So behalten Sie den Überblick im DSGVO-Dschungel

Datenverarbeitung prüfen

Während das Bundesdatenschutzgesetz (BDSG), das nun von der DSGVO abgelöst und durch sie erweitert wird, noch anderen Gesetzen untergeordnet war, kann die Datenschutzgrundverordnung nicht von anderweitigen gesetzlichen Regeln im Land überstimmt werden. Die Verordnung gilt demnach überall. Neben dem BDSG haben somit auch andere mit Datenschutz in Verbindung stehende rechtliche Bestimmungen keine Kraft mehr. So fällt beispielsweise das Subsidiaritätsprinzip vollständig weg. Dabei helfen Unternehmen schon kleine Tipps bei der Einhaltung der DSGVO. Das beginnt mit der stetigen Prüfung der Datenverarbeitung sowie möglicher Aktualisierungen und geht weiter bis zur Verschlüsselung von Daten. Regelmäßige Back-ups bieten Unternehmen im Falle eines Datenausfalls die Chance, schnell und sicher den abgesicherten Zustand wiederherstellen zu können. Es liegt in der Verantwortung der Führungskräfte, die Systeme stets vertraulich, verfügbar, belastbar und auf aktuellem Stand zu halten.

Daten sammeln - und dokumentieren

Fest steht: Die Verantwortlichen müssen sich über die nahenden Änderungen im Klaren sein, für geeignete technische sowie organisatorische Möglichkeiten sorgen und ihre IT-Systeme optimieren. Sonst ist eine Einhaltung der DSGVO kaum möglich. Auch kurz vor Vollendung der Übergangszeit ist Vorbereitung noch immer das A und O. Eine Bestandsaufnahme darüber, wo im Unternehmen personenbezogene Daten erhoben, gespeichert und verarbeitet werden, bildet die Grundlage für weitere Schritte. Auch wer mit diesen Informationen arbeitet, sollte bekannt sein, um Transparenz zu schaffen sowie die zuständigen Personen vorher entsprechend zu schulen.

Hinsichtlich der DSGVO sind grundsätzlich alle personenbezogenen Informationen relevant, darunter ebenso Kunden-, Mitarbeiter- und Bewerberdaten. Doch auch Angaben von und zu Interessenten und aus E-Mail-Verteilern sowie gesammelte Visitenkarten, die ins CRM eingepflegt werden, zählen hierzu. Liegen diese Informationen vor, folgt eine umfassende Analyse darüber, in welchen Prozessen die Daten überall eine Rolle spielen. Diese gilt es detailliert zu dokumentieren, denn mit der DSGVO gehen auch Änderungen in der Dokumentationspflicht einher. Unternehmen sind demnach angehalten, jederzeit nachweisen zu können, dass sie die Daten rechtmäßig erhoben und verarbeitet haben.

Aber Achtung: Informationen können noch so regelkonform gesammelt werden - fehlt die Dokumentation, drohen dennoch erhebliche Bußgelder. Aus diesem Grund ist es sinnvoll, die von der DSGVO geforderten Formate des Verarbeitungsverzeichnisses von Beginn an zu verwenden, um sich Doppelarbeit zu ersparen.

Zwei Arten im Fokus

Nicht nur von offiziellen Organen, sondern auch von Privatpersonen können Unternehmen bezüglich eines Verstoßes belangt werden. Ein Beispiel liefern die Bewerberdaten. So können einzelne Bewerberinnen und Bewerber nun auch Verstöße gegen die neuen Regelungen anmerken und im schlimmsten Fall auf Schadenersatz klagen. Eine weitere Gefahrenquelle bildet der unsachgemäße Umgang mit E-Mail-Werbung und Newslettern.

Generell können Unternehmen vor allem von zwei Bereichen von Anfragen zur Änderung und Löschung von Daten betroffen sein: "Data Protection by Design" sowie "Protection by Default". Bei der ersten Anfrage spielt Datenschutz in puncto Technikgestaltung eine übergeordnete Rolle: Diese besagt, dass das Speichern von personenbezogenen Daten möglichst an einer oder zumindest nur wenigen Stellen auftreten darf. Zudem sind die Systeme vor unbefugtem Zugriff zu schützen. "Protection by Default" tangiert den Datenschutz durch datenschutzfreundliche Voreinstellungen. Das bedeutet, Unternehmen müssen in ihren Kontaktformularen darauf achten, die Zustimmung zu einer Verarbeitung der Daten klar und verständlich zu kennzeichnen. Das Einverständnis muss explizit von den Betroffenen aktiviert werden.