Tipps

Tipps & Tricks zur Einhaltung der GDPR

1. Beginnen Sie jetzt mit den Vorbereitungen

Falls noch nicht geschehen, sollten Sie sofort mit den Vorbereitungen beginnen.

2. Kontext

Die Verordnung basiert auf drei Hauptgedanken: dem Schutz personenbezogener Daten, dem Schutz der Rechte und Freiheiten der Menschen beim Schutz ihrer Daten und der Begrenzung des Verkehrs personenbezogener Daten innerhalb der Europäischen Union.

3. Sensibilisierung der gesamten Organisation

Die GDPR forderte die Unternehmen auf, so bald wie möglich mit den Vorbereitungen zu beginnen. Jetzt ist sie bereits in Kraft, aber viele sind nicht oder nicht ausreichend vorbereitet. Dies zeigt sich später an den vom Information Commissioner verhängten Strafen für die Nichteinhaltung.

Schlüsselpersonen und Entscheidungsträger müssen sich der GDPR-Gesetzgebung bewusst sein, damit sie die potenziellen Auswirkungen verstehen und Bereiche identifizieren können, die für die Einhaltung der Vorschriften Aufmerksamkeit erfordern. Beginnen Sie mit einem Blick in Ihr Risikoregister, falls Sie eines haben.

4. Prüfen Sie personenbezogene Daten

Dokumentieren Sie, welche personenbezogenen Daten Sie besitzen, woher sie stammen und mit wem Sie sie teilen. Die Datenschutz-Grundverordnung macht Unternehmen dafür verantwortlich, die Einhaltung der Datenschutzgrundsätze nachzuweisen, indem sie zum Beispiel über wirksame Richtlinien und Verfahren verfügen.

Wenn Sie feststellen, dass Sie unrichtige personenbezogene Daten an andere Organisationen weitergegeben haben, liegt es in Ihrer Verantwortung, die andere Organisation über diese Unrichtigkeit zu informieren, damit auch sie ihre eigenen Aufzeichnungen korrigieren kann.

Alle Daten, die zur Identifizierung einer Person verwendet werden können oder die mit identifizierenden Informationen verknüpft sind, werden als "personenbezogene Daten" betrachtet und fallen unter die DSGVO-Verordnung.

5. Trennen Sie sich von Daten, die Sie nicht mehr benötigen

"Das Bereinigen" Ihrer Daten hilft Ihnen, sich auf die wichtigen Informationen und Kennzahlen zu konzentrieren, die zur Wertschöpfung zwischen einem Unternehmen und seinen Kunden dienen

6. Aktualisieren Sie Ihren Datenschutzhinweis

Wenn Sie personenbezogene Daten erheben, verwenden Sie wahrscheinlich einen Datenschutzhinweis, der Informationen wie Ihre Identität und die beabsichtigte Verwendung der Daten enthält. Nach der Datenschutz-Grundverordnung müssen Sie den Menschen einige zusätzliche Dinge mitteilen, wie z. B:

• Ihre Rechtsgrundlage für die Verarbeitung der Daten
• Ihre Datenaufbewahrungsfristen
• ihr Recht, sich bei der ICO zu beschweren, wenn sie der Meinung sind, dass es ein Problem mit der Verarbeitung ihrer Daten gibt

7. . Überprüfen Sie Ihre Verfahren zur Unterstützung der Rechte von Personen

Das Wichtigste hierbei ist, dass Sie sicherstellen, dass Sie über Verfahren verfügen, mit denen Sie z. B. der Bitte einer Person nachkommen können, ihr die über sie gespeicherten Daten elektronisch und in einem gängigen Format zur Verfügung zu stellen.

Die wichtigsten Rechte für Einzelpersonen im Rahmen der Datenschutz-Grundverordnung sind:

• Zugang zu den Daten zu gewähren
• die Berichtigung von Ungenauigkeiten
• die Löschung von Informationen zu verlangen
• Direktmarketing zu verhindern
• automatisierte Entscheidungsfindung und Profilerstellung zu verhindern
• die Übertragbarkeit von Daten zu ermöglichen (wie im obigen Absatz beschrieben)

8. Überprüfen Sie Ihre Verfahren zur Unterstützung von Anträgen auf Zugang zu personenbezogenen Daten

Anträge auf Zugang zu personenbezogenen Daten können für viele Unternehmen ein logistisches/administratives Problem darstellen.

