Die Datenschutz-Grundverordnung (DS-GVO) ist eine Verordnung der Europäischen Union und soll die EU-Datenschutzrichtlinie zum 25. Mai 2018 als direkt geltendes Recht in allen Mitgliedsstaaten ablösen. Die EU-DSGVO soll die Regeln für die Verarbeitung von personenbezogenen Daten durch Unternehmen und öffentliche Institutionen EU-weit vereinheitlichen.

Ausführliche Informationen in unserem Beitrag vom 25.04.2018 ⇒ Neue Datenschutz-Grundverordnung (DS-GVO) tritt am 25. Mai 2018 in Kraft“

Checkliste zur DSGVO – zehn Schritte zur richtigen Umsetzung

  • Stellen Sie sicher, dass die von Ihnen implementierten Sicherheitslösungen sich nicht nachteilig auf die Performance auswirken – machen Sie es den Nutzern so einfach wie möglich. Je komplexer Ihre Sicherheitsverfahren für die Nutzer sind, oder je mehr sie sich auf die Performance auswirken, desto eher schaffen sich die Nutzer ihre eigenen Workarounds, was wiederum ein größeres Risiko für Datenlecks durch eigenmächtiges Handeln darstellt.
  • Stellen Sie insgesamt sicher, dass Sie über effektive Sicherheitsrichtlinien und die Technologie verfügen, um Ihr Risiko zu minimieren – Dazu gehört auch die Akkreditierung. Ziehen Sie die Implementierung interner Standards für die Informationssicherheit in Erwägung, wie etwa die ISO27001, da die DSGVO zum Großteil auf diesen Standard ausgerichtet ist.
  • Klare Kommunikation an die betroffenen Personen – die DSGVO schreibt vor, dass alle betroffenen Personen in klar verständlicher Form darauf hingewiesen werden müssen, dass ihre persönlichen Daten erhoben werden, zu welchem Zweck, und wie lang diese gespeichert werden. Betrachten Sie hierzu jeden Ort, an dem Daten erhoben werden.
  • Überlegen Sie, zu welchem Zweck Daten erhoben werden – die DSGVO kennt keine Ausnahmen, wenn es darum geht, welche persönlichen Daten erhoben werden dürfen und welche nicht. Sprechen Sie auch mit den anderen Abteilungen, um zu verstehen, welche persönlichen Daten erhoben wurden, und ob diese unbedingt erforderlich sind. Machen Sie sich auch Gedanken darüber, wie diese Daten wieder gelöscht werden sollen.
  • Seien Sie sich über die Rechte der betroffenen Personen im Klaren – Die betroffenen Personen haben das Recht, Zugriff auf die mit Ihnen verbundenen persönlichen Daten zu verlangen, die eine Organisation eventuell speichert oder verarbeitet. Der Zeitrahmen, um solchen Anfragen nachzukommen, wurde von 40 auf 30 Tage gesenkt und damit verbundene Bearbeitungsgebühren wurden abgeschafft. Überprüfen Sie die Prozesse und Arbeitsabläufe für jede dieser Funktionen in Ihrer Organisation. Die DSGVO verlangt, dass diese Funktionen von den betroffenen Personen leicht zugänglich sind.
  • Geben Sie den betroffenen Personen die Möglichkeit, ihre persönlichen Daten abzuziehen – Das ist eine neue und bislang unerforschte Vorgabe, daher müssen Organisationen über ein gemeinsames Rahmenwerk untereinander nachdenken, um diese Portabilität von Daten zu gewährleisten.
  • Bewusstsein schaffen – stellen Sie sicher, dass die Entscheidungsträger die Gründe für die Erfüllung dieser Vorgaben verstehen und welche Maßnahmen hierfür erforderlich sind. Die komplette Belegschaft muss über die neuen Arbeitsweisen unterrichtet werden, insbesondere über den Umgang mit persönlichen Daten.
  • Führen Sie ein Daten-Audit durch – hierbei sollten alle persönlichen Daten, die von betroffenen Personen gesammelt werden, auditiert und dokumentiert werden, um nachzuvollziehen, welche Daten vorgehalten werden. Die Implementierung effektiver Sicherheitsmaßnahmen ist nur möglich, wenn man versteht, welche Daten man vorhält und den relativen Wert verschiedener Datentypen kennt.
  • Führen Sie unbedingt ein Assessment zum Datenschutz durch – Insbesondere für Szenarien, bei denen die Verarbeitung der Daten mit großer Wahrscheinlichkeit ein hohes Risiko für die Rechte der betroffenen Personen birgt.
  • Die Vertraulichkeit, Integrität und Verfügbarkeit von Datenverarbeitungssystemen müssen gewährleistet sein und dokumentiert werden – Es müssen Sicherheitsvorkehrungen getroffen werden. Persönliche Daten müssen sowohl während der ruhenden Speicherung als auch bei Bewegungen verschlüsselt werden.