Der Ausdruck "Schuster, bleib bei deinen Leisten" scheint an Bedeutung verloren zu haben, denn neben den "Leisten" ist nun der Bereich Datenschutz wesentlich, um keine die Existenz gefährdenden Sanktionen zahlen zu müssen.
Die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) betrifft jede Organisation mit Personal, Mitgliedern, Kunden oder sonstigen berechtigten Personen, ist hinreichend komplex, liegt meist außerhalb der Kernkompetenzen und in Teilen auch außerhalb der organisationalen Möglichkeiten. Bei (noch zu) vielen betroffenen Organisationen sieht man ein großes Fragezeichen in Bezug auf die interorganisationale Umsetzung zum Datenschutz.
Um das Thema DSGVO und BSDG zu entmystifizieren, bieten Ihnen unsere Unterstützung an, nicht zuletzt um das Risiko potentieller Sanktionen für Sie zu reduzieren.
Hierzu haben wir einen 5-Fragen-Selbsttest entwickelt, der Ihnen aufzeigen kann, ob Sie sanktionsgefährdet sind.
Nehmen Sie sich 10 Minuten Zeit und beantworten Sie die folgenden 5 Fragen:
Hinweis: Die Fragen erheben keinesfalls den Anspruch auf Vollständigkeit hinsichtlich einer Analyse Ihrer Organisation zur Umsetzung der DSGVO. Sie sind als Indikatoren zu verstehen, die darauf hinweisen, dass eine tiefergehende Analyse notwendig sein kann.
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare lebende Person beziehen. Verschiedene Teilinformationen, die gemeinsam zur Identifizierung einer bestimmten Person führen können, stellen ebenfalls personenbezogene Daten dar.
Prozesse im Sinne der DSGVO sind z.B. die Verwaltung von Mitarbeitern, Mitgliedern, Kunden, Mandanten, Patienten oder auch Lieferanten, Bewerbungen, Lohnabrechnungen, Kommunikation per E-mail, Berechtigungsverwaltung, Analyse des Besucherverhaltens ihrer Webseite, Zahlungsverkehr (externe Rechnungsstellung), um nur einige zu nennen.
Sie sind verpflichtet, alle Prozesse, in den personenbezogene Daten verarbeitet werden, zu beschreiben und deren Dokumentation in einem Verfahrensverzeichnis vorzuhalten.
Um den Schutz von personenbezogenen Daten im Unternehmen zu gewährleisten, ist es erforderlich, technische und organisatorische Maßnahmen (sog. TOMs) zu etablieren und diese zu dokumentieren.
Diese Maßnahmen haben zum Ziel:
. Verhindern, dass Unbefugte Zutritt zu den Datenverarbeitungsanlagen haben.
. Verhindern, dass Unbefugte Datenverarbeitungsanlagen nutzen können.
. Gewährleisten, dass nur Berechtigte auf Daten zugreifen können und diese nicht unbefugt gelesen, verändert, kopiert oder entfernt werden können.
. Gewährleisten, dass Daten bei der elektronischen Übertragung/Transport nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
. Gewährleisten, dass nachträglich überprüft werden kann, ob und wer Daten verändert oder entfernt hat.
. Gewährleisten, dass Daten, die im Auftrag verarbeitet werden, nur entsprechend den Anweisungen des Auftraggebers verarbeitet werden können.
. Gewährleisten, dass Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
. Gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden
Mit Unternehmen, die in Ihrem Auftrag tätig sind und personenbezogenen Daten verarbeiten, sind sogenannte Auftragsverarbeitungsverträge zwingend abzuschließen. Gerade dieser Punkt ist nicht zu unterschätzen, da er gerne übersehen wird.
Wenn Sie ihre Daten zum Beispiel in einer Drittanbieter-Cloud speichern, arbeiten Sie mit einem Subunternehmen zusammen. Wenn Sie eine Webpräsenz haben, liegen Ihre Daten in der Regel auf einem Server außerhalb Ihrer Organisation und es wurden Daten in Ihrem Auftrag von einem Subunternehmen verarbeitet. Gleiches gilt für das Nutzen von Online-Banking, Unternehmen Online (DATEV) oder anderen SaS (Software as a Service)-Anwendungen. Auch die Lohnabrechnung durch Dritte (Steuerberater, Lohnabrechnungsbüros, etc.) fällt unter die Kategorie "Zusammenarbeit mit einem Subunternehmen zu Zwecke der Datenverarbeitung".
Um Sicherheitsprobleme und Sicherheitsvorfälle systematisch zu minimieren, ist es gemäß DSGVO erforderlich, dass Organisationen ihre Mitarbeiter/innen regelmäßig hinsichtlich des Datenschutzes und der Umsetzung der DSGVO ausreichend und nachweislich schulen.
Sie beinhaltet z.B. die Richtlinien zum korrekten Umgang mit personenbezogenen Daten und die Erläuterungen zu den Umständen, in denen ein Sicherheitsproblem bzw. -vorfall eingetreten würde.
Wenn in Ihrer Organisation mehr als 20 Personen an der Verarbeitung von personenbezogenen Daten beteiligt sind (inkl. der Erfassung z.B. auch der eigenen Daten in Zeiterfassungssystemen oder dem automatisierten Speichern von E-Mails), sind Sie verpflichtet eine/n Datenschutzbeauftragte/n zu bestellen und bei der zuständigen Aufsichtsbehörde namentlich zu benennen.
Der Datenschutzbeauftragte ist der externe Ansprechpartner für Anfragen von betroffen Personen, deren Rechte mit der letzten Novelle der DSGVO erheblich gestärkt wurden.
Sollten Sie eine oder mehrere der Fragen mit "Nein" beantworten haben,
raten wir Ihnen dringend zur Inanspruchnahme unserer kostenlosen Erstberatung. Wir zeigen auf, wo konkreter Handlungsbedarf besteht und mit welchem Aufwand dieser verbunden ist.
Neben der kostenlosen Erstberatung bieten wir einen Service an, der es Ihnen ermöglich, bei minimalen (zeitlichen wie finanziellen) Aufwänden:
. alle notwendigen Informationen über einen leitfadengeführten und für Laien verständlichen Fragenkatalog über unsere webbasierte DSGVO-App, selbstständig oder durch uns betreut, zu erfassen,
. Ihrer Dokumentationspflicht nachzukommen,
. ggf. Datenschutzmaßnahmen zu etablieren,
. ggf. einen Datenschutzbeauftragten zu stellen, der die Anfragen von berechtigten Personen bearbeitet und beantwortet,
. Ihre MitarbeiterInnen Online (auch im Home Office) zu schulen, um das Risiko eintretender Sicherheitsprobleme und Sicherheitsverstöße zu minimieren.
Sprechen Sie uns gerne an.
Tel.: 0431 36 30 46 10
timo.sokoll(at)miles-stones.de
Created with Mobirise free maker