top of page
Suche

6 Schritte zur Erreichung der GDPR-Konformität

  • FOCAI
  • 16. Mai 2024
  • 4 Min. Lesezeit

Mindestens ein Drittel der europäischen Unternehmen erfüllt die DSGVO-Anforderungen nicht. Mit diesen sechs Schritten können Sie verhindern, dass Sie zu diesen Unternehmen gehören!

Wenn Sie sich nicht sicher sind, ob Ihr Unternehmen die DSGVO einhält, dann sind Sie nicht allein. Laut einer aktuellen Umfrage von RSM, einem führenden globalen Netzwerk von Wirtschaftsprüfungs-, Steuer- und Beratungsunternehmen, sind nur 57 % der Unternehmen zuversichtlich, dass ihr Unternehmen die DSGVO vollständig einhält. 13 % sind sich nicht sicher und 30 % geben zu, dass sie die Anforderungen nicht erfüllen.


 

6 Schritte zur Erreichung der DSGVO-Konformität


1. Wo gibt es personenbezogene Daten? Bewerten und dokumentieren Sie Ihre Datenflüsse und ermitteln Sie alle, die die Verarbeitung personenbezogener Daten beinhalten.

  • Verarbeitung ist definiert als jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten oder einer Reihe personenbezogener Daten wie... "das Erheben, das Erfassen, die Organisation, die Strukturierung, die Speicherung, die Anpassung/Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, die Verbreitung/ Zurverfügungstellung, den Abgleich/die Kombination, die Einschränkung, das Löschen/ Vernichten."

  • Unabhängig davon, wie viele Datenquellen und Technologien es gibt, ob die Daten strukturiert oder unstrukturiert, in Bewegung oder in Ruhe sind, muss Ihr Unternehmen nachweisen, dass es weiß, wo sich personenbezogene Daten befinden und wo nicht.


2. Welche personenbezogenen Daten gibt es? Ermitteln und klassifizieren Sie, welche Arten von personenbezogenen Daten Ihr Unternehmen besitzt.

  • Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person ("betroffene Person") beziehen.

  • Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen ihrer physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität identifiziert werden kann.

  • Besondere Datenkategorien sind Informationen über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, genetische Daten, biometrische Daten (sofern sie zu Identifizierungszwecken verwendet werden), das Sexualleben und die sexuelle Orientierung einer Person. Hinweis: Personenbezogene Daten über strafrechtliche Anschuldigungen, Verfahren oder Verurteilungen werden gesondert behandelt.


3. Warum haben Sie diese persönlichen Daten? Nennen Sie die Rechtsgrundlage für die von Ihnen gespeicherten personenbezogenen Daten.

Es gibt 6 Rechtsgrundlagen für die Verarbeitung, die in Artikel 6 Absatz 1 aufgeführt sind. Wenn Sie personenbezogene Daten verarbeiten, muss mindestens eine von ihnen zutreffen:

  • Einwilligung: Die betroffene Person hat eindeutig eingewilligt, dass Sie ihre personenbezogenen Daten für einen oder mehrere bestimmte Zwecke verarbeiten dürfen;

  • Vertrag: Die Verarbeitung ist für einen Vertrag erforderlich, den Sie mit der betroffenen Person geschlossen haben, oder weil die betroffene Person Sie gebeten hat, bestimmte Schritte zu unternehmen, bevor sie einen Vertrag abschließt;

  • Gesetzliche Verpflichtung: Die Verarbeitung ist erforderlich, damit Sie die gesetzlichen Bestimmungen einhalten können (dies gilt nicht für vertragliche Verpflichtungen);

  • Lebenswichtige Interessen: Die Verarbeitung ist erforderlich, um das Leben einer Person zu schützen;

  • Öffentliche Aufgabe: Die Verarbeitung ist für Sie erforderlich, um eine Aufgabe im öffentlichen Interesse oder für Ihre offiziellen Funktionen zu erfüllen, und die Aufgabe oder Funktion hat eine eindeutige gesetzliche Grundlage;

  • Berechtigte Interessen: Die Verarbeitung ist für Ihre berechtigten Interessen (oder die eines Dritten) erforderlich, es sei denn, es gibt einen guten Grund, die personenbezogenen Daten der betroffenen Person zu schützen, der diese berechtigten Interessen überwiegt, z. B. wenn die betroffene Person ein Kind ist;

Wenn, wie bei vielen Unternehmen, die Einwilligung die Rechtsgrundlage für die Verarbeitung personenbezogener Daten ist, dann müssen Sie klare Aufzeichnungen führen, um die Einwilligung nachzuweisen, und sicherstellen, dass jeder Hinweis auf die Einwilligung eindeutig ist und eine klare bestätigende Handlung beinhaltet (ein Opt-in). Die Datenschutz-Grundverordnung verbietet ausdrücklich das Ankreuzen von Opt-in-Kästchen und verlangt außerdem verschiedene Zustimmungsoptionen für verschiedene Verarbeitungsvorgänge.


