DSGVO Check­lis­te – in 4 Schrit­ten zum umfas­sen­den Datenschutz

Stich­tag 25. Mai 2018: Die neue EU-Daten­schutz-Grund­ver­ord­nung tritt in Kraft! Damit die DSGVO nicht wie ein Damo­kles­schwert über Ihrem Unter­neh­men schwebt, haben wir Ihnen eine ein­fa­che DSGVO Check­lis­te mit allen rele­van­ten Infor­ma­tio­nen auf Basis der Lis­te des baye­ri­schen Lan­des­amts für Daten­schutz zusam­men­ge­stellt. Mit der DSGVO wird eine EU-wei­te Ver­ein­heit­li­chung der vie­len unter­schied­li­chen Daten­schutz­be­stim­mun­gen der ein­zel­nen Mit­glieds­staa­ten ange­strebt und damit ein kla­rer Schutz der Daten von EU-Bür­gern gewähr­leis­tet – also in jedem Fall eine lobens­wer­te Ver­bes­se­rung der Sicher­heit per­so­nen­be­zo­ge­ner Daten. Unter­neh­men müs­sen ab Mai 2018 Ände­run­gen in Ihrem Betriebs­ab­lauf durch­ge­führt haben. Ganz neu sind die Ver­än­de­run­gen dabei nicht, da Deutsch­land bereits vor der Ein­füh­rung der DSGVO über ein star­kes Daten­schutz­ge­setz ver­fügt hat. Im Fol­gen­den zei­gen wir Ihnen anhand unse­rer Check­lis­te „In 4 Schrit­ten zum umfas­sen­den Daten­schutz“ die not­wen­di­gen Opti­mie­run­gen in Ihrem Betrieb und wo Sie sich noch umfas­sen­der infor­mie­ren können.

Schritt 1: Pla­nungs­pha­se – was muss sich für das Unter­neh­men ändern?

An ers­ter Stel­le steht eine kla­re und umfas­sen­de Beschäf­ti­gung und ein damit ein­her­ge­hen­des Bewusst­sein und Ver­ständ­nis mit Daten­schutz und Daten­si­cher­heit. In der DSGVO dreht sich alles um den Schutz per­so­nen­be­zo­ge­ner Daten. Dabei han­delt es sich nach Art. 4 Abs. 1 DSGVO um Merk­ma­le natür­li­cher Per­so­nen wie Her­kunft, Alter, Geschlecht, Adres­sen – sprich alles, was für die Iden­ti­fi­ka­ti­on einer Per­son not­wen­dig ist. Wenn sich ein Unter­neh­men mit per­so­nen­be­zo­ge­nen Daten aus­ein­an­der­setzt, die­se sam­melt, bear­bei­tet oder spei­chert, muss es die­se Daten auch aus­rei­chend vor einem Miss­brauch schüt­zen. Die wich­tigs­ten Grund­be­din­gun­gen mit dem Umgang per­so­nen­be­zo­ge­ner Daten fin­den sich ganz klar und kon­kret in Art. 2 DSGVO aufgelistet.
Ist ein Bewusst­sein für die Anwen­dungs­be­rei­che, die Begrif­fe sowie die Zie­le der kom­men­den DSGVO geschaf­fen, soll­ten Unter­neh­men Ihren aktu­el­len Daten­schutz über­prü­fen. Wo gibt es Män­gel? Wird das eige­ne Unter­neh­men über­haupt von der DSGVO betrof­fen? Ist ein Daten­schutz­be­auf­trag­ter not­wen­dig? Gibt es im Daten­schutz unter­neh­mens­in­ter­ne Kon­flik­te, etwa zwi­schen Per­so­nal- und Rechtsabteilung?

Schritt 2: Anpas­sung des Daten­schut­zes – Daten­schutz­pro­zes­se, Fol­ge­ab­schät­zung und recht­li­che Texte

Als zwei­ter Punkt auf der DSGVO Check­lis­te steht die umfas­sen­den Aus­ge­stal­tung des Daten­schut­zes in Ihrem Betrieb. Dabei müs­sen unbe­dingt alle Geschäfts­pro­zes­se, die mit der Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten zu haben, auf die Maß­ga­ben der neu­en Ver­ord­nung ange­passt wer­den. Eine der wich­tigs­ten Neue­run­gen ist dabei wohl das Ver­fah­rens­ver­zeich­nis, in dem alle Pro­zes­se der Per­so­nen­da­ten­ver­ar­bei­tung dar­ge­stellt wer­den müs­sen. Im Wei­te­ren wer­den alle bestehen­den und neu­en Ver­trä­ge auf die neu­en Richt­li­ni­en ange­passt – denn für die Ein­ho­lung der Per­so­nen­da­ten ist eine Ein­wil­li­gung und mitt­ler­wei­le auch die genaue und gleich­zei­tig ein­fa­che Erklä­rung der Rech­te sowie die Bestim­mung des Zwecks der Ver­ar­bei­tung anzu­ge­ben. Dazu zäh­len auch All­ge­mei­ne Geschäfts­be­din­gun­gen und das Impres­sum auf der Home­page Ihres Unternehmens.

