GDPR konforme organisation

13 Schritte zu einer GDPR-konformen Organisation

1. Bewusstheit

Der erste Schritt zu einer GDPRkonformen Organisation ist das Bewusstsein. Obwohl die überwiegende Mehrheit der Unternehmen die GDPR kennt, ändert nicht jede Organisation ihre Praktiken gleichermaßen angemessen, um im Einklang mit der Datenschutzgesetzgebung zu bleiben. Unwissenheit über die zu treffenden Vorbereitungen scheint oft ein Stolperstein zu sein.

Dieses Bewusstsein muss auf allen Ebenen Ihrer Organisation vorhanden sein. Die Integration muss topdown unterstützt werden. Nur so kann eine vollständige Compliance erreicht werden. Um dies zu erreichen, müssen die notwendigen Kennzahlen und das Management innerhalb Ihrer Organisation involviert werden, um die notwendigen Veränderungen umzusetzen. Wenn sich jeder der Bedeutung der Einhaltung der GDPR bewusst ist, wird es einfacher sein, diese Regeln zu befolgen.

2. Ruhe bewahren und vorbereitet sein

Um sicherzustellen, dass Ihre Organisation GDPR-konform arbeiten kann, ist

 

es wichtig, dass Sie sich ausreichend informieren. Denn die Nichteinhaltung der GDPR wird mit erheblichen Geldstrafen von bis zu 4 % Ihres weltweiten Umsatzes geahndet, mit einem Maximum von 20 Millionen Euro. Ein Grund mehr, sich im Vorfeld gut über die wunderbare Welt der GDPR zu informieren.

Wenn Sie es wünschen, können Sie mit uns einen Termin für ein Einführungsgespräch vereinbaren. Während dieses Treffens werden wir mehr über die GDPR erklären, uns die Bedürfnisse Ihrer Organisation anschauen und sehen, wie wir Ihre Organisation konkret unterstützen können.

3. Prüfung

Auf den ersten Blick zu bestimmen, ob Ihre Organisation GDPR-konform ist, ist nicht möglich. Deshalb müssen Sie Ihre Organisation auditieren. Diese Prüfung muss in verschiedenen Bereichen durchgeführt werden. In der Tat gibt es sowohl rechtlich als auch technisch einige Fallstricke.

  • zunächst müssen Sie sich einen Überblick verschaffen, welche personenbezogenen Daten Ihr Unternehmen hat und wo diese gespeichert sind. Sie müssen in der Lage sein, diese Angaben im Falle einer Prüfung durch die Datenschutzkommission zur Verfügung zu stellen.

 

  •  müssen Sie Ihre Vereinbarungen überprüfen. Korrekte Vereinbarungen mit den Organisationen und Personen, mit denen Sie arbeiten, sind für die Einhaltung der GDPR unerlässlich. 
  • zusätzlich müssen Ihre technischen und organisatorischen Maßnahmen geprüft werden. Denken Sie zum Beispiel an einen IT-Penetrationstest, um zu prüfen, wie sicher Ihre IT-Systeme sind. Aber auch die physikalische Zugänglichkeit zu Ihren Daten sollte geprüft werden.

4. Folgenabschätzung

Es ist wichtig, dass Sie bei jeder Datenverarbeitung durch Ihre Organisation die Auswirkungen dieser Verarbeitung auf alle betroffenen Personen berücksichtigen. In einigen Fällen ist eine Datenschutz-Folgenabschätzung (Data Protection Impact Assessment, DPIA) obligatorisch. Aber auch wenn Ihre Organisation nicht verpflichtet ist, eine DPIA durchzuführen, kann es dennoch interessant sein, dies zu tun.

 

Ein DPIA gibt Ihnen mehr Einblick in die konkreten Auswirkungen der Verarbeitung, die Ihre Organisation durchführen möchte. Durch die Durchführung einer solchen Bewertung wird es für Sie einfacher, alle Folgen der Verarbeitung abzuschätzen. Auf diese Weise können Sie bessere Maßnahmen ergreifen, um Ihre Organisation vor möglichen Bedrohungen für diese Verarbeitung zu schützen.

Wenn Sie besser über alle Konsequenzen der geplanten Verarbeitung informiert sind, können Sie die GDPR leichter einhalten. Deshalb ist es immer interessant, eine DPIA durchzuführen.

5. Ausbildung

Das menschliche Eingreifen erweist sich als eine der größten Schwachstellen in der Sicherheit der Datenverarbeitung. Deshalb sollten Sie Ihre Mitarbeiter entsprechend schulen.

Vielen Menschen ist nicht immer bewusst, wie sensibel die personenbezogenen Daten sind, mit denen sie bei der Ausübung ihrer Tätigkeit in Berührung kommen. Dies erhöht die Wahrscheinlichkeit, dass Datenlecks auftreten.

 

Um zu verhindern, dass Ihre Mitarbeiter unbewusst unachtsam mit personenbezogenen Daten umgehen, ist es wichtig, dass Sie sie ausreichend sensibilisieren. Nur wenn Sie Ihre Mitarbeiter ausreichend schulen, können Sie sicherstellen, dass das Risiko von Datenlecks aufgrund von menschlichen Fehlern Ihrer Mitarbeiter reduziert wird.

