apsec Tipps & Tricks zum Datenschutz – sind Sie gut aufgestellt?

Viele Unternehmen haben, im Rahmen des Inkrafttreten der ‚EU-DSGVO‘ seit Mai 2018, mit Angst vor Abmahnwellen, unangekündigten Kontrollen durch die Aufsichtsbehörden und Datenschutz-Bußgeldern in schwindelerregender Höhe reagiert.


Applied Security GmbH

Großwallstadt, 27.08.2019

Diese Schreckensszenarien sind zum Glück nicht eingetreten. Es wurden in Europa zwar Bußgelder für Verstöße verhängt, aber die Anzahl der Fälle war überschaubar und die Strafen soweit auf den jeweiligen Fall ausgelegt. Von vielen Medien propagierte Abmahnwellen sind ebenfalls glücklicherweise ausgeblieben.

Jedoch ist festzustellen, dass durch die Umstellung auf die EU-DSGVO im Umgang mit personenbezogenen Daten, Unternehmen wie auch Verbraucher erneut sensibilisiert wurden. In zahlreichen Bereichen des täglichen Lebens ist zu erkennen, dass Prozesse im Zusammenhang mit der Datenverarbeitung überarbeitet und nach den geltenden Richtlinien aktualisiert wurden. Dies sind positive Entwicklungen, denn Datenschutz muss zwingend ernst genommen werden! Wer personenbezogene Daten verarbeitet, muss sicherstellen, dass die Datenschutzanforderungen erfüllt sind und dazu gehört auch die regelmäßige Überprüfung der eigenen Datenverarbeitung.

Worauf ist dabei zu achten? Die wichtigsten Tipps dazu für Sie auf einen Blick:

  • Datenschutz Erklärung:

Ihre Website gleicht einer Visitenkarte. Informieren Sie Ihre Besucher in einer verständlichen Datenschutzerklärung.

  • Verfahrensverzeichnis:

Überprüfen Sie regelmäßig Ihr Verfahrensverzeichnis auf Aktualität mit den Fachabteilungen und dokumentieren Sie in den einzelnen Verfahrensbeschreibungen u.a. die Rechtsgrundlagen (Einwilligung, Vertrag, berechtigte Interessen) sowie die Dokumentation des Prozesses für Auskunft, Berichtigung und Löschung.

  • Verträge zur Auftragsverarbeitung:

Haben Sie Prozesse wie beispielsweise Lohnbuchhaltung ausgelagert oder Fernwartungsverträge? Dann müssen dafür in aller Regel Verträge zur Auftragsverarbeitung (AV) abgeschlossen werden. Damit sichergestellt ist, dass alle aktuellen Vorgaben der EU-DSGVO berücksichtigt und eingehalten sind, sollten diese Verträge überarbeitet sein bzw. noch angepasst werden.

  • Getroffene technische und organisatorische Maßnahmen (TOM):

Haben sich im IT-Bereich Änderungen (Netzstrukturen, Rechenzentrumwechsel, Anwender-Software, Betriebssysteme, Übertragungsprotokolle, Verschlüsselung etc.) ergeben, wurden im Gebäude Umbaumaßnahmen (z.B. Verlagerung von öffentlichen Bereichen, Großraumbüro) vorgenommen oder Zutrittsprozesse (beispielsweise Schließanlage) geändert? Dann muss das auch umgehend in Ihren TOM’s berücksichtigt werden.

  • Informations-Sicherheit:

Zum Datenschutz trägt, wie schon im Punkt TOM angeschnitten, die Sicherheit Ihrer IT Umgebung erheblich bei. So sollten Sie u.a. an Schutz gegen Viren und Trojaner über Firewall-Absicherung bis hin zu regelmäßigen Betriebssystem- und Programm-Updates sowie natürlich Datensicherungen denken.

  • Ansprechpartner in Sachen Datenschutz:

Auch wenn Sie als kleineres Unternehmen nach den Kriterien der EU-DSGVO keinen Datenschutz-beauftragten bei der Aufsichtsbehörde benennen müssen, so müssen Sie dennoch derart aufgestellt sein, dass Sie alle Datenschutz Themen (z. B. Meldung Datenpanne, alle hier erwähnte Punkte wie Verfahrensverzeichnis etc.) sicher abdecken können. Oft geschieht das durch einen Mitarbeiter zusätzlich zur eigentlichen Tätigkeit und dadurch mit einem gewissen Halbwissen. Auch ist dieser nicht immer frei in seinem Handeln. Idealer wäre es, einen externen Berater oder Datenschutzspezialisten auszuwählen, der Ihnen in jeder Situation kompetent zur Seite steht. Der Aufwand wird sehr schnell durch die eigenen gesparten Personalkosten aufgewogen und Ihre Mitarbeiter können sich um Ihre eigentlichen Kernaufgaben und Ihre Kunden kümmern.

  • Sensibilisierung Ihrer Mitarbeiter:

Schärfen Sie regelmäßig bei Ihren Mitarbeitern das Bewusstsein für Datenschutz-Themen und schulen Sie sie regelmäßig im Umgang mit vertraulichen Daten. Achten Sie darauf, dass nicht ein allgemeiner Benutzer (User) für mehrere Mitarbeiter eingerichtet ist und jeder Benutzer sichere Passwörter verwendet. Der Zugriff auf Systeme bei Nicht-Benutzung sollte auch bei kurzzeitigem Verlassen des Arbeitsplatzes gesperrt werden. Ebenso sollte darauf geachtet werden, dass Dritte keine Unterlagen (beispielsweise in einem Hotel, Zimmerlisten beim Reinigungspersonal) oder Bildschirme (besonders in öffentlich zugänglichen Bereichen wie z.B. Empfang, Pförtner usw.) eingesehen werden können. Auf Fragen Ihrer Kunden und Geschäftspartner sollten Ihre Mitarbeiter sachdienlich antworten oder zumindest wissen, an wen sie diese Anfragen zur kompetenten Beantwortung weiterleiten können. Auch sollten Sie dazu ermutigen, Verbesserungsmöglichkeiten vorzuschlagen und besonders Datenpannen umgehend entsprechend Ihrer intern definierten Prozesse zu melden.

Fazit:

  • Vorsorge ist besser als Nachsorge. Wer sich gut in Sachen Datenschutz aufstellt, hat nichts zu befürchten
  • Datenschutz ist und bleibt auch bei allen erfüllten Anforderungen eine permanente (Pflege-) Aufgabe
Klaus Zoll

Klaus Zoll

Berater für Informationssicherheit, Datenschutzbeauftragter (TÜV) unter Einbeziehung der EU-DSGVO
18986

Nehmen Sie an unserem Webinar „Datenschutz – Sind Sie gut aufgestellt?“ am 12.09.2019 um 10:00 Uhr teil.

Hier gleich anmelden

(Visited 57 times, 1 visits today)


Neuer Kommentar