Das Datenschutz-Jubiläum: 1 Jahr DSGVO

Am 25. Mai 2018 trat die Datenschutz-Grundverordnung der Europäischen Union in Kraft. Was hat sich seither verändert? Sind penetrante Datenschutz-Einblendungen auf Webseiten und erneute Newsletter-Einwilligungen die einzigen, spürbaren Neuerungen durch die DSGVO, oder konnte mit der neuen Gesetzgebung tatsächlich das Datenschutzniveau angehoben werden?

Grundsätzlich ist die DSGVO ein sehr weitreichendes Gesetz, dass viele unterschiedliche Arbeitsbereiche eines Unternehmens betreffen kann. Webseiten und Newsletter sind davon ebenso betroffen wie Teile des Vertragswesens, die im Betrieb verwendeten IT, häufig auch Aufzeichnungen auf Papier, und eben sämtliche technischen und organisatorischen Maßnahmen, die zum Schutz personenbezogener Daten beitragen (können).

Unternehmen haben angesichts dessen zwei Möglichkeiten: Entweder nur das gesetzlich erforderliche Mindestmaß an Datenschutzmaßnahmen erledigen, oder aber das Thema Datenschutz zur ganzheitlichen Weiterentwicklung des Betriebs nutzen.

Die großen drei: Datenschutzerklärung, Verarbeitungsverzeichnis, Auftragsverarbeitervereinbarungen

Eine Datenschutzerklärung war auch vor der DSGVO schon vielfach notwendig bzw. sinnvoll – das Verarbeitungsverzeichnis und die Auftragsverarbeitervereinbarungen sind jedoch (insbesondere für österreichische Unternehmen) neu hinzugekommen. Nahezu jedes Unternehmen wird zumindest diese drei Dokumente(n-Arten) benötigen, um datenschutzkonform zu arbeiten. Bei Vereinen und sonstigen Organisationen verhält es ähnlich.

Wer diese Dinge noch nicht hat, für den ist es jetzt höchste Zeit sie zumindest nachträglich zu erstellen. Alle anderen könnten das Jubiläum nutzen, um diese Dinge wieder einmal durchzusehen, zu prüfen und ggf. zu aktualisieren.

Technische Datensicherheit im Betrieb

Neben der schriftlichen Dokumentation ist auch die Gewährleistung eines angemessenen Sicherheitsniveaus im Betrieb nun eine Notwendigkeit. Alle im Unternehmen eingesetzten Computer sollten zumindest über aktuelle Betriebssysteme und ebenfalls aktuell gehaltene Anwendersoftware verfügen, um Sicherheitslücken zeitnah schließen zu können. Auch zusätzliche Sicherheitssoftware ist (insbesondere bei Windows-Systemen) häufig notwendig. Alle Geräte und Datenträger sollten über einen soliden Passwortschutz und Verschlüsselungen verfügen, um Unbefugten den Zugriff zu erschweren.

Aber auch in Papierform verarbeitete Daten, wie z.B. Ordner mit Mitarbeiter- oder Kundendaten, sollten angemessen geschützt werden. Häufig werden hierzu beispielsweise verschlossene Schränke eingesetzt. Für die Vernichtung von Daten sind Cross-Cut Shredder empfehlenswert: Diese gibt es in unterschiedlichen Sicherheitsstufen, je nach Sensibilität der Daten.

Organisatorische Schutzmaßnahmen

Ein gesundes Datenschutzmanagement zeichnet sich insbesondere durch regelmäßige Datenschutz-Audits aus. Im Rahmen dieser internen Besprechungen (zu denen auch ein externer Dienstleister als Berater hinzugezogen werden kann) wird das Datenschutzniveau im Betrieb überprüft, und laufend weiterentwickelt. Auch Betriebe, die keinen eigenen Datenschutzbeauftragten beschäftigen, können dennoch einen Datenschutzkoordinator berufen, und so dem Thema eine besondere Priorität zuweisen.

Erfahrungsgemäß profitieren auch viele andere Unternehmensbereiche von einem hohen Datenschutzniveau. Maßnahmen, die personenbezogene Daten schützen, schützen meist ebenso andere, betriebliche Daten (Firmengeheimnisse o.Ä.), und führen zu einer stabileren, verlässlicheren IT.

Nicht selten können also Verbesserungen im Bereich Datenschutz auch andere Prozesse im Betrieb optimieren, und effizienter gestalten.

Ich hoffe, dass im zweiten Jahr der DSGVO der Datenschutz noch stärker als Chance zur betrieblichen Weiterentwicklung erkannt wird. Als geprüfter Datenschutzexperte unterstütze ich Sie hierbei gerne – sei es durch einzelne Datenschutz-Dienstleistungen, oder als externer Datenschutzkoordinator, Datenschutzmanager oder Datenschutzbeauftragter.

dsgvo-01

Mehr zum Thema Datenschutzmanagement und Datenschutz-Dienstleistungen von MZIT

Advertisements