6. Maßnahmen ergreifen

Um die Risiken einer bestimmten Datenverarbeitung zu begrenzen, sollte Ihre Organisation technische und organisatorische Maßnahmen ergreifen. Nachdem Ihre Organisation eine DPIA durchgeführt hat, wissen Sie, welche Risiken mit der betreffenden Datenverarbeitung verbunden sind. Die logische Konsequenz, die Sie aus dieser Erkenntnis ziehen sollten, ist das Ergreifen technischer und organisatorischer Maßnahmen.

Die technischen Maßnahmen haben mit Ihren IT-Systemen zu tun. So können Sie beispielsweise gezwungen sein, die in Ihrem Unternehmen eingesetzten IT-Systeme zu erneuern, wenn sich herausstellt, dass diese in Bezug auf den Datenschutz zu schwach sind.

 

Die Verschlüsselung von Daten ist nach der GDPR nicht verpflichtend, sondern wird lediglich empfohlen. Es geht eher darum, als Unternehmen überlegt mit Daten umzugehen. Die Pseudonymisierung von Daten kann jedoch eine gute Option sein, die man im Auge behalten sollte. Das bedeutet, dass personenbezogene Daten nicht mehr direkt mit einer natürlichen Person verknüpft werden können,

 

sondern nur noch mit Hilfe von Zusatzinformationen, die irgendwo separat gespeichert werden. Im Falle von Datenlecks können Sie damit nachweisen, dass Sie sich um den Schutz der verarbeiteten personenbezogenen Daten bemüht haben.

Sie müssen auch organisatorische Maßnahmen ergreifen. Diese Maßnahmen werden in der Regel den physischen Zugang zu den verarbeiteten personenbezogenen Daten betreffen. Es muss nicht nur technisch, sondern auch physisch unmöglich sein, dass Unbefugte Zugang zu den personenbezogenen Daten erhalten, die Ihre Organisation verarbeitet.

7. Datenverwaltung

Die personenbezogenen Daten, die innerhalb Ihrer Organisation verarbeitet werden, müssen korrekt verwaltet werden. Nachdem Sie ein Audit innerhalb Ihrer Organisation durchgeführt haben, um herauszufinden, welche Daten verarbeitet werden und wo sich diese Daten befinden, können Sie daran arbeiten, diese Daten richtig zu verwalten.

 

Überlegen Sie, wie Sie die Daten, die Ihr Unternehmen verarbeitet, am besten verwalten können. Denken Sie zum Beispiel an die Digitalisierung Ihrer Papierakten. Eine ordnungsgemäße Datenverwaltung reduziert das Risiko von Datenlecks.

8. Transparantie

Transparenz ist eines der wichtigsten Prinzipien der GDPR. Daher sollten Sie immer klar und verständlich mit allen Beteiligten kommunizieren.

Eine transparente Kommunikation ist von dem Moment an wichtig, in dem Ihr Unternehmen beginnt, persönliche Daten zu sammeln. Sie müssen den betroffenen Personen klar mitteilen, welche Daten Sie verarbeiten werden, warum Sie dies tun und was mit diesen Daten geschehen wird. Der beste Weg, dies zu tun, ist die Veröffentlichung eines Privacy Statements auf Ihrer Website.

Darüber hinaus bedeutet Transparenz auch, dass Sie den betroffenen Personen klar kommunizieren, wohin sie sich mit Fragen und/oder Beschwerden wenden können.

9. Vertragsmanagement

Es ist wichtig, die Verträge zu prüfen,

 

die Ihre Organisation mit verschiedenen Dienstleistern und Lieferanten hat. In vielen Fällen handelt es sich dabei auch um die Verarbeitung von personenbezogenen Daten.

Eine Überprüfung ist unerlässlich, um zu sehen, welche personenbezogenen Daten Sie mit Vertragspartnern austauschen. Gegebenenfalls sollten Sie auch diese Verträge überprüfen, um mit der GDPR konform zu sein.

Auch wenn Sie mit bestimmten Vertragspartnern keine Daten austauschen, kann es ratsam sein, diese Verträge zu überprüfen. Das liegt daran, dass in manchen Fällen Ihre Vertragspartner oder deren Mitarbeiter Zugriff auf die Daten haben können. Denken Sie zum Beispiel an einen Reinigungsdienst, der Zugang zu Ihrem Papierarchiv hat. Auch für diese Verträge kann es interessant sein, Klauseln bezüglich der Vertraulichkeit dieser Daten einzufügen.

10.Versicherung berücksichtigen

Sie können alle möglichen Maßnahmen ergreifen, um Datenlecks zu verhindern, aber das bedeutet nicht, dass es keine Chance gibt, dass ein Datenleck auftritt. Es kann sich daher lohnen, eine Versicherung für einen solchen Fall abzuschließen.

 

In den meisten Fällen wird die Versicherung für Datenlecks als Cyber-Versicherung bezeichnet. Sie kann den Schaden abdecken, der durch eine Verletzung Ihrer Cybersicherheit entsteht.

Diese Versicherung wird in vielen Fällen interessant sein. Hacker haben es zunehmend auf kleinere Unternehmen abgesehen, da diese in vielen Fällen nicht über die Budgets verfügen, um für die besten Cybersicherheitssysteme zu bezahlen. Damit riskiert Ihr Unternehmen neben dem möglichen Datenverