Aug 20, 2020

So überprüfen Sie die Einhaltung der Datenschutzgrundverordnung: Eine Compliance-Checkliste für die DSGVO

Die Zeiten der Aufregung um die Einführung der DSGVO sind vorbei – jetzt ist die Verordnung einzuhalten, und zwar von allen Organisationen, die sich mit personenbezogenen Daten von EU-Bürgern befassen. Sonst führen Verstöße zu unvermeidlichen finanziellen Konsequenzen. Wie stellen Sie sicher, dass Ihre Organisation DSGVO-konform ist?
DSGVO

Aktuelle DSGVO-Herausforderungen

Durch die Datenschutz-Grundverordnung (DSGVO) wurde der Datenschutz in allen 28 EU-Ländern standardisiert, wobei strenge neue Regeln für die Verarbeitung personenbezogener Benutzerdaten und die Kontrolle darüber eingeführt wurden. Alle Websites, auf denen Daten von EU-Bürgern gesammelt werden, müssen an die Anforderungen der DSGVO angepasst werden. Wenn dies nicht erfolgt, können Geldstrafen von bis zu 4% des Gesamtumsatzes (oder 20 Mio. EUR) auferlegt werden. Wenn Personen aus der Europäischen Union Ihre Website frequentieren, lohnt es sich also, darauf vorbereitet zu sein.

Was ist DSGVO- Compliance?

DSGVO-konform zu sein bedeutet, alle Bestimmungen und Verbindlichkeiten der Datenschutzgrundverordnung auszuführen, die für Ihre Organisation gelten.

DSGVO gilt für Sie, wenn:

  • Ihr Unternehmen sämtliche Daten einer betroffenen Person verarbeitet, die EU-Bürger ist.
  • Sie Kunden (oder Besucher Ihrer Website) aus Europa erwarten.
  • eine minimale Möglichkeit besteht, dass Sie Daten von einem EU-Bürger bekommen.
  • einer Ihrer Drittanbieter in Ihrem Auftrag Informationen in Europa sammelt.

So checken Sie, ob Sie DSGVO-konform sind: Drei Grundschritte

Hier wollen wir eine kurze Checkliste zur Einhaltung der DSGVO für US-Unternehmen und Unternehmen in der EU bereitstellen, damit Sie die DSGVO-Compliance erreichen können.

Der rechtliche Teil

Info-Audit: Welche Daten verarbeiten Sie?

Unternehmen müssen eine aktuelle und detaillierte Liste ihrer Verarbeitungsaktivitäten führen. Diese Liste sollte Antworten auf die folgenden Fragen enthalten:

  • Zu welchen Zwecken verarbeiten Sie die Daten?
  • Welche Art von Daten verarbeiten Sie?
  • Wer hat Zugriff auf die verarbeiteten Daten in Ihrer Organisation?
  • Welche Dritten haben Zugriff auf diese Daten und wo befinden sie sich?
  • Was tun Sie, um die Daten zu schützen (z. B. Verschlüsselung)?
  • Wann planen Sie, die gesammelten Daten zu löschen (falls möglich)?

Die Aufsichtsbehörden dürfen jederzeit verlangen, dass sie diese Liste vorlegen.

Welche Berechtigungen brauchen Sie für Ihre Datenverarbeitungsaktivitäten?

Laut der DSGVO ist die Verarbeitung von Daten illegal, es sei denn, eine dieser sechs Voraussetzungen liegt vor (Artikel 6, Artikel 7-11):

  • Zustimmung
  • Vertragliche Verpflichtungen
  • Einhaltung einer gesetzlichen Anforderung
  • Schutz der vitalen menschlichen Interessen
  • Aufgabenerfüllung von öffentlichem Interesse oder behördlicher Bedeutung
  • Berechtigte Interessen.

Nachdem Sie eine rechtmäßige Grundlage für die Verarbeitung ausgewählt haben, sollten Sie Ihre Gründe dokumentieren.

Wie transparent ist Ihre Datenschutzrichtlinie?

Das Erstellen einer klaren Datenschutz- und Cookie-Richtlinie ist eine der wichtigsten Anforderungen der DSGVO-Compliance. Folgendes sollte Ihre Datenschutzrichtlinie beinhalten: Informationen für Personen darüber, dass ihre Daten gesammelt werden; Zweck der Datenerfassung; Informationsverarbeitungsaktivitäten; Informationen über Personen, die Zugang zu den gesammelten Daten haben; Maßnahmen zur Sicherung der erhobenen Daten.

Stellen Sie Ihre Datenschutzrichtlinie den betroffenen Personen vor oder zu dem Zeitpunkt der Datenerfassung zur Verfügung. Machen Sie diese auf Ihrer Website leicht zugänglich und verwenden Sie eine einfache Sprache.

