Startseite > Office & Kommunikation > Checkliste für die EU-DSGVO

10 Fragen

Checkliste für die EU-DSGVO

28. März 2018, 10:33 Uhr | Axel Pomper

Stellen Sie sich vor, es ist der 25. Mai und die Datenschutzbehörde klopft an Ihre Türe. Können Sie belegen, dass Sie alle Auflagen der EU-DSGVO erfüllen? Nutzen Sie den Selbstcheck von Fabasoft. Wenn Sie alle Fragen mit „Ja“ beantworten können, dann sind Sie und Ihr Unternehmen Datenschutz-fit!

Kann Ihr Unternehmen aktuell Einzelheiten zu allen Personen / Unternehmen angeben, mit denen es in der Vergangenheit auf Anfrage personenbezogene Daten ausgetauscht hat?

Nein? Laut den Vorschriften der DSGVO müssen Unternehmen genau dokumentieren, über welche personenbezogenen Daten sie verfügen, woher diese stammen und mit wem sie geteilt wurden. Speziell die Übertragung von Informationen ins Ausland ist besonders heikel, zudem müssen Unternehmen auch nachweisen können, wo diese Daten gespeichert sind. Problematisch ist, dass die meisten Daten nicht mehr in einer strukturierten Datenbank gespeichert werden, sondern aus vielen unstrukturierten elektronischen Informationen wie E-Mails, SMS oder auch Fotos bestehen, die genauso personenbezogene Daten enthalten können. Und die weltweite Datenmenge wird weiter exponentiell steigen. Die DSGVO fordert nun, genau diese sensiblen Daten nicht in Drittländern mit einem niedrigen Datenschutzniveau zu speichern. Damit bleibt ab dem 25. Mai 2018 voraussichtlich nur ein Speicherort in der EU, der europäischen Sicherheitsstandards entspricht und auf Werten wie Sicherheit, Datenschutz, Transparenz und Nachvollziehbarkeit gebaut ist.

Haben Sie DSGVO-konforme Einwilligungen für die Verwendung der personenbezogenen Daten?

Nein? Es gibt verschiedene rechtliche Grundlagen, nach denen personenbezogene Daten verarbeitet werden dürfen. Neben Verträgen und Gesetzen ist die Datenverwendung dann gestattet, wenn dafür DSGVO-konforme Einwilligungen vorliegen oder wenn ein berechtigtes Interesse des Unternehmens an der Datenverwendung besteht. Diese Zustimmungen müssen aktiv und eindeutig sein, einen Hinweis auf die Freiwilligkeit der Einwilligung haben sowie die Möglichkeit des Widerrufs beschreiben. Unternehmen sollten am besten bestehende Einwilligungstexte prüfen, da diese womöglich veraltet und somit nicht mehr rechtskonform sein könnten.

Wissen Sie, welche Daten Sie erheben dürfen und welche nicht?

Nein? Nach der DSGVO müssen Unternehmen ab 25. Mai 2018 sicherstellen, dass voreingestellt generell nur die Daten verarbeitet werden, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck auch wirklich erforderlich ist. Dafür müssen Unternehmen technische und organisatorische Maßnahmen treffen, um Grundsätze wie Datenminimierung und Zweckbindung auch tatsächlich umzusetzen. Gleichzeitig muss sichergestellt werden, dass Daten nur so lange behalten werden, wie es rechtlich gestattet ist und nur berechtigte Personen Zugriff auf die Daten haben.

Verfügen Sie über ein Verzeichnis, das sämtliche Verarbeitungsvorgänge Ihres Unternehmens im Umgang mit personenbezogenen Daten dokumentiert?

Nein? Ein solches Verzeichnis stellt allerdings eine zentrale Verpflichtung der DSGVO dar. Hier geht es vor allem darum, dass Unternehmen die eigenen Verarbeitungen gut kennen, schließlich ist dies eine der Grundvoraussetzungen für einen datenschutzkonformen Betrieb. Unternehmen müssen zukünftig ein Verzeichnis aller Verarbeitungstätigkeiten führen, die ihrer Zuständigkeit unterliegen. Auch muss bei größeren Organisationen klar geregelt sein, in welcher Tochterfirma personenbezogene Daten verarbeitet und an welche anderen Töchter diese gegebenenfalls weitergereicht werden.

Sind Sie auf das Management der Prozesse zu den Betroffenenrechten ausreichend technisch vorbereitet?

Nein? Der Sicherstellung der Betroffenenrechte wird ab 25. Mai 2018 noch mehr Bedeutung beigemessen. So müssen Unternehmen bei Ausübung des Rechts auf Auskunft die gewünschten Informationen spätestens nach einem Monat übermitteln können. Sollten Personen ihr „Recht auf Vergessenwerden“ in Anspruch nehmen, so kann es erforderlich sein, dass die personenbezogenen Daten restlos gelöscht werden müssen. In der Regel reichen die gängigen Löschfunktionen von Betriebssystemen und Datenbanken allerdings nicht aus, um die Anforderungen der EU-DSGVO zu erfüllen, da die Daten nicht tatsächlich physisch gelöscht werden. Datenschutz-Experten empfehlen hierfür eine eigene Software.