So verliert die DS-GVO ihren Schrecken ...

Jetzt aber ran an den Feind Teil 2: Erste Umsetzungsschritte zur DS-GVO

Es gibt zurzeit ein Thema, das nicht nur viele Unternehmen und Freiberufler umtreibt, sondern auch Verantwortliche in Vereinen und Verbänden beschäftigt bzw. beschäftigen sollte: die Datenschutz-Grundverordnung, kurz DS-GVO, die am 25. Mai in Kraft tritt. Was sich da gerade für viele auftut, ist ein Berg an Fragen und Arbeit.

Das sollte man wissen:

• Gefordert sind alle, die in irgendeiner Form personenbezogene Daten, z. B. von Kunden, Mitgliedern oder Mitarbeitern, verarbeiten.
• Künftig reicht es nicht mehr aus, die Einhaltung von datenschutzrechtlichen Vorgaben lediglich sicherzustellen.
• Mit Einführung der DS-GVO müssen die Verantwortlichen die Verzeichnisse von Verarbeitungstätigkeiten jederzeit und vollständig für die Aufsichtsbehörden vorhalten können, ansonsten droht ein Bußgeld bis zu 4 % des globalen Vorjahres-Konzernumsatzes!

 

Nun ist mir noch niemand begegnet ist, der mit Lust und Laune an dieses Thema herangeht. Was liegt also näher, als es für ein praktisches Beispiel zu meinem Newsletter-Artikel „Jetzt aber ran an den Feind - kommen Sie ins Handeln" » zu verwenden? :-)

Ein wichtiger Hinweis: Die beschriebene Vorgehensweise stellt keine Beratung dar! Es handelt sich lediglich um einen Vorschlag, wie Sie sich dem Thema DS-GVO annähern können und soll Ihnen den Einstieg erleichtern.

 Tipp 1 – Handeln Sie einen 10-Minuten-Deal mit sich selbst aus - fangen Sie an!

Zum Aufwärmen darf es ruhig etwas sein, was kaum Probleme bereitet. Nehmen Sie sich am besten einen breiten Ordner zur Hand, beschriften ihn eindeutig mit „Datenschutz" oder „DS-GVO" und legen IHREN Datenschutz-Ordner an.
Auch um das Innenleben wird sich gleich gekümmert – für das Beschriften der ersten Trennblätter reichen die 10 Minuten ganz bestimmt aus. Sinnvolle Rubriken können zu Beginn sein:

• Info-Material
• besuchte Info-Veranstaltungen (entsprechende Nachweise können bei Nachfragen durch die Aufsichtsbehörde sehr nützlich sein)
• Verträge zur Auftragsdatenverarbeitung (kurz ADV)
• Verzeichnisse von Verarbeitungstätigkeiten
• Checklisten, z. B. Checkliste zum Datenschutz im Unternehmern von Datenschutz.org (pdf) oder Fragebogen des Bayerischen Landesamtes für Datenschutzaufsicht (pdf)

Ja, tatsächlich, Sie haben den ersten Schritt geschafft! Na klar dürfen Sie stolz auf sich sein ;-)

Tipp 2 – Machen Sie kleine Schritte

Mögliche Arbeitspakete könnten u. a. folgende Fragen beantworten:


Erstes 90-Minuten-Paket:
Wer ist innerhalb des Unternehmens/des Vereins für dieses Thema zuständig?
Ist die Bestellung eines Datenschutzbeauftragten erforderlich?

• Ja, wenn z. B. mehr als 10 Beschäftigte mit der Datenverarbeitung zu tun haben (hier müssen auch Teilzeitbeschäftigte und 450-Euro-Jobber mitgezählt werden).
• Auch die Art der Daten, die verarbeitet werden, kann ausschlaggebend sein (z. B. genetische Daten, Gesundheitsdaten etc.).

Zweites 90-Minuten-Paket:
Transparenz schaffen und Bestandsaufnahme der Abläufe machen - welche Daten werden wann, von wem, wo verarbeitet?

• Überprüfen, wie Kundendaten abgelegt werden. Hilfreich ist eine Liste mit allen verwendeten Programmen und Tools, mit denen personenbezogene Daten gespeichert werden (z. B. E-Mail-Programm, Zeiterfassungssystem, CRM-System, Personalverwaltung)
• Nach Datenart unterscheiden, z. B. Kundendaten, Mitarbeiterdaten
• Sind Dienstleister beteiligt?