Der Teil zur Informationssicherheit

Eingebauter und standardmäßiger Datenschutz

Um DSGVO-konform zu sein, müssen Sie verbindliche Datenschutzkonzepte in den Kern Ihrer Organisation integrieren, die den in den Artikeln 5 und 25 beschriebenen Grundsätzen des „eingebauten und standardmäßigen Datenschutzes“ (engl. „by design“ und „by default“) folgen. Treffen Sie alle technischen und organisatorischen Maßnahmen, um die Sicherheit der Daten zu gewährleisten, die Sie sammeln und verarbeiten.

Pseudonymisierung und Verschlüsselung

Um die Daten zu schützen, schreibt die DSGVO vor, dass Unternehmen Verschlüsselung oder Pseudonymisierung überall anwenden müssen, wo es möglich ist (Artikel 32).

Interne Sicherheitspolitik

Richten Sie eine starke Betriebssicherheit ein. Durch Ihre interne Sicherheitsrichtlinie muss sichergestellt werden, dass Ihre Mitarbeiter und Teammitglieder über ausreichende Kenntnisse zur Datensicherheit verfügen. Außerdem sollte sie Anleitungen zu Kennwörtern, VPNs, Zwei-Faktor-Authentifizierung, E-Mail-Sicherheit und Geräteverschlüsselung enthalten. Sorgen Sie dafür, dass das Personal mit Zugriff auf personenbezogene Daten zusätzliche Schulungen erhält.

Datenschutz-Folgenabschätzung (DPIA)

DPIA hilft Ihnen zu verstehen, wie Ihr Service oder Produkt die Daten Ihrer Kunden gefährden kann und wie Sie diese Risiken eliminieren können. Sie sind verpflichtet, eine DPIA durchzuführen, wenn Sie beabsichtigen, gesammelte Daten zu verwenden und dabei ein hohes Risiko für die Rechte und Freiheiten der Dateninhaber entstehen kann.

72 Stunden Benachrichtigungsfrist für Datenschutzverletzungen

Im Falle eines Verstoßes gegen den Datenschutz und der Offenlegung personenbezogener Daten haben Sie 72 Stunden Zeit, um die Aufsichtsbehörde in Ihrem Land über den Vorfall zu informieren. Außerdem sind Sie verpflichtet, die Betroffenen über die Risiken zu informieren, die der Verstoß für sie mit sich bringt.

Rechenschaftspflicht

Ernennung eines Datenschutzbeauftragten oder einer verantwortlichen Ansprechperson

Der Datenschutzbeauftragte ist eine Person, die die Einhaltung der DSGVO überwacht, bei Datenschutz-Folgenabschätzungen berät, Datenschutzrisikoanalysen durchführt und mit Datenschutzbehörden zusammenarbeitet. Wenn Ihre Organisation außerhalb der EU tätig ist, müssen Sie einen Vertreter in diesem Land ernennen, der in Ihrem Namen Kontakt zu den zuständigen Behörden aufnimmt.

Unterzeichnung eines Datenverarbeitungsvertrags mit Ihren Lieferanten

Wenn Drittanbieter Informationen zu Ihren betroffenen Personen verwalten (z. B. E-Mail-Dienste, Analysesoftware oder Cloud-Server), müssen sich diese auch an die DSGVO halten. In der Regel müssen ihre Websites einen Datenverarbeitungsvertrag enthalten.

DSGVO-Spickzettel

Diese einfachen Dinge helfen Ihnen dabei, die Datenschutz-Grundverordnung in Ihrem Unternehmen erfolgreich umzusetzen.

DSGVO-Checkliste
DSGVO-Spickzettel

Denken Sie an die Datenschutzrechte Ihrer Kunden

Es gibt mehrere Datenschutzrechte, die durch die DSGVO durchgesetzt und streng kontrolliert werden. Bei den meisten Rechten haben Sie einen Monat Zeit, um eine entsprechende Anfrage zu bearbeiten. In jedem Fall müssen Sie versuchen, die Identität der Person zu überprüfen, die die Anfrage initiiert.

Auskunftsrecht. Die Personen haben das Recht zu sehen, welche ihrer persönlichen Daten Sie besitzen und wie Sie diese nutzen.

Zugriffsrecht. Die Personen haben das Recht zu wissen, wie lange Sie ihre Informationen speichern möchten und warum Sie diese aufbewahren. Eine Kopie dieses Dokuments muss an Ihre betroffenen Personen gesendet werden.

Recht auf Berichtigung. Halten Sie die Daten auf dem neuesten Stand, indem Sie einen Datenqualitätsprozess festlegen, damit Ihre Kunden ihre persönlichen Informationen problemlos anzeigen lassen und aktualisieren können.

Recht auf Löschung. Die Personen haben das Recht, Sie zu bitten, alle persönlichen Daten zu löschen, die Sie über sie haben. Es gibt nur fünf Gründe, aus denen Sie den Antrag ablehnen können, z. B. Ausübung der Meinungsfreiheit oder Einhaltung einer gesetzlichen Verpflichtung.

