiter oder Dienstleister bedienen, die Dokumentation zu verfolgen.
Die Bitkom, der Branchenverband der deutschen Informations- und Telekommunikationsbranche, hat einen Leitfaden dazu herausgegeben, wie Verarbeitungsverzeichnisse ausgestaltet und aufgebaut sein können (ix.de/ix1801034). Danach sollte die Erstellung in mehreren Phasen erfolgen: Sensibilisierung, Information, Abfrage, Beratung, Konsolidierung, Umsetzung und Pflege. Zudem sind die Folgen der Maßnahmen zur Durchführung Datenschutzes wichtig und die Zulässigkeitsprüfung, wenn personenbezogene Daten gespeichert werden, ob das noch zulässig ist.
In den ersten beiden Phasen geht es darum, den Status Quo im Unternehmen zu ermitteln. Wo fallen tatsächlich personenbezogene Daten an und wie bedeutend sind diese. Dies wird nahezu in jedem Unternehmen auf jeden Fall die Personalabteilung betreffen, da zu Bewerbern heutzutage fast alle Daten ausschließlich elektronisch erfasst und gespeichert werden. Das beginnt bereits mit der Email eines Bewerbers an. In den nächsten Phasen wird die Tragweite der Lücke zwischen Soll- und Ist-Zustand des Datenschutzes im Unternehmen durch Abfragen und beratende Gespräche deutlich gemacht: Angefangen bei der Personalabteilung müssen alle Beteiligten eines Unternehmens sensibilisiert werden zu erkennen, wo unmittelbar und auch mittelbar personenbezogene Daten „lauern“: Google Analytics, CRM-System, Reisekostenabrechnung, Facebookseite, Bewerbungen, Website, Intranet, Finanzbuchhaltung, uvm. Schließlich müssen diese Erkenntnisse zusammengeführt werden, um im Anschluss den Datenschutz umzusetzen und kontinuierlich zu pflegen. Wichtig ist dabei vor allem die Prüfung, ob die Speicherung und Verarbeitung der personenbezogenen Daten auch wirklich zulässig ist. Es gilt das „Verbot mit Erlaubnisvorbehalt“ des Betroffenen. Ein gutes Beispiel ist hier wieder die Datenspeicherung von Bewerbungsunterlagen, bei welcher der Bewerber ausdrücklich gefragt wird, ob das in Ordnung ist. Daher muss auch eine Folgeabschätzung des Risikos des Betroffenen getroffen werden. Auch hier ist die elektronische Bewerbung ein gutes Beispiel. Der Betroffene wird darüber in Kenntnis gesetzt, dass die Speicherung nur für die Dauer des Bewerbungsprozesses erfolgt und danach selbstverständlich alle Daten gelöscht werden.
Auf was muss sonst noch geachtet werden? Schützen die technischen und organisatorischen Maßnahmen die personenbezogenen Daten und die Rechte der Betroffenen ausreichend? Hierzu sollte eine Risikoanalyse durchgeführt werden und gegebenenfalls durch sogenannte Penetrationstests überprüft werden, ob die Maßnahmen belegbar greifen.
Gibt es einen Datenschutzbeauftragten oder muss es keinen geben? Wie geht das Unternehmen mit Datenpannen um? Es besteht künftig eine sehr strenge Meldepflicht solcher Pannen. Das muss nicht der große Hackereinbruch in den Unternehmensserver sein. Verträge mit Dritten, die mit der Informationsverarbeitung beauftragt sind, müssen ebenfalls geprüft werden, denn auch hier haftet das Unternehmen und NICHT der Beauftragte! Denn wie oben erwähnt: Der Verantwortliche ist schlussendlich der Geschäftsführer.
Der Aufsichtsrat sollte sich sehr genau mit den Wandlungen im Unternehmen und der DSGVO beschäftigen. Nicht nur die Personalabteilung oder die IT-Abteilung arbeiten mit sensiblen Daten, sondern gerade auch der Aufsichtsrat. Schlussendlich werden nicht nur hochsensible Daten der Firma gespeichert und verarbeitet, sondern natürlich auch personenbezogene Daten, unmittelbar aber auch mittelbar. Aufsichtsräte werden mittlerweile nicht nur gerufen, sondern reichen auch Bewerbungsunterlagen ein. Bei allem sollte nicht nur die Sicherheit der Daten geprüft werden, sondern zusätzlich wo sie gespeichert werden und wie die Daten behandelt werden, wenn ein Anbieterwechsel eines Datenverarbeiters bevorstehen sollte. Der Anbieterwechsel kann in den nächsten Monaten wichtig werden.
Überprüfen Sie daher auch die Verträge Ihrer Datenräume! Sollten Sie Fragen haben, kommen Sie auch gerne zu uns, wir bieten Ihnen ein Beratungsgespräch an: calendly.com/loomion/15min
#Loomion_Kolumne #Loomion #Board_Portal #Virtual_DataRoom #CorpGov #papierlos #Boardroom #FreeYourBoard #Datenschutz #DSG #DSGVO #GDPR #BigData #SmartData #Digitalisierung #Governance #Recap #Compliance #CSR