Sie können keine Gebühren für die Beantwortung angemessener Anfragen erheben und haben nur einen Monat Zeit, diesen nachzukommen. Außerdem gibt es verschiedene Gründe für die Verweigerung des Zugangs zu personenbezogenen Daten, und wenn Sie eine Anfrage ablehnen, müssen Sie über Strategien und Verfahren verfügen, um nachzuweisen, warum die Anfrage diese Kriterien erfüllt.

9. Identifizieren und dokumentieren Sie Ihre Rechtsgrundlage für die Verarbeitung personenbezogener Daten

Sie müssen die verschiedenen Arten der Datenverarbeitung, die Sie durchführen, verstehen, Ihre Rechtsgrundlage für die Durchführung der Verarbeitung ermitteln und dokumentieren.

10. Überprüfen Sie, wie Sie Einwilligungen einholen und dokumentieren.

Wenn Sie sich auf die Einwilligung von Personen zur Verarbeitung ihrer Daten stützen, stellen Sie sicher, dass diese den von der DSGVO geforderten Standards entspricht. Ist dies nicht der Fall, ändern Sie Ihre Einwilligungsmechanismen oder finden Sie eine Alternative zur Einwilligung. Die Datenschutz-Grundverordnung besagt eindeutig, dass die für die Datenverarbeitung Verantwortlichen in der Lage sein müssen, nachzuweisen, dass die Einwilligung erteilt wurde.

Möglicherweise müssen Sie Ihre Systeme zur Aufzeichnung der Einwilligung überprüfen und sicherstellen, dass Sie über einen wirksamen Prüfpfad verfügen

11. Unzweideutige Einwilligung" wird das Marketing beeinflussen

Eine der wichtigsten Bestimmungen der DSGVO ist die Einführung einer eindeutigen Einwilligung", bevor persönliche oder verhaltensbezogene Daten von Nutzern für Marketingzwecke verwendet werden dürfen. Bei der ersten Kontaktaufnahme mit Personen ist es wichtig, dass diese alle Aspekte verstehen, denen sie zustimmen, wenn sie Informationen über sich selbst preisgeben.

12. Überprüfen Sie die Daten, die Sie über Kinder haben

Die GDPR sieht einen besonderen Schutz für die personenbezogenen Daten von Kindern vor. Wenn Ihre Organisation Informationen über Kinder unter 13 Jahren sammelt, benötigen Sie die Zustimmung der Eltern/Erziehungsberechtigten, um deren Daten rechtmäßig zu verarbeiten.

13. Einführung von Verfahren zur Erkennung, Meldung und Untersuchung einer Verletzung des Schutzes personenbezogener Daten

Die Datenschutz-Grundverordnung schreibt vor, dass alle Organisationen das ICO über alle Datenschutzverletzungen informieren müssen, bei denen die betroffene Person wahrscheinlich in irgendeiner Form geschädigt wird, z. B. durch Identitätsdiebstahl oder eine Verletzung der Vertraulichkeit.

Sie müssen Verfahren zur Erkennung, Meldung und Untersuchung von Datenschutzverletzungen einrichten.

Das Versäumnis, eine Verletzung zu melden, kann eine Geldstrafe nach sich ziehen, ebenso wie eine Geldstrafe für die Verletzung selbst.

14. Verfahren zur Reaktion auf Datenschutzverletzungen testen

Es gibt eine 72-Stunden-Frist für die Benachrichtigung einer lokalen Datenschutzbehörde (DPA) über eine Datenschutzverletzung, die den betroffenen Personen Schaden zufügen könnte. Die DSGVO schreibt vor, dass betroffene Personen "ohne unangemessene Verzögerung" benachrichtigt werden müssen. Testen Sie regelmäßig die Verfahren zum Umgang mit Datenschutzverletzungen und Antworten auf Anfragen von Betroffenen, um sicherzustellen, dass die Mitarbeiter diese Fristen einhalten können. Sie sollten wissen, wie sie eine Datenschutzverletzung intern erkennen und melden können, und es sollte klar sein, wer für die Kommunikation mit der Datenschutzbehörde und den Kunden zuständig ist.

15. Es gibt keine Grenzen

Wenn Ihr Unternehmen in der EU Daten über EU-Bürger erhebt, gilt die DSGVO, unabhängig davon, wo Sie sich befinden.

16. Übermittlung außerhalb der EU

Die Übermittlung von Daten in Drittländer unterliegt strengen Beschränkungen. Die Europäische Kommission legt fest, in welche "Drittländer" bzw. in welche Sektoren oder Organisationen in diesen Ländern personenbezogene Daten übermittelt werden dürfen.

17. Überprüfen Sie Ihre Verfahren für Datenschutz-Folgenabschätzungen (DPIAs)

In einer risikoreichen Situation, wie z. B. bei der Einführung einer neuen Technologie oder in Fällen, in denen der Betrieb wahrscheinlich erhebliche Auswirkungen auf Einzelpersonen hat, kann es erforderlich sein, eine Datenschutz-Folgenabschätzung (PIA) durchzuführen.

Überlegen Sie, wo in Ihrer Organisation eine Datenschutzfolgenabschätzung erforderlich sein könnte. Wer wird sie durchführen? Wer muss sonst noch einbezogen werden? Soll das Verfahren zentral oder lokal durchgeführt werden?

18. Ernennung eines Datenschutzbeauftragten (DSB)

Wenn Ihre Organisation 250 oder mehr Mitarbeiter beschäftigt, eine Behörde ist oder in großem Umfang mit der regelmäßigen und systematischen Überwachung von betroffenen Personen befasst ist, sollten Sie einen Datenschutzbeauftragten ernennen. Der behördliche Datenschutzbeauftragte sollte die Verantwortung für die Einhaltung der Datenschutzbestimmungen übernehmen und über das Wissen, die Unterstützung und die Befugnisse verfügen, um dies effektiv zu tun.

19. GDPR-Konformität durch Design

Wenn Sie alle GDPR-Prozesse so gestalten, dass sie mit der Verordnung übereinstimmen, müssen Sie es nur einmal tun, damit es richtig ist. GDPR ist eine langfristige Perspektive für Unternehmen, um die von Kunden gesammelten Daten zu regulieren. Das Internet der Dinge und Big Data ist keine Bewegung, sondern eine Weiterentwicklung der Art und Weise, wie Menschen miteinander und mit ihrer physischen Umgebung in Kontakt treten. Wenn Sie von Anfang an GDPR-konform sind, brauchen Sie die Tipps nur einmal zu lesen und können Ihr Unternehmen auf die GDPR vorbereiten.

20. Verwenden Sie GDPR-konforme Software

Viele Softwareanbieter, insbesondere Cloud-Service-Anbieter, haben ihre Apps und Software aktualisiert, um mit der GDPR-Gesetzgebung konform zu sein. Sprechen Sie mit Ihrem derzeitigen oder dem von Ihnen gewählten Anbieter, um herauszufinden, wie seine Software mit der GDPR-Konformität zusammenarbeitet und welche Tipps er für die effektive Verwaltung Ihrer Daten hat.

Eine wichtige Frage für Cloud-Anbieter ist, wo sie Ihre Daten speichern (ein Rechenzentrum haben) - innerhalb oder außerhalb der EU.

Praktische Implementierungen für die Einhaltung der GDPR

Öffentliche Seiten

• Datenschutzrichtlinie - Kerndokument, in dem Sie die Einhaltung der GDPR darlegen, z. B:
  • Welche persönlichen und nicht-persönlichen Daten Sie sammeln
  • Warum sammeln Sie sie?
  • Wie lange werden die Daten gespeichert (sie sollten nicht länger gespeichert werden, als es für die Zwecke, für die sie erhoben wurden, erforderlich ist)
  • Internationale Übermittlung in andere Länder
  • Rechte der Nutzer in Bezug auf ihre Daten
  • Wie die Daten geschützt werden
  • Juristische Adresse, Kontaktinformationen und Kontaktinformationen für den DSB
• Bedingungen und Konditionen

Registrierungsseite

• Datenminimierung - die Felder für die Datenerfassung sollten minimal und nur für notwendige Informationen sein
• Klare Zustimmungsoption
• Kontrollkästchen für die Allgemeinen Geschäftsbedingungen und die Datenschutzrichtlinie
• Marketing-Kontrollkästchen, wenn Sie Marketingaktivitäten planen

