Alles NEU macht schon jetzt der Mai: DSGVO
Die Europäische Datenschutz-Grundverordnung tritt mit dem 25. Mai 2018 in Kraft. Was bedeutet das für Ihr Unternehmen? Welche Prozesse müssen Sie anpassen? Wodurch zeichnet sich ein neues EU-DSGVO-konformes Datenschutzmanagement aus? Diesen Fragen muss sich jedes Unternehmen jetzt stellen.
Die ab Mai 2018 geltende EU-Verordnung, die den Datenschutz und die Rechte der Verbraucher stärken soll, legt fest, wie Unternehmen künftig personenbezogene Daten sammeln, speichern und nutzen dürfen. Darüber hinaus regelt sie die Auskunftsrechte jedes Einzelnen und verpflichtet Unternehmen zur Ermittlung und Vorhaltung bestimmter Informationen, um dieser Auskunftspflicht nachkommen zu können. Das wirft für viele Unternehmen Fragen auf. Wo und wie fangen wir am besten an?
Konstanze Wagner ist Teamleiterin Marketing der REISSWOLF International AG und ich freue mich sehr, dass sie heute ihr Know-how genau zu diesen Fragen rund um die Europäische Datenschutzgrundverordnung für den Office Concepts Orga Tipp zur Verfügung stellt.
Gastbeitrag von Konstanze Wagner, REISSWOLF International AG
Wonnemonat Mai – der europaweite Datenschutz beginnt zu sprießen…
Ab Mai gilt für und in ganz Europa ein einheitliches Datenschutz-Niveau. Das ist gut. Bis Mai gilt es daher, den eigenen Umgang mit personenbezogenen Daten bis ins Detail zu durchdenken und zu dokumentieren. Auch das ist gut – bringt aber auch viel Arbeit mit sich.
Theoretisch findet die neue europäische Datenschutz-Grundverordnung (EU-DSGVO) keine Anwendung, wenn keine personenbezogenen Daten vorhanden sind. Aber wer hält diese nicht vor? Personenbezogene Daten sind nach Art. 4 Nr. 1 EU-DSGVO nicht nur der Name oder die Mailadresse.
Auch dazu zählen
- postalische Adressen
- Telefonnummern
- Fotos
- Autokennzeichen
- Angebote
- IP-Adressen
Kurz gefasst: Alles, was sich einer Person eindeutig zuordnen lässt, fällt in den sachlichen Anwendungsbereich.
Und das unabhängig davon, ob diese Daten automatisiert verarbeitet werden mittels Computer, Smartphone, Webcam, Kamera, Scanner, Kopierer usw. Oder auch nichtautomatisiert verarbeitet werden, indem handschriftliche personenbezogene Daten wie beispielsweise Telefonnotizen oder aber auch nur ganz klassisch Visitenkarten gesammelt werden, da diese irgendwann später in ein CRM eingepflegt werden sollen.
Oftmals ist man sich gar nicht bewusst, was alles an personenbezogenen Daten im eigenen Unternehmen und den einzelnen Abteilungen vorliegt. Wichtig ist auf jeden Fall, dies gemeinsam mit allen Mitarbeitern zu prüfen und zu verstehen. Damit einhergehend sollte man sich auch gemeinsam bewusst sein, wie weit die Definition des Begriffs „Verarbeitung“ in Art. 4 Nr.2 EU-DSGVO geht.
Denn die Verarbeitung beinhaltet jegliche Form der Erhebung, Erfassung, Organisation, Ordnung, Speicherung, Verarbeitung, Anpassung, Veränderung, Einschränkung, Offenlegung durch Übermittlung, Bereitstellung oder Verwendung personenbezogener Daten. Auch das Auslesen, das Abfragen, die Verknüpfung oder der Abgleich bis hin zum Löschen und Vernichten personenbezogener Daten fallen unter den Verarbeitungs-Begriff im Sinne der europäischen Datenschutz-Grundverordnung.
