Die DSGVO technisch und organisatorisch umsetzen

Durch das Inkrafttreten der DSGVO hat eine Beweislastumkehr für Unternehmen stattgefunden. Dieses bedeutet, dass jegliche Art von Beweisentlastung durch die Unternehmen zu erbringen ist. Das Unternehmen muss zu jeder Zeit und kurzfristig Aussagen machen können und Verstöße selber anzeigen. Das bedeutet im Umgang mit personenbezogenen Daten, dass diese besonders zu schützen sind. Dieses setzt voraus, dass es eine Klassifizierung gibt und diese dem Eigentümer bekannt sind und ausreichende Freigaben für die Verwendung vorliegen. Folgende Fragen sollten Sie in diesem Zusammenhang positiv beantworten können:

  1. Gibt es eine Verfahrensübersicht und –anweisung?
  2. Gibt es eine Klassifizierung der personenbezogenen Daten?
  3. Gibt es hinreichende Freigaben des Betroffenen zur Verwendung seiner Daten?
  4. Gibt es ein System, was dokumentiert, wer, wann und warum auf die Daten zugegriffen hat?
  5. Gibt es einen Prozess, der sicherstellt, dass ein Betroffener innerhalb von 72 Stunden Auskunft erhält, welche personenbezogenen Daten in Gänze gespeichert sind? Hier ist jeder Datenbank oder Datenträgen gemeint sowie jede Art von Anwendung.
  6. Gibt es einen Prozess, der die Datenintegrität überwacht und Verletzungen aufdecken kann?
  7. Sind alle Mitarbeiter, die Zugang zu personenbezogenen Daten haben, geschult und separat verpflichtet worden?
  8. Gibt es ein Qualitäts- und Security-Management, einen Datenschutzbeauftragten?
  9. Wurden interne und/oder externe Audits durchgeführt?
  10. Gab es Penetrationstests in Bezug auf die IT-Infrastruktur bzw. auf schützenswerte Daten, um Schwachstellen ausfindig zu machen?

Das sind nur 10 Fragen, die veranschaulichen sollen, um welche Sachverhalte es in Zukunft geht. Eine große Rolle spielt der allgemeine Digitalisierungsgrad einer Firma. Ist dieser zu niedrig, kann das gesteckte Ziel nicht erreicht werden. Nur die Verwendung neuer Verfahren und innovativer Lösungen kann die weitgehenden Anforderungen erfüllen. Alle Daten und Datenflüsse müssen verzahnt werden, um den gewünschten Output erzeugen zu können, unabhängig von Anwendungsherstellern, Datenbank-Modell oder Betriebssystemen. Unternehmen sollen personenbezogene Daten mit geeigneten organisatorischen und technischen Maßnahmen schützen. Was genau darunter zu verstehen ist, bleibt zunächst offen. Eine Idee wäre, die personenbezogenen Daten nicht mit allen anderen Daten zusammen zu speichern. Ein geeignetes System kann dann jeden Zugriff auf die personenbezogenen Daten protokollieren. Eine weitere Herausforderung wird das Recht auf Löschung. Viele Unternehmen haben Kundendaten in verschiedenen Systemen gespeichert, beispielsweise in Emails oder Kundendatenbanken. Fordert eine Person ihr Recht auf Löschung ein, muss sichergestellt sein, dass ihre Daten in allen Systemen gelöscht werden. Gleichzeitig muss das Unternehmen die Compliance gegenüber dem Finanzamt bewahren. Personenbezogene Daten könnte man auf Rechnungen dann zum Beispiel anonymisiert darstellen. Des Weiteren sind Unternehmen dazu verpflichtet, Daten unter Berücksichtigung des Standes der Technik zu schützen. Wie dieser Stand genau aussieht, ist nicht weiter beschrieben. Für Datenbanken sind Feautures wie Zugriffssaudititerung, die Verschlüsselung von Daten und die Datenmaskierung denkbar. Was passiert, wenn es trotzdem einmal zu einer Datenschutzverletzung kommt? Unternehmen  müssen die betroffenen Personen dann ohne Verzögerung und in verständlicher Sprache informieren. Hier stellt sich die Frage, wie der Prozess ablaufen soll. Bestenfalls bereitet man bereits Schreiben in verschiedenen Sprachen vor. Zudem muss die Benachrichtigungen dokumentiert und nachgewiesen werden. Deshalb ist eine Vorbereitung von verschiedenen Kommunikationswegen sinnvoll, beispielsweise über Email oder per Post.

Lassen Sie sich von uns beraten

Wir können Ihnen von Ist-Aufnahme an, bis zur Lösungseinführung, sowohl Beratungsleistung als auch technische Lösungen anbieten. Vereinbaren Sie mit uns einen Workshop, um weitere wichtige und hilfreiche Informationen zu erhalten. Beauftragen Sie uns für die Schaffung einer individuellen Lösung und profitieren Sie von unseren Spezialisten.


Brauchen Sie noch einen Xpertenrat?