Benutzerprofil-Seite

• Der Nutzer sollte die Möglichkeit haben, seine Daten zu ändern/zu korrigieren (direkt oder indirekt)
• Der Nutzer hat das Recht, sein Konto zu löschen (direkt oder indirekt)
• Recht auf Einschränkung der Verarbeitung. Auf Wunsch des Nutzers sollten seine persönlichen Daten nicht mehr öffentlich zugänglich sein, auch nicht für andere Nutzer und sogar nicht für Systemadministratoren.
• Der Nutzer hat das Recht, dass seine Daten exportiert und/oder an einen anderen für die Verarbeitung Verantwortlichen übermittelt werden.
• Detaillierte Einwilligung. Der für die Verarbeitung Verantwortliche muss in der Lage sein, die erhaltene Einwilligung nachzuweisen.
• Möglichkeit, die Einwilligung für bestimmte Aktionen zu erteilen/zu widerrufen (z. B. Marketing-Mails)

Zusätzliche Funktionen

• Wenn die Daten nicht mehr benötigt werden, müssen sie gelöscht oder anonymisiert werden.
• Der für die Verarbeitung Verantwortliche muss alle anderen Verarbeiter von Nutzerdaten über die oben genannten Maßnahmen informieren (Antrag auf Änderung, Löschung, Einschränkung der Verarbeitung usw.)

Organisatorische Maßnahmen zum Schutz der Daten

• Wichtige Richtlinien und Dokumente
  • Datenschutzpolitik
  • Aufzeichnungen über Verarbeitungstätigkeiten
  • Politik zur Reaktion auf Sicherheitsvorfälle
  • Richtlinie zur Datenaufbewahrung

Wünschenswerte Richtlinien (können in einem oder mehreren Dokumenten zusammengefasst werden)

• Disaster Recovery und Geschäftskontinuität
• Richtlinie zur Datenvernichtung
• Backup-Richtlinie
• Beschäftigungsprozess
• Richtlinie zur Systemzugangskontrolle
• SLA
• Richtlinie für den Lebenszyklus der Softwareentwicklung
• Eskalationsverfahren
• Kryptographische Kontrollpolitik
• Kodierungsstandards
• Rollout-Verfahren

Technische Maßnahmen zum Schutz der Daten

Die Datenschutz-Grundverordnung schreibt nicht ausdrücklich vor, welche Maßnahmen Sie ergreifen müssen. Sie verlangt jedoch, dass der für die Verarbeitung Verantwortliche angemessene technische und organisatorische Maßnahmen ergreift.

• Zugangskontrolle (physisch und technisch)
• Verschlüsselung von
  • Daten im Ruhezustand (ganze Festplatte, Datenbankverschlüsselung)
  • Daten bei der Übertragung (HTTPS, IPSec, TLS, PPTP, SSH)
  • Backups
• Firewalls
• VPN-Zugang
• Erkennung von Eindringlingen
• Schutz vor Eindringlingen
• Gesundheitsüberwachung
• Passwort-Anforderungen
• 2-Faktor-Authentifizierung
• Antivirus
• Andere Maßnahmen, je nach verwendetem System

Besondere Punkte, die die Einschaltung von Rechtsanwälten erfordern können

• Die DSGVO verbietet standardmäßig die Verarbeitung besonderer Daten. Wenn Sie jedoch eine der in Artikel 9 Absatz 2 genannten Bedingungen erfüllen, können Sie diese Daten weiterhin verarbeiten.
• Für für die Verarbeitung Verantwortliche oder Auftragsverarbeiter, die nicht im EU-Raum registriert sind, muss ein Bevollmächtigter benannt werden.
• Der für die Verarbeitung Verantwortliche ist für seine Unterauftragnehmer verantwortlich. Sie müssen die Datenschutzgrundverordnung einhalten, unabhängig davon, wo sie sich befinden.
• Unterauftragnehmer dürfen ohne die schriftliche Zustimmung des für die Verarbeitung Verantwortlichen keine Dienste eines anderen in Anspruch nehmen. Dies gilt natürlich nur für den Bereich der Zusammenarbeit mit dem für die Verarbeitung Verantwortlichen.
• Schwerwiegende Einschränkungen bei der Datenübermittlung. Dies gilt auch für die Datenspeicherung bei Anbietern von Cloud-Diensten.
• Datenschutzbeauftragter (DSB)