Recht auf Einschränkung der Verarbeitung. Personen können beantragen, die Verarbeitung ihrer Daten einzuschränken oder einzustellen, wenn Streitigkeiten über die Rechtmäßigkeit oder Richtigkeit bestehen. Benachrichtigen Sie die betroffenen Personen, bevor Sie erneut mit der Verarbeitung ihrer Daten beginnen.

Recht auf Datenübertragbarkeit. Sie sollten in der Lage sein, leicht lesbare Personendaten, z. B. ein Dokument oder eine Tabelle, entweder an die betroffenen Personen oder an eine von ihnen definierte Drittpartei zu senden.

Widerspruchsrecht. Wenn Sie Daten für das Direktmarketing verarbeiten, können Benutzer verlangen, die Verarbeitung sofort einzustellen.

Rechte bei automatisierten Entscheidungen im Einzelfall einschließlich Profiling. Wenn Ihre Organisation automatisierte Prozesse für die Entscheidungsfindung einsetzt, müssen Sie ein Verfahren einrichten, um die Rechte, Freiheiten und berechtigten Interessen von betroffenen Personen zu schützen. Es sollte den betroffenen Personen leicht fallen, Entscheidungen zu treffen und menschliches Eingreifen anzufordern.

Wissenswertes über die Zustimmung zur DSGVO

Die Zustimmung ist obligatorisch und muss überprüfbar sein. Die DSGVO besagt, dass eine Einwilligung eines Benutzers eine positive Zustimmung sein muss, die spezifisch, frei ausgesprochen und eindeutig ist. Die Zustimmung sollte von anderen Geschäftsbedingungen getrennt gelten, und Sie müssen die betroffenen Personen darüber informieren, wie diese ihre Zustimmung widerrufen können.

DSGVO und COVID-19: Was hat sich geändert?

Der Europäische Datenschutzausschuss (EDSA) (engl. European Data Protection Board, EDPB) hat neue Richtlinien zur Verwendung personenbezogener Daten verabschiedet, um den Ausbruch von Covid-19 einzudämmen. Darunter befinden sich Richtlinien zur Standortbestimmung und andere Rückverfolgungswerkzeuge. Damit können Kontrollorgane Standortdaten und Kontaktverfolgungstools in zwei speziellen Fällen verwenden:

  • Für die Modellierung der Ausbreitung des Virus zur Bewertung der Gesamtwirksamkeit von Quarantänemaßnahmen;
  • Zur Benachrichtigung von Personen, bei denen die Wahrscheinlichkeit des Kontaktes mit Virenträgern besteht.

Holen Sie sich die richtige Software für die DSGVO

Manuelles Datenmanagement in der Compliance gehört längst der Vergangenheit an – die meisten Unternehmen setzen die Datenschutzgrundverordnung und andere Regelungen und Standards durch automatisierte Compliance-Lösungen um. Mit diesen Tools können die Anwender einen ganzheitlichen Ansatz bei der Einhaltung von Vorschriften verfolgen und letztendlich viel Zeit sparen. Infopulse SCM ist die Lösung, die die Einrichtung und den Betrieb eines robusten Datenschutzmanagementsystems (DPMS) in Ihrem Unternehmen unterstützt. Sie ermöglicht Ihnen die Erfüllung der Anforderungen der DSGVO und anderer relevanter Bestimmungen.

Mithilfe dieser Software meistern Sie das Risikomanagement, die Nachverfolgung von Maßnahmen, die Berichterstellung und die Bewertungen. Außerdem wird der Prozess der Erfassung möglicher Vorfälle konsolidiert und optimiert.

Schlusswort

Die Einhaltung der DSGVO ist für viele Organisationen eine Herausforderung. Damit Ihre DSGVO-Konformität top in Form ist, können Sie mit der automatisierten Compliance-Software Assets steuern, schnell Berichte erstellen, auf alle Daten sofort zugreifen usw.

Wenn Sie mit anderen Gesetzen oder Vorschriften zu tun haben, können Sie mit der GRC-Lösung mehrere Standards unter einen Hut bringen. Davon werden Sie enorm profitieren und einen ganzheitlichen Ansatz bei Ihren Compliance-Strategien verfolgen.

Trial anfordern

Try for free

Profitieren Sie durch die 3 monatige kostenlose Nutzung von Infopulse SCM, um herauszufinden, wie unsere Lösung Ihr Compliance-Management optimieren kann. Bitte füllen Sie dieses Formular aus, wählen Sie die Standards und Funktionen, an denen Sie interessiert sind. Unsere Berater werden Ihnen gerne ein personalisiertes Webinar basierend auf Ihrer Auswahl vorbereiten und Ihnen Schritt für Schritt alle Vorteile von SCM erklären.