Schritt 3: Daten­si­cher­heit garan­tie­ren – so schüt­zen Sie die per­so­nen­be­zo­ge­nen Daten

Noch prak­ti­scher wird Schritt drei der DSGVO-Check­lis­te. Um die voll­stän­di­ge Daten­si­cher­heit zu garan­tie­ren, muss das Unter­neh­men nach innen und außen siche­re Metho­den durch Soft­ware und Hard­ware rea­li­sie­ren. Das bedeu­tet im Klar­text, dass inter­ne Zugän­ge über­prüft wer­den müs­sen und je nach Gege­ben­hei­ten Zugän­ge neu ver­ge­ben wer­den müs­sen. Ein simp­les Bei­spiel: Der Schü­ler­prak­ti­kant, des­sen Auf­ga­ben im Bereich Lager­lo­gis­tik lie­gen, soll­te nicht unbe­dingt die Per­so­nal­ak­ten des Betriebs ein­se­hen kön­nen. Des­halb sind sei­ne Zugriffs­rech­te zu beschrän­ken. Nach Außen soll­te der Zugriff auf die per­so­nen­be­zo­ge­nen Daten eben­falls aus­rei­chend gesi­chert sein. Sicher­heits­lü­cken wer­den häu­fig von Hackern benutzt, um Daten zu steh­len. So soll­te der betriebs­in­ter­ne Ser­ver­zu­gang sowie der Inter­net­an­schluss in jedem Fall durch ver­schie­de­ne tech­ni­sche Lösun­gen und Ver­schlüs­se­lun­gen abge­si­chert wer­den. Um Daten­si­cher­heit auf dem Online­auf­tritt Ihres Unter­neh­mens zu gewähr­leis­ten, hel­fen Stich­wör­ter wie pri­va­cy by design und pri­va­cy by default. Dar­un­ter wer­den tech­nik­ba­sier­te Prä­ven­tiv­maß­nah­men ver­stan­den, die gar nichts ande­res als Daten­schutz zulas­sen, etwa durch Ver­schlüs­se­lungs­pro­to­kol­le oder Vor­ein­stel­lun­gen auf Nut­zer­ober­flä­chen. Bei­spiels­wei­se ist ein SSL-Zer­ti­fi­kat eine sol­che prä­ven­ti­ve Daten­si­cher­heits­maß­nah­me. Dazu haben wir bereits einen Arti­kel ver­fasst und bie­ten die Ver­ga­be die­ses not­wen­di­gen Sicher­heits­pro­to­kolls an.

Schritt 4: Daten­schutz-Con­trol­ling – so gewähr­leis­ten Sie lang­fris­ti­gen Daten­schutz in Ihrem Unternehmen

Für die lang­fris­ti­ge Daten­si­cher­heit in Ihrem Unter­neh­men ist ein stän­di­ges Con­trol­ling uner­läss­lich. Neben der regel­mä­ßi­gen Doku­men­ta­ti­on Ihrer Daten­schutz­maß­nah­men, soll­ten Ihre Mit­ar­bei­ter das Bewusst­sein für Daten­schutz nicht ver­lie­ren. Des­halb sind Wei­ter­bil­dun­gen und Schu­lun­gen, sowie eine betriebs­in­ter­ne Kom­mu­ni­ka­ti­on zum The­ma Daten­schutz wesent­li­che Bau­stei­ne in der Rea­li­sie­rung der umfas­sen­den Sicher­heit von per­so­nen­be­zo­ge­nen Daten und ihrem Schutz vor Miss­brauch. Selbst­ver­ständ­lich ist ein nicht weni­ger ele­men­ta­rer Teil im letz­ten Punkt auf der DSGVO-Check­lis­te die regel­mä­ßi­ge Über­wa­chung und Kon­trol­le Ihrer Daten­schutz­pro­zes­se sowie der Pro­zes­se, in denen Per­so­nen­da­ten ver­ar­bei­tet wer­den. Dabei kann auch das kor­rekt geführ­te Ver­fah­rens­ver­zeich­nis zur Kon­trol­le ihre Daten­schutz­ni­veaus sehr nütz­lich sein. Zuletzt soll­ten unbe­dingt Schwach­stel­len in Ihrem Daten­schutz schnellst­mög­lich und qua­li­fi­ziert gefun­den und opti­miert werden.

Eine wei­te­re Check­lis­te zum The­ma DSGVO mit den wich­tigs­ten Infos fin­den Sie auch hier unter DSGVO Check­lis­te.