Drittes 90-Minuten-Paket:
Verzeichnis von Verarbeitungstätigkeiten erstellen – was muss enthalten sein?

• Muster besorgen, z. B. Mustervertrag des Bayerischen Landesamtes für Datenschutzaufsicht

Viertes 90-Minuten-Paket:
Haben Sie externe Dienstleister, sog. Auftragsverarbeiter, eingeschaltet, die für Sie personenbezogene Daten Dritter verarbeiten?
Beispiele hierfür sind

• Ihr Newsletter-Anbieter
• Ihr Cloud-Anbieter
• externe Rechenzentren
• Ihr/e Steuerberater/in

Wenn ja, sind mit diesen Dienstleistern sog. Auftragsverarbeitungsverträge abzuschließen, z. B. Mustervertrag des Bayerischen Landesamtes für Datenschutzaufsicht

Fünftes 90-Minuten-Paket:
Welche Anforderungen stellt die DS-GVO an Ihre Webseite? Z. B.

• Ist eine DS-GVO-konforme Datenschutzerklärung enthalten? Wenn nein, entsprechend anpassen.
• Sind die Pflichtangaben im Impressum vorhanden? Wenn nein, unbedingt ergänzen.
• Gibt es eine Transportverschlüsselung (https)? Ein SSL-Zertifikat benötigen Sie z. B. bei einem Login über die Webseite, einem Kontaktformular oder einem Online-Shop).

Tipp 3 – Realistisch bleiben

Welche Arbeitsmenge passt tatsächlich in ein 90-Minuten-Paket?

• Liegen mir alle Informationen, die ich benötige oder sprengen weitere Recherchearbeiten meinen Zeitplan.
• Mit welchen Unterbrechungen muss ich rechnen – kann ich die ggf. im Vorfeld abstellen?
• Sind die Kollegen/Mitarbeiter informiert und können mich unterstützen oder mir den Rücken freihalten

Tipp 4 – Suchen Sie sich Muntermacher

• Tauschen Sie sich mit Menschen aus Ihrem Netzwerk aus - was haben sie schon unternommen?
• Besuchen Sie gemeinsam Vorträge zum Thema.
• Organisieren Sie gemeinsam eine Info-Veranstaltung in Ihrer Firma.
• Verabreden Sie sich zu einem Arbeitstreffen und erstellen z. B. gemeinsam erste Verzeichnisse von Verarbeitungstätigkeiten

 
Tipp 5 – Manchen mögen's mit Druck

Tja, hier gibt es nichts mehr schönzureden. Ob Sie Druck nun mögen oder nicht, danach werden Sie bei diesem Thema wohl nicht mehr gefragt :-(
Der Termin steht – am 25. Mai 2018 tritt die DS-GVO in Kraft – daran gibt es nichts mehr dran zu rütteln :-)

Tipp 6 – Raus aus dem Motivationsloch

Rechtzeitiges Handeln zahlt sich aus
Dokumentieren Sie Ihre Anstrengungen, z. B.

• zu welchem Seminar/Vortrag Sie gegangen sind,
• welche Verträge Sie mit Dienstleistern geschlossen haben,
• wann Sie welche Firewall installiert haben.

Bei guter Dokumentation besteht die Chance, ohne Bußgeld davonzukommen.

Durch Transparenz der Abläufe besseren Einblick gewinnen und nutzen:

• Wo können die Abläufe effizienter werden?
• Warum Kundendaten an drei verschiedenen Stellen speichern?
• Wo bestehen generelle Sicherheitslecks?

 
Tipp 7 – Der Klassiker zum Schluss: Belohnen Sie sich am Ende des Tages

Gönnen Sie sich etwas Tolles, Sie haben es sich verdient!!!

 

Natürlich sind die Arbeiten rund um das Thema Datenschutz-Grundverordnung damit nicht erledigt. Doch Sie haben einen Anfang gemacht, der Grundstein ist gelegt, Sie haben Ihrer Unlust ein Schnippchen geschlagen.
Die Notwendigkeit, sich mit der DS-GVO beschäftigen zu müssen, ist nun allen bewusst. Gezeigt hat sich aber sicher auch, dass man nicht allein damit ist und das auch dieser Berg zu bewältigen ist.

Empfehlenswert:

• Broschüre „Erste Hilfe zur Datenschutz-Grundverordnung für Unternehmen und Vereine" – herausgegeben vom Bayerischen Landesamt für Datenschutzaufsicht, ISBN 978-3-406-71662-1, Preis: 5,50 €