05.03.2018 von

DSGVO: 12 Schritte zur Umsetzung in der Praxis – Implementierung

- 1 Kommentar

Mit dieser Schritt-für Schritt-Anleitung bereiten Sie Ihr Unternehmen auf die Datenschutz-Grundverordnung vor. Die letzten sieben Schritte helfen Ihnen, die DSGVO konkret in Ihrem Unternehmen zu implementieren.

Lukas Feiler leitet das Team für IT-Recht bei Baker McKenzie in Wien. Er ist Autor folgender Bücher zur Datenschutz-Grundverordnung: 

 

Die letzten sieben Schritte im Wortlaut

Lukas Feiler: Willkommen auf www.digitalwave.at! Heute darf ich fortsetzen an die letzte Folge, wo wir begonnen hatten, 12 Schritte zu erörtern, die notwendig sind, um die DSGVO in der Praxis im Unternehmen zu implementieren (zum Volltext der Datenschutz-Grundverordnung) . Im Rahmen der heutigen Folge darf ich die letzten sieben Schritte dieses Umsetzungsplans vorstellen, mit denen Sie die DSGVO konkret implementieren.

Schritt 6: Informationen über alle Datenverarbeitungsprozesse erheben

Schritt 6 besteht darin, im Detail Informationen darüber zu erheben, was das Unternehmen mit personenbezogenen Daten tut: Für jede Verarbeitungstätigkeit – ob das die Personalverwaltung, das Kundenbeziehungsmanagement oder das Beschaffungswesen ist – im Detail zu erheben: Welche Daten werden für welche Zwecke verarbeitet, wie lange aufbewahrt, an wen übermittelt, auf welcher Rechtsgrundlage verarbeitet? Gibt es Auftragsverarbeiter, wenn ja, wie sehen hier die Verträge aus?

Es ist also eine Fülle von Informationen für jede Verarbeitungstätigkeit zu erheben. Das ist ein ganz, ganz wesentlicher und in vielen Fällen auch der aufwendigste Teil der DSGVO-Implementierung: Herauszufinden, was tue ich überhaupt mit meinen Daten? Denn das ist notwendig, um dann auch den nächsten Schritt 7 entsprechend anzugehen, nämlich das Verzeichnis der Verarbeitungstätigkeiten zu erstellen.

Schritt 7: Verzeichnis der Verarbeitungstätigkeiten erstellen

In diesen sind dann all jene Informationen zu erfassen, die man im Schritt 6 erhoben hat. Hier wird wirklich dokumentiert: Was macht das Unternehmen mit personenbezogenen Daten? Die Dokumentation muss auf eine Art und Weise erfolgen, die das Unternehmen dann auf Anfrage der Datenschutzbehörde offenlegen kann.

Insbesondere in einem Konzernkontext kann sich die Frage stellen, ob man vielleicht das Verzeichnis nicht auf Deutsch, sondern auch auf Englisch führt. Das sind Dinge, die in jedem
Mitgliedstaat mit der Datenschutzbehörde abzuklären wären, aber grundsätzlich gilt, dass – das kann man jedenfalls für Österreich sagen – in der Vergangenheit die österreichische Datenschutzbehörde kein Problem mit der englischen Sprache hatte.

Schritt 8: Rechtmäßigkeit der Verarbeitungstätigkeiten absichern

Schritt 8 besteht dann schließlich darin, sich zu fragen: Darf ich das, was ich hier tue, denn überhaupt? Die gute Nachricht, die ich gleich vorab geben darf ist: Grundsätzlich geht fast alles,
die Frage ist immer nur wie. Wie müssen meine Prozesse vielleicht geringfügig angepasst werden? Vielleicht ist an manchen Stellen eine Einwilligung der Betroffenen erforderlich. Aber mit ein bisschen Gestaltungswillen und Innovation – auch rechtlicher Innovation – kann sehr sehr viel datenschutzrechtlich abgebildet werden.

Insbesondere muss man allenfalls Zustimmungserklärungen anpassen, sich die Datenschutzmitteilungen ansehen, die das Unternehmen gegenüber den Betroffenen zugänglich macht,  schauen, welche Auftragsverarbeiter-Vereinbarungen es mit externen Dienstleistern gibt, und zu guter Letzt, wenn es Datenübermittlungen in Drittländer außerhalb der Europäischen Union gibt, entsprechende Vorkehrungen treffen.

Schritt 9: Datenschutz-Folgenabschätzungen durchführen

Schritt 9 bedeutet, Privacy Impact Assessments durchzuführen oder auch auf Deutsch Datenschutzfolgenabschätzungen genannt. Für jene Datenverarbeitungen, die nach erster Betrachtung ein hohes Risiko darstellen, ist eine solche detaillierte Auseinandersetzung mit der Rechtmäßigkeit und Verhältnismäßigkeit der Datenverarbeitung erforderlich. Hier muss wirklich ganz konkret dokumentiert werden: Welche Risiken gibt es für die Betroffenen und wie werden diese durch entsprechende Abhilfemaßnahmen gemindert?

Ziel ist, am Ende eine gesamtheitliche Risikobewertung für diese Verarbeitungstätigkeit vornehmen zu können. Nur in jenen Fällen, wo man wirklich zum Ergebnis kommt, dass das Risiko trotz aller Sicherheitsmaßnahmen hoch ist, wäre eine vorherige Konsultation mit der Datenschutzbehörde erforderlich.

Schritt 10: Datenschutzrelevante Unternehmensrichtlinien erstellen

Schritt 10 besteht darin, Datenschutz in das Unternehmen hineinzutragen, indem man mit Unternehmensrichtlinien gewisse Dinge einmal klar regelt. Dazu gehört auch eine allgemeine Richtlinie zum Umgang mit personenbezogenen Daten, die klarmacht: Das Unternehmen nimmt das Thema Datenschutz ernst und hält folgende Grundsätze des Datenschutzrechts ein – also eine wirklich konkrete Beschreibung. Das ist eine Selbstverpflichtung des Unternehmens, auch öffentlich zu sagen: Wir nehmen das ernst.

Dabei darf man aber nicht stehen bleiben, sondern insbesondere beim Bereich der Daten- beziehungsweise Informationssicherheit muss man fortsetzen und hier ebenso mit einer
Richtlinie klar vorsehen: Wie werden die Daten geschützt? Und auch wenn es schon sehr viele Sicherheitsmaßnahmen gibt, muss man diese dokumentieren. Das ist essentiell, um sich in
einem Fall einer Sicherheitsverletzung entsprechend – auch vor Gericht – wehren und beweisen zu können, dass man von Anfang an angemessene Sicherheitsmaßnahmen implementiert hat – seien sie auch im konkreten Fall nicht 100-prozentig effektiv gewesen.

Schritt 11: Konzept für unternehmensinterne Informationsmaßnahmen und Schulungen erstellen

Schritt 11 bedeutet schließlich, sich zu fragen, wie man Datenschutz weiterhin in der Organisation am Leben erhalten kann. Das bedeutet, Informations- und Schulungsmaßnahmen zu konzipieren; abhängig davon, wie groß die Organisation ist, sich konkret zu fragen, welche Mitarbeiter kann man denn sinnvollerweise mit welchen Arten von Schulungen entsprechend adressieren: persönliche Schulungen, Online-Schulungen, in welcher Frequenz? Das sind alles Dinge, die man sich sehr wohl überlegen sollte, weil sonst  Datenschutz ein reiner Papiertiger bleiben würde.

Schritt 12: Datenschutz i täglichen Betrieb aufrechterhalten

Schritt 12 bedeutet schlussendlich, Datenschutz im täglichen Betrieb aufrechtzuerhalten. Das schlimmste, was Sie mit einem Datenschutzprojekt machen können, ist, es bis zum Ende durchzuführen und dann gleichsam ins Winkerl zu stellen und nicht mehr anzusehen. Denn dann haben Sie sehr viele Investitionen getätigt, aber innerhalb kürzester Zeit wird Ihr
Arbeitsergebnis veraltet sein. Hingegen im täglichen Betrieb diesen Datenschutz aufrecht zu erhalten, erfordert nicht mehr so viel Aufwand wie die ursprüngliche Implementierung des ganzen
Systems, aber zahlt sich eben wirklich aus. Dazu gehört, regelmäßig Audits durchzuführen, Schulungen abzuhalten und auch zu dokumentieren, wer daran teilgenommen hat.

Es gehört ebenso dazu, auf Zwischenfälle, auf Sicherheitsverletzungen entsprechend zu reagieren, allenfalls auch die Datenschutzbehörde zu informieren oder sogar die Betroffenen, wo dies verpflichtend vorgesehen ist in der Verordnung. Weiters, wenn Anfragen von Betroffenen eingehen, auf diese zu reagieren, sowie neue Verarbeitungstätigkeiten auch ins Verzeichnis der
Verarbeitungstätigkeiten aufzunehmen und zu guter Letzt fortlaufend an das Management zu berichten, weil nur so sichergestellt ist, dass das Management noch Kenntnis davon hat, was hier
passiert. Nur so kann gewährleistet werden, dass das, was im Bereich Datenschutz passiert, auch mit den Unternehmenszielen abgestimmt ist.

Implementierung der DSGVO ist eine bewältigbare Herausforderung

Das sind die 12 Schritte, die ein jedes Unternehmen grundsätzlich durchlaufen muss, um die DSGVO implementieren zu können. Anhand dieser Schritte lässt sich aber auch sehr deutlich, glaube ich, zeigen: Das ist eine bewältigbare Herausforderung. Vielen Dank fürs Zusehen und ich hoffe, wir sehen uns bald wieder auf www.digitalwave.at!

Rückblick auf die ersten fünf Schritte

Im ersten Teil des Videos stellte Lukas Feiler fünf Schritte zur Vorbereitung der Implementierung vor:

  • Schritt 1: Unterstützung aus dem Management sichern
  • Schritt 2: Datenschutzbeauftragten bzw. -manager ernennen und Zuständigkeiten klären
  • Schritt 3: Ersten Überblick verschaffen
  • Schritt 4: Ziele des Datenschutzmanagements in einer Unternehmensrichtlinie definieren
  • Schritt 5: Passende IT-Tools für das Datenschutz-Management auswählen

Praktische Umsetzung der DSGVO in 12 Schritten

Zur Videoserie „Die DSGVO in der Praxis“

Dieses Video ist Teil einer mehrteiligen Serie, in der Lukas Feiler praktische Tipps gibt, wie Unternehmen die Datenschutz-Grundverordnung in der Praxis umsetzen können:

Diese Videoserie beruht auf dem neuen Buch von Lukas Feiler und Bernhard Horn: „Umsetzung der DSGVO in der Praxis – Fragen, Antworten, Muster“

Einführung in die Datenschutz-Grundverordnung

Für eine grundsätzliche Einführung in das Thema Datenschutz-Grundverordnung empfehlen wir Ihnen unsere erste Videoserie zur DSGVO:

Autor:

1 Kommentar

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.