top of page
Suche

Sie sind noch nicht DSGVO-konform? Sie sind nicht allein.

  • FOCAI
  • 16. Mai 2024
  • 8 Min. Lesezeit

Einem Bericht zufolge erfüllt mindestens ein Drittel der europäischen Unternehmen die Anforderungen der Datenschutz-Grundverordnung nicht, aber wahrscheinlich sind es viel mehr!

Wenn Sie sich nicht sicher sind, ob Ihr Unternehmen die DSGVO einhält, dann sind Sie nicht allein. Laut einer aktuellen Umfrage von RSM, einem führenden globalen Netzwerk von Wirtschaftsprüfungs-, Steuer- und Beratungsunternehmen, sind nur 57 % der Unternehmen zuversichtlich, dass ihr Unternehmen die DSGVO vollständig einhält. 13 % sind sich nicht sicher und 30 % geben zu, dass sie die Anforderungen nicht erfüllen.



Sie wissen nicht, wie Sie die Vorschriften einhalten können?


Die Tatsache, dass dieser Bericht mehr als ein Jahr nach Inkrafttreten der Verordnung im Mai 2018 erstellt wurde (die Verordnung wurde im April 2016 verabschiedet und die offiziellen Texte waren im Mai 2016 verfügbar), zeigt, dass trotz der dreijährigen Vorbereitungszeit und der hohen Strafen bei Nichteinhaltung über 40 % der Unternehmen immer noch nicht wissen, wie sie die Vorschriften einhalten sollen.

Bei Nichteinhaltung drohen Strafen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes - je nachdem, welcher Betrag höher ist!

Von den nicht konformen Unternehmen:


38% wussten nicht, wann eine Einwilligung erforderlich ist.

Die "Einwilligung" ist nur eine der sechs Rechtsgrundlagen für die Verarbeitung personenbezogener Daten, die anderen sind "Vertrag", "rechtliche Verpflichtung", "lebenswichtige Interessen", "öffentliche Aufgaben" und "berechtigte Interessen".


Sie müssen nicht um eine Einwilligung bitten, wenn andere Rechtsgrundlagen gültig sind, z. B. wenn:

  • Sie erbringen eine Hauptdienstleistung (Vertrag)

  • Sie sind gesetzlich verpflichtet, personenbezogene Daten zu verarbeiten (gesetzliche Verpflichtung)

  • Sie verarbeiten personenbezogene Daten zum Nutzen Ihres Unternehmens oder anderer in angemessener Weise und mit minimalen Risiken und Auswirkungen auf die betroffenen Personen (berechtigte Interessen).


However you should ask for consent when, for example:

  • Verwendung von Cookies zur Nachverfolgung/Werbung

  • Versendung von Marketing-E-Mails/Newslettern

  • Weitergabe personenbezogener Daten an andere zu kommerziellen Zwecken


35% sind unsicher, wie sie die Nutzung personenbezogener Daten durch ihre Mitarbeiter überwachen sollen

Die Überwachung am Arbeitsplatz berührt eine Reihe von Rechtsbereichen, die sich nicht nur auf den Datenschutz beschränken, sondern auch Menschenrechte, Arbeitnehmerrechte, die Notwendigkeit der Einhaltung breiterer Schutzbereiche im Zusammenhang mit der Kommunikation, einschließlich E-Mails, usw. umfassen können Zu den berechtigten Interessen Ihres Unternehmens in Bezug auf die Erreichung und Aufrechterhaltung der Einhaltung der DSGVO gehört auch die Aufdeckung und Verhinderung des Verlusts personenbezogener Daten, beispielsweise von Kundendaten. Unternehmen müssen jedoch bei der Auswahl und Implementierung von Technologien, die zur Überwachung der Nutzung personenbezogener Daten durch ihre Mitarbeiter eingesetzt werden könnten, vorsichtig sein, da das Risiko besteht, dass einige Technologien mehr Daten erfassen können, die ein höheres Risiko für den Mitarbeiter darstellen würden, z. B. Keylogging-Software und die kontinuierliche Überwachung aller Mitarbeiteraktivitäten. In Kombination mit Schulungen und Richtlinien, wie z. B. einer Richtlinie zur akzeptablen Nutzung, können Technologien, die sich mehr auf Daten konzentrieren und allgemeine anonymisierte Informationen erfassen, wie z. B. solche mit Funktionen zur Verhinderung von Datenverlusten oder Endpoint Detection and Response (EDR), die den Schutz von Endgeräten mit einer anonymisierten Verhaltensanalyse kombinieren, dazu beitragen, vor Anomalien und möglichen Datenschutzverletzungen zu warnen.

34% sind sich nicht im Klaren darüber, wie sie sicherstellen können, dass die Verträge mit den Lieferanten den Vorschriften entsprechen.

Verträge mit Drittanbietern sind im Hinblick auf die DSGVO wichtig, wenn sie personenbezogene Daten betreffen, z. B. wenn Sie eine SaaS-Lösung für HR, CRM usw. nutzen; wenn Sie eine Funktion an einen Dritten auslagern und dies die Weitergabe personenbezogener Daten beinhaltet, wie z. B. bei der Nutzung eines externen Gehaltsabrechnungsdienstes; oder wenn Sie von einem Dritten Informationen erhalten, die personenbezogene Daten enthalten.