Die Einwilligung sollte von anderen Bedingungen und Konditionen getrennt sein und im Allgemeinen keine Vorbedingung für die Anmeldung zu einem Dienst sein. Bestehende Einwilligungen und Mechanismen für die Einwilligung müssen auf ihre Konformität hin überprüft und bei Bedarf neue Einwilligungen eingeholt werden.


4. Wie sichern Sie diese personenbezogenen Daten? Geben Sie an, welche Maßnahmen Sie ergriffen haben, um die personenbezogenen Daten gegen unbefugte oder unrechtmäßige Verarbeitung und gegen versehentlichen Verlust, Zerstörung oder Beschädigung zu schützen.

  • Identifizieren und bewerten Sie die Maßnahmen, die zum Schutz der personenbezogenen Daten getroffen wurden. Bieten die Sicherheitsvorkehrungen des Unternehmens ausreichenden Schutz?

  • Führen Sie eine Lückenanalyse und Sicherheitstests durch, um etwaige Schwachstellen zu ermitteln.

  • Setzen Sie Ihren Plan zur Eindämmung von Bedrohungen, zur Behebung von Schwachstellen und zur Stärkung der effektiven Sicherheit in die Tat um. Achten Sie auf die Fristen und das Risiko für die betroffenen Personen, solange Schwachstellen bestehen, und führen Sie erneut Tests durch, um sicherzustellen, dass die Schwachstellen nicht mehr bestehen und keine neuen Schwachstellen eingeführt wurden.


5. Wer ist in Ihrer Organisation für den Datenschutz verantwortlich? Die Rechenschaftspflicht ist einer der Grundsätze des Datenschutzes. Das bedeutet, dass Sie für die Einhaltung der DSGVO verantwortlich sind und die Einhaltung nachweisen müssen.

Organisatorische Maßnahmen (wie auch technische Maßnahmen) müssen vorhanden sein, um die Anforderungen der DSGVO an die Rechenschaftspflicht zu erfüllen:

  • Verabschiedung und Umsetzung von Datenschutzrichtlinien;

  • Verfolgen Sie einen Ansatz des "Datenschutzes durch Design und Standard";

  • Sicherstellen, dass Sie über schriftliche Verträge mit Organisationen verfügen, die personenbezogene Daten in Ihrem Namen verarbeiten;


  • Dokumentieren Sie Aktivitäten, bei denen personenbezogene Daten verarbeitet werden, und führen Sie Datenschutz-Folgenabschätzungen durch, wenn die Verarbeitung personenbezogener Daten wahrscheinlich ein hohes Risiko für die Interessen der betroffenen Person darstellt;

  • Ernennung eines Datenschutzbeauftragten;

  • Schulung des Personals in Sachen Datenschutz und Einhaltung der einschlägigen Verhaltenskodizes;


  • Vorhandensein von Verfahren zur Bearbeitung von Anfragen von betroffenen Personen;

  • Beitritt zu Zertifizierungssystemen;

  • Aufzeichnung von Verstößen gegen den Schutz personenbezogener Daten und, falls erforderlich, deren Meldung.


6. Wie zeigen Sie Ihr kontinuierliches Engagement für den Datenschutz und die Einhaltung der Datenschutzgrundverordnung?

  • Beweisen Sie, dass Sie regelmäßig Audits und Kontrollen durchführen, um sicherzustellen, dass Sie die Vorschriften einhalten.

  • Kontinuierliche Schulungen zum Sicherheitsbewusstsein und zum Datenschutz stärken die bewährten Sicherheits- und Datenschutzpraktiken.

  • Demonstrieren Sie eine wirksame Reaktion auf Vorfälle, indem Sie regelmäßig üben, was im Falle eines vermuteten Verstoßes zu tun ist, beginnend mit Erkennungsmechanismen und einem klaren Meldeverfahren sowie einem gut eingespielten Reaktionsteam für Vorfälle.

  • Sie pflegen und aktualisieren die Dokumentation zeitnah und stellen sicher, dass sie die relevanten Parteien bei Bedarf informieren.

 
 

STRATEGIE BERATUNG & TRANSFORMATION

FOCAI hilft Unternehmen, ihre Technologie-, Cyber-Sicherheits-, und Unternehmenswachstums- Strategien auf  die nächste Stufe zu heben, indem es Lösungen der nächsten Generation mit Einblicken und Maßnahmen kombiniert.

FOCAI  © 2024

  • LinkedIn
  • Instagram
bottom of page