Wichtige Schritte zur erfolgreichen Einhaltung der DSGVO

1. Verstehen Sie die DSGVO-Anforderungen

Analyse der Grundprinzipien

Bevor Sie mit der Einhaltung der Vorschriften beginnen, ist es wichtig, die Grundprinzipien der DSGVO zu verstehen:

• • Legalität, Loyalität und Transparenz : Die Datenverarbeitung muss rechtmäßig, fair und transparent erfolgen.
  • Zweckbindung : Daten müssen für bestimmte, eindeutige und legitime Zwecke erhoben werden.
  • Datenminimierung : Es sollten nur die notwendigen Daten erhoben werden.
  • Genauigkeit : Die Daten müssen korrekt und aktuell sein.
  • Einschränkung der Erhaltung : Daten sollten nicht länger als nötig aufbewahrt werden.
  • Integrität und Vertraulichkeit : Die Daten müssen so verarbeitet werden, dass ihre Sicherheit gewährleistet ist.

Checkliste zum Verständnis

• Machen Sie sich mit den wichtigsten Artikeln der DSGVO vertraut.
• Informieren Sie sich über die Rechte der betroffenen Personen (Auskunftsrecht, Berichtigungsrecht, Löschungsrecht usw.).
• Informieren Sie sich über die Pflichten der für die Datenverarbeitung Verantwortlichen und Subunternehmer.

2. Benennen Sie einen Datenschutzbeauftragten (DSB)

Rolle des Datenschutzbeauftragten

Der Datenschutzbeauftragte spielt eine entscheidende Rolle bei der Einhaltung der DSGVO. Er ist für die Überwachung der Datenschutzstrategien und die Sicherstellung der Einhaltung der DSGVO-Anforderungen verantwortlich.

Checkliste für die Ernennung eines Datenschutzbeauftragten

• Stellen Sie fest, ob die Ernennung eines DSB für Ihr Unternehmen obligatorisch ist (abhängig von der Größe und Art der Verarbeitung).
• Ernennen Sie einen Datenschutzbeauftragten mit Fachkenntnissen im Datenschutzrecht und in der Datenschutzpraxis.
• Informieren und schulen Sie den Datenschutzbeauftragten über die spezifischen Verantwortlichkeiten im Zusammenhang mit der DSGVO.
• Teilen Sie der Datenschutzbehörde und der Öffentlichkeit die Kontaktdaten des DSB mit.

3. Daten zuordnen

Datenprüfung

Durch die Durchführung einer umfassenden Datenprüfung können Sie besser verstehen, welche Daten erfasst werden, wie sie verwendet werden und wer darauf zugreifen kann.

Beispiel für ein Datenaudit

• • Datenidentifizierung : Name, Adresse, E-Mail, Gesundheitsdaten usw.
  • Datenquellen : Online-Formulare, CRM-Datenbanken usw.
  • Verwendung der Daten : Marketing, Kundenservice, Personalmanagement usw.
  • Datenweitergabe : mit welchen Partnern oder Dienstleistern.

Mapping-Checkliste

• Identifizieren Sie alle verarbeiteten personenbezogenen Daten.
• Dokumentieren Sie Datenflüsse (Eingabe, Verarbeitung, Ausgabe).
• Aktualisieren Sie die Datenzuordnung regelmäßig.

4. Risiken einschätzen und Sicherheitsmaßnahmen implementieren

Risikobewertung

Analysieren Sie die mit der Verarbeitung personenbezogener Daten verbundenen Risiken, um deren Schutz zu gewährleisten.

Beispiel einer Risikobewertung

• Risiko : Unbefugter Zugriff auf vertrauliche Daten.
• Mögliche Auswirkungen : Verlust der Vertraulichkeit, Rufschädigung.
• Vorbeugende Maßnahmen : Datenverschlüsselung, starke Authentifizierung.

Sicherheitscheckliste

• Führen Sie bei Verarbeitungen mit hohem Risiko eine Datenschutz-Folgenabschätzung (DSFA) durch.
• Implementieren Sie technische (Verschlüsselung, Firewalls) und organisatorische (Datenschutzrichtlinien) Sicherheitsmaßnahmen.
• Implementieren Sie Verfahren zum Erkennen, Melden und Verwalten von Datenschutzverletzungen.

5. Datenschutzrichtlinien und Verträge aktualisieren

Datenschutzrichtlinien

Datenschutzrichtlinien sollten transparent und verständlich sein und die Benutzer darüber informieren, wie ihre Daten verarbeitet werden.