Die Datenschutz-Grundverordnung stellt besondere Anforderungen an Verträge mit Dritten, um ein klares Verständnis der Rollen zwischen den Vertragsparteien (für die Datenverarbeitung Verantwortlicher oder Datenverarbeiter oder beide) und der sich daraus ergebenden Verantwortlichkeiten und Haftungen zu erreichen. Ein vorschriftsmäßiger Vertrag ist besonders wichtig, wenn ein Drittanbieter seinen Verpflichtungen aus der DSGVO nicht nachkommt, z. B. wenn es zu einer Datenschutzverletzung kommt. Der Lieferant kann dann zur Zahlung von Schadenersatz oder anderen Bußgeldern verpflichtet sein, während Sie Ihre betroffenen Personen weiterhin über den Vorfall informieren müssen.


Die Verträge müssen klar sein über:

  • den Gegenstand und die Dauer der Verarbeitung;

  • die Art und den Zweck der Verarbeitung;

  • die Art der personenbezogenen Daten und die Kategorien der betroffenen Personen; und

  • die Pflichten und Rechte des für die Verarbeitung Verantwortlichen.


Die Verträge müssen außerdem spezifische Bestimmungen oder Klauseln enthalten, die Folgendes vorsehen:

  • die Verarbeitung nur auf dokumentierte Weisung des für die Verarbeitung Verantwortlichen;

  • die Pflicht zur Vertraulichkeit;

  • angemessene Sicherheitsmaßnahmen;

  • Einsatz von Unterauftragsverarbeitern;

  • Rechte der betroffenen Personen;

  • Unterstützung des für die Verarbeitung Verantwortlichen;

  • Bestimmungen zum Vertragsende; und

  • Überprüfungen und Inspektionen..


Die DSGVO vermittelt den Unternehmen eine klare Botschaft in Bezug auf Drittanbieter - wählen Sie sie sorgfältig aus, erstellen Sie solide Verträge und stellen Sie sicher, dass sie die Einhaltung der DSGVO ernst nehmen.



Sind Ihre Daten sicher?


Ein ausreichender Schutz der in Ihrem Unternehmen gespeicherten personenbezogenen Daten ist ein zentraler Bestandteil der DSGVO. Artikel 5(1)(f) betrifft die "Integrität und Vertraulichkeit" personenbezogener Daten. Er besagt, dass personenbezogene Daten sein sollten:

"so verarbeitet werden, dass eine angemessene Sicherheit der personenbezogenen Daten, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Beschädigung, durch geeignete technische oder organisatorische Maßnahmen gewährleistet ist".

This means that your business must have appropriate security to prevent the personal data that it holds being accidentally or deliberately compromised. Yet shockingly:

21% hatten keine Cybersicherheitsstrategie.

Um den sich ständig weiterentwickelnden Cyber-Bedrohungen begegnen zu können, müssen Unternehmen einen integrierten Ansatz für die Cybersicherheit verfolgen - eine Cybersicherheitsstrategie -, die auf ihr jeweiliges Geschäfts- und Risikoprofil zugeschnitten ist und nicht nur die technischen Aspekte ihrer Verteidigung berücksichtigt, sondern auch die menschlichen und organisatorischen Elemente, die erforderlich sind, um die Vertraulichkeit, Integrität und Verfügbarkeit ihrer Informationen zu gewährleisten.


Auch wenn es bei der Ausarbeitung einer Cybersicherheitsstrategie kontraintuitiv erscheinen mag, sollten Unternehmen tatsächlich einplanen, wann Angriffe ihre Verteidigungsmaßnahmen durchbrechen werden. Wie viel Auswirkung ist zu viel und wie viel ist erträglich? Durch einen Risikomanagement-Ansatz, bei dem die Wahrscheinlichkeit bestimmter Bedrohungen und ihre relativen Auswirkungen verglichen werden, kann das Risikoprofil Ihres Unternehmens ermittelt werden. Kombiniert mit einer Lückenanalyse, um festzustellen, ob Ihre Verteidigungsmechanismen ausreichen, um Sie bis zu diesem Grad des "akzeptablen Risikos" zu schützen, können Sie die Bereiche erkennen, die Sie stärken müssen - sei es im Bereich der Prävention, der Erkennung und Reaktion oder der Wiederherstellung nach einem Verstoß.


Die DSGVO ist eigentlich gut für Ihr Unternehmen!

Auch wenn es zunächst den Anschein hat, dass Ihr Unternehmen noch mehr Vorschriften zu beachten und einzuhalten hat, ist die Datenschutz-Grundverordnung eine gute Sache. Sie ist ein Meilenstein, der die Erfordernisse der modernen Cybersicherheit mit teilweise jahrzehntealten Gesetzen zusammenführt, die eindeutig für eine andere Welt geschrieben wurden, wie z. B. das britische Datenschutzgesetz von 1984.


In einer Zeit, in der die Bedrohung der Privatsphäre sowohl durch Hacker als auch durch große Unternehmen so groß ist wie nie zuvor, wird ein Unternehmen, das sich proaktiv um die Einhaltung der Vorschriften bemüht - und infolgedessen über eine bessere Cybersicherheit und Datenhygiene verfügt -, das Vertrauen und die Loyalität seiner Kunden und Partner gleichermaßen stärken.

 

Steps to achieve GDPR compliance


1. Where does Personal Data exist? Evaluate and document your data flows and identify any which involves the processing of personal data.

  • Processing is defined as any operation or set of operations performed on personal data or sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaption/ alteration, retrieval, consultation, use, disclosure by transmission, dissemination/ making available, alignment/combination, restriction, erasure/destruction.

  • Regardless of how many data sources and technologies, whether the data is structured or unstructured, in motion or at rest, your business has to prove that it knows where personal data is and where it isn’t. 


2. What Personal Data exists? Identify and classify what types of personal data your business holds.

  • Personal data means any information relating to an identified or identifiable natural person (‘data subject’).

  • An identifiable natural person is someone who can be identified, directly or indirectly, by reference to an identifier such as a name, an identification number, location data, an online identifier, or to one or more factors specific to their physical, physiological, genetic, mental, economic, cultural or social identity.

  • Special category data reveals information about a person’s: racial or ethnic origin, political opinions, religious or philosophical beliefs, genetic data, biometric data (where used for identification purposes), sex life and sexual orientation. Note: Personal data about criminal allegations, proceedings or convictions is treated separately.


3. Why do you have this Personal Data? Identify lawful basis for the personal data you hold.

There are 6 lawful bases for processing and these are set out in Article 6(1). At least one of these must apply whenever you process personal data:

  • Consent: the data subject has given clear consent for you to process their personal data for one or more specific purposes;

  • Contract: processing is necessary for a contract you have with the data subject, or because they have asked you to take specific steps before entering into a contract;

  • Legal obligation: processing is necessary for you to comply with the law (not including contractual obligations);

  • Vital interests: processing is necessary to protect someone’s life;

  • Public task: processing is necessary for you to perform a task in the public interest or for your official functions, and the task or function has a clear basis in law;

  • Legitimate interests: processing is necessary for your legitimate interests (or those of a third party) unless there is a good reason to protect the data subject's personal data which overrides those legitimate interests such as where the data subject is a child;

If like many businesses consent is your lawful basis for processing someone's personal data, then you must keep clear records to demonstrate consent including making sure that any indication of consent is unambiguous and involves a clear affirmative action (an opt-in). GDPR specifically bans pre-ticked opt-in boxes and also requires distinct consent options for distinct processing operations.


Consent should be separate from other terms and conditions and should not generally be a precondition of signing up to a service. Any existing consent as well as mechanisms for consent need to be reviewed for compliance, and fresh consent obtained if required.


4. How are you securing this Personal Data? Identify what measures you have in place to protect the personal data against unauthorised or unlawful processing and against accidental loss, destruction or damage.

  • Identify and evaluate the measures in place to secure the personal data. Does the company’s security posture provide sufficient protection?

  • Perform gap-analysis and security testing to identify any vulnerabilities.

  • Put into action your plan to mitigate threats, patch vulnerabilities and strengthen effective security. Be aware of timelines and the risk to data subjects while vulnerabilities exist and carry out testing again to ensure that the vulnerabilities no longer remain and that no new vulnerabilties were introduced. 


5. Who is responsible for managing Data Protection in your organisation? Accountability is one of the data protection principles. It means you are responsible for complying with GDPR and and demonstrating compliance.

Organisational measures (as well as the technical measures) are required to be in place to meet the accountability requirements of GDPR:

  • Adopt and implement data protection policies;

  • Take a ‘data protection by design and default’ approach;

  • Ensure you have written contracts in place with organisations that process personal data on your behalf;

  • Document activities involving processing of personal data and perform data protection impact assessments where processing of personal data is likely to result in high risk to the interests of the data subject;

  • Appoint a data protection officer;

  • Train staff on data protection and adhere to relevant codes of conduct;

  • Have processes in place to deal with requests from data subjects;

  • Sign up to certification schemes;

  • Record and, where necessary, report breaches of personal data.


6. How are you demonstrating ongoing commitment to data protection and compliance with GDPR?

  • Prove that you are regularly auditing and checking to make sure you remain compliant.

  • Continuous security awareness and data protection training reinforces best practice security and data protection behaviours.

  • Demonstrate effective incident response by regularly practicing what to do in the event of a suspected breach, starting with detection mechanisms and a clear reporting process as well as having a well practised incident response team.

  • Maintain and update documentation in a timely manner, being sure to communicate to the relevant parties as required.

 
 

STRATEGIE BERATUNG & TRANSFORMATION

FOCAI hilft Unternehmen, ihre Technologie-, Cyber-Sicherheits-, und Unternehmenswachstums- Strategien auf  die nächste Stufe zu heben, indem es Lösungen der nächsten Generation mit Einblicken und Maßnahmen kombiniert.

FOCAI  © 2024

  • LinkedIn
  • Instagram
bottom of page