So viele Daten – so viele Prozesse
Verkürzt gesagt, gilt das neue Recht also für alle, die mit Daten arbeiten. Ob als Auftragsverarbeiter oder Verantwortlicher ist dabei in Zukunft unerheblich, da jeder Betroffene im Schadensfall das Recht hat, frei zu entscheiden, wen er haftbar machen möchte: den direkten Vertragspartner, dessen Auftragsverarbeiter oder auch beide zusammen.
Die W-Liste
Also auf ans Werk und als allererstes eine W-Liste aufstellen – diese hier dient zur Anregung und ist je nach Unternehmen sicher noch zu erweitern:
- Was tue ich tagtäglich, bei dem Daten in irgendeiner Form verarbeitet werden?
- Wozu benötige ich die Daten und achte ich stets auf Datenminimierung?
- Welche Datenflüsse gibt es im Unternehmen und mit Dritten?
- Wo überall liegen die Daten, mit denen ich arbeite?
- Wer hat alles darauf Zugriff außer mir?
- Wie gehe ich mit einem Auskunftsersuchen von Betroffenen um?
- Wissen alle im Unternehmen Bescheid und sind ausreichend sensibilisiert?
- Wieviel Kosten muss ich für alle To-Do‘s einplanen?
Steht die W-Liste, diese einer Risikoanalyse unterziehen – und zwar aus Betroffenensicht. Was könnte dem Betroffenen im schlimmsten Fall für ein Schaden entstehen, wenn mein Verarbeitungsprozess nicht vollumfänglich sicher ist und ich die Daten verliere, lösche oder veröffentliche. Je nachdem, wie hoch das Risiko ist, überlegen, was zum Schutz der Daten in Zukunft noch besser geschehen sollte.
Wer schreibt, bleibt – und zwar verschont von hohen Bußgeldern
Nach Bestandsaufnahme, Analyse und Bewertung folgt die Dokumentation. Eine notwendige Fleißarbeit, um zukünftig seiner Rechenschaftspflicht bestmöglich nachzukommen. Auch diese Aufzählung ohne Anspruch auf Vollständigkeit:
- Dokumentation der Datenverarbeitungsprozesse
- Aktualisierung der Datenschutzerklärungen (erweiterte Informationspflichten)
- Erweiterung der Einwilligungserklärungen (neuer Widerrufprozess)
- Anpassung von Betriebsvereinbarungen
- Neuregelung der Auftragsverarbeitung (Haftungsregelung und Dokumentation)
- Prozessregelung bei Datenpannen
Fazit
Datenschutz & Datensicherheit sollte uns allen wichtig sein – gerade, wenn wir in Zukunft immer digitaler arbeiten werden und alle Vorteile, der Cloudspeicherung, digitaler Assistenten oder Kollaborationstools nutzen – die Verantwortung liegt immer bei uns. Und das ist gut so.
Vielen Dank an Frau Wagner für diesen Beitrag!
Informieren Sie sich!
Wissenswertes und Handlungsempfehlungen erhalten Sie zum Beispiel in den kostenlosen Webinaren der Firma REISSWOLF.
Happy New Year!
Beginnen Sie das neue Jahr also gleich mit der Umsetzung der guten Vorsätze! Informieren Sie sich und nehmen Sie die notwendigen Maßnahmen in Angriff.
Ich unterstütze Sie gern bei der Umsetzung und wünsche Ihnen ein frohes, glückliches und gesundes neues Jahr 2018.
Ich freue mich über Ihren Anruf! +49 40 30068338
Oder schreiben Sie mir: nevermann@office-concepts.hamburg
___________________________
Lesen Sie auch zu diesem Thema:
Broschüre zur Datenschutz-Grundverordnung
Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates
DSGVO-Informationen von REISSWOLF
Allgemeine Fragen & Antworten zur DSGVO von DATEV
Informationen des Landesdatenschutzbeauftragten Bayerns
DSGVO Informationen von datenschutz.org