Beispiel für eine Aktualisierung der Datenschutzrichtlinie

• Vor : „Wir erfassen Ihre Daten, um unsere Dienste zu verbessern.“
• Nach : „Wir erfassen Ihren Namen, Ihre Adresse und Ihre E-Mail-Adresse, um Ihr Erlebnis zu personalisieren und Ihnen maßgeschneiderte Angebote zu unterbreiten. Ihre Daten werden 2 Jahre lang gespeichert.“

Checkliste aktualisieren

• Überprüfen und aktualisieren Sie Datenschutzrichtlinien, um sicherzustellen, dass sie DSGVO-konform sind.
• Stellen Sie sicher, dass die Richtlinien die Benutzerrechte und deren Ausübung klar erläutern.
• Aktualisieren Sie Verträge mit Subunternehmern, um Klauseln zur Einhaltung der DSGVO aufzunehmen.

6. Einholen der Benutzereinwilligung

Ausdrückliche Zustimmung

Die Zustimmung des Benutzers muss freiwillig, spezifisch, informiert und eindeutig sein.

Beispiel für die Einholung von Einwilligungen

• Vor : ein bereits aktiviertes Kontrollkästchen zum Empfangen von Newslettern.
• Nach : ein nicht angekreuztes Kästchen mit einer klaren Erklärung: „Ich möchte Newsletter von [Firmenname] erhalten.“

Checkliste für die Einwilligung

• Stellen Sie sicher, dass für jeden spezifischen Zweck ausdrücklich eine Einwilligung erteilt wird.
• Dokumentieren und bewahren Sie den Nachweis der Einwilligung auf.
• Ermöglichen Sie Benutzern, ihre Einwilligung einfach zu widerrufen.

7. Mitarbeiter schulen

Sensibilisierung und Schulung

Alle Mitarbeiter müssen auf die DSGVO-Verpflichtungen aufmerksam gemacht und in bewährten Datenschutzpraktiken geschult werden.

Beispiel-Trainingsprogramm

• Trainingseinheit : Einführung in die DSGVO, individuelle Rechte, Unternehmenspflichten.
• Praktische Übung : Szenarien für die Verwaltung von Anfragen zum Zugriff auf und zur Berichtigung von Daten.

Schulungscheckliste

• Entwickeln Sie ein auf jede Abteilung zugeschnittenes DSGVO-Schulungsprogramm.
• Organisieren Sie regelmäßige Schulungen und Sensibilisierungssitzungen.
• Bewerten Sie das Verständnis und die Anwendung des erworbenen Wissens.

8. Verfahren zur Verwaltung der Rechte des Einzelnen einrichten

Rechteverwaltung

Unternehmen müssen über Verfahren verfügen, um Anfragen zur Ausübung der Rechte von Einzelpersonen (Zugriff, Berichtigung, Löschung, Portabilität usw.) wirksam zu verwalten.

Beispiel für Rechteverwaltung

• Auskunftsrecht : Antwort auf eine Anfrage zum Zugriff auf Daten innerhalb von 30 Tagen.
• Recht auf Berichtigung : Korrektur ungenauer Daten innerhalb von 15 Tagen.

Checkliste für die Rechteverwaltung

• Richten Sie ein System zum Empfangen und Verarbeiten von Anfragen von Einzelpersonen ein.
• Stellen Sie sicher, dass Anfragen umgehend und vollständig beantwortet werden.
• Dokumentieren Sie alle Anfragen und bereitgestellten Antworten.

9. Kontinuierliche Überwachung und Überprüfung

Regelmäßiges Audit

Die Einhaltung der DSGVO ist keine einmalige Maßnahme, sondern ein fortlaufender Prozess, der regelmäßige Prüfungen erfordert.

Beispiel-Auditplan

• Vierteljährliche Prüfung : Überprüfung der Umsetzung von Vertraulichkeitsrichtlinien, Überprüfung der Sicherheitsmaßnahmen.
• Jahresabschlussprüfung : Gesamtbewertung der DSGVO-Konformität, Prozessaktualisierung.

Checkliste für kontinuierliche Audits

• Planen und führen Sie regelmäßige interne Audits durch.
• Korrigieren Sie festgestellte Nichtkonformitäten und verbessern Sie Prozesse.
• Aktualisieren Sie Richtlinien und Verfahren entsprechend den gesetzlichen und technologischen Änderungen.