Die Datenschutz-Grundverordnung (DSGVO, eng. GDPR) regelt die Verarbeitung von personenbezogenen Daten, dieser Satz ist oft in den Medien zu lesen. Dabei denkt man unweigerlich an große Technologie-Firmen wie Facebook, Google oder Amazon. Geht man einen Schritt weiter fallen einem noch die großen Handelsketten mit ihrem Kundenkarten, etc. ein. Dass diese Regelung auch die kleinsten Betriebe betrifft und auch Branchen wie Elektriker, Installateure, Friseure, KFZ-Werkstätten, Restaurants oder Bauunternehmen personenbezogene Daten verarbeiten überrascht. Es gibt vermutlich nur eine handvoll Firmen die nicht unter das neue Datenschutzgesetz fallen. Daneben fallen nicht nur Firmen unter die neuen Datenschutz-Regelungen sondern auch andere Organisationen wie Vereine, Behörden oder Interessensvertretungen. Vereinfacht ausgedrückt: Mit Ausnahme von Privatpersonen müssen sich alle an die Datenschutz-Grundverordnung halten.
Verarbeiten wir personenbezogene Daten?
Personenbezogene Daten sind ein weitreichender Begriff und umfasst dabei nicht nur Kundendaten sondern alle Daten die sich mit einem Menschen (natürlichen Person) in Verbindung bringen lassen. Daher sind auch folgende Daten als personenbezogene Daten im Sinne des DSGVO zu sehen:
- Kundennummern, mit diesen Identifizieren Sie Ihre Kunden eindeutig
- Telefonnummern, in der heutigen Zeit besitzt nahezu jede Person ein persönliches Mobiltelefon, die Zeit der geteilten Anschlüsse (Vierteltelefon, Festnetzanschluss) sind weitestgehend vorbei, daher handelt es sich auch bei der Telefonnummer um personenbezogene Daten. Speichern Sie Kontakte im Telefon ab ist das ebenfalls eine Verarbeitung im Sinne der Datenschutz-Grundverordnung.
- Kontonummern, das Bankkonto ist einer bestimmten Person zugeordnet, daher lässt sich diese über diese Information identizieren
- Sozialversicherungsnummern, ohne Sozialversicherungsnummer können heutzutage keine Mitarbeiter bei den Behörden angemeldet werden, mit einer SV-Nummer können Sie jeden Bürger eindeutig identizieren, daher handelt es sich um personenbezogene Daten im Sinne des DSGVO
- E-Mail Adressen, Sie besitzen selbst ein E-Mail Konto und empfangen damit Nachrichten von Kunden? Damit verarbeiten Sie personenbezogene Daten und fallen somit unter die Datenschutz-Grundverordnung
- Termin-Kalender, Kunden können bei Ihnen einen Termin vereinbaren oder Sie sind Gastwirt und bieten die Möglichkeit der Tischreservierung an? Damit Sie diese nicht vergessen schreiben Sie diese in einen Kalender, inklusive Namen und Telefonnummer. Dabei macht es keinen Unterschied ob Sie den Kalender handschriftlich führen oder am Computer erstellt haben, Sie haben personenbezogene Daten verarbeitet.
Das sind nur einige Beispiele in denen selbst kleinste Firmen personenbezogene Daten verarbeiten. Aber auch Vereine fallen unter die Datenschutz-Grundverordnung, wenn diese Daten vorliegen.
Was muss ich tun?
Sobald personenbezogene Daten in einem Unternehmen oder einem Verein verarbeitet werden gilt die DSGVO. Dabei ist die Einstiegshürde hoch, unabhängig von Menge und Regelmäßigkeit der Verarbeitung, müssen gewisse Anforderungen vollumfänglich erfüllt werden. So ist sind Risikoanalyse und Verarbeitungsverzeichnis von jedem Fall zu erstellen. Auch die Maßnahmen zum Datenschutz (sowohl organisatorischer als auch technischer Natur) sind am Stand der Technik durchzuführen sowie anschließend zu dokumentieren.
Genauere Informationen erhalten Sie unter anderem in unserem Workshop.
Welche Lösungen gibt es?
Die DSGVO-konforme Umsetzung kann grob in drei Punkte unterteilt werden, die von jeder Firma beachtet werden sollten
organisatorische Maßnahmen
Zu den organisatorischen Maßnahmen gehören alle Optimierungen, welche den Datenschutz sowie die Datensicherheit im Unternehmen verbessern. Dazu zählen nicht nur Schulungen im Bereich Datenschutz sondern auch Prozessoptimierungen um sicherzustellen, dass personenbezogene Daten nicht für Unbefugte einsehbar sind. Einige wesentliche Punkte sind:
- Aktenvernichtung mit Aktenschreddern
- Dokumentenverwahrung in verschließbaren Schränken bzw. Räumen
- Reduzierung der Datenerfassung
- Installation von Alarmanlagen und Zutrittskontrollen an Standorten mit personenbezogenen Daten
Daneben gibt es noch eine Vielzahl an weiteren Punkten die beachtet werden müssen. Mit easyGDPR Beratung stehen wir Ihnen beim Erkennen notwendiger Maßnahmen sowie der DSGVO-konformen Umsetzung zur Seite.
technische Maßnahmen
Die technischen Maßnahmen umfassen alle Schritte im Bereich IT-Sicherheit und Cybersecurity. Der Zugriff auf personenbezogene Daten muss durch entsprechenden Zugriffssschutz verhindert werden. Neben der Datensicherheit sind auch die Themen Datenverfügbarkeit, Datenintegrität und Datenvertraulichkeit zu beachten.
Als zertifiziertes Sophos-Partnerunternehmen können wir Ihnen Lösungen zu all diesen Punkten liefern. Nur bei Sophos erhalten Sie alle notwendigen Produkte als intelligentes Komplettpaket inklusive Synchronized Security. Ihre Sicherheitslösungen kommunizieren dabei miteinander, wodurch ein optimaler Schutz sichergestellt ist. Nebenbei profitieren Sie von unserer jahrelangen Erfahrung als IT-Unternehmen.
Dokumentation
Sie müssen alle erbrachten Maßnahmen schriftlich dokumentieren. Daneben ist auch niederzuschreiben warum andere Schritte nicht gesetzt wurden. Grundlage dieser verpflichtenden Dokumentation ist die Risikoanalyse, welche jedes Unternehmen verpflichtend durchführen muss. Auch dieser Prozess ist auf Papier festzuhalten.
Die Risikoanalyse sowie die dazugehörige Dokumentation sind nicht die einzigen Punkte die niedergeschrieben werden müssen. Firmen müssen erfassen welche personenbezogene Daten durch welche Geschäftsprozesse erfasst werden, auf welcher Rechtsgrundlage die Speicherung erfolgt und wie lange diese erfolgt. Im digitalen Zeitalter werden nahezu in jedem Tätigkeitsfeld solche Informationen gesammelt, egal ob durch E-Mails, Buchhaltung, Lohnverrechnung, Kunden-Aquise, etc.
Jeder Prozess ist ausführlich zu dokumentieren. Diese Arbeit können Sie mit easyGDPR schnell und rechtssicher erledigen. Durch entsprechende Vorlagen werden bereits die meisten Geschäftsprozesse per Mausklick erfasst und dokumentiert.
Fazit
easyGDPR ist ihr zuverlässiger und kompetenter Partner für alle Fragen der DSGVO. Egal ob Beratung, IT-Sicherheit oder Dokumentation – mit easyGDPR lösen Sie die Herausforderung „DSGVO“ schnell, effizient und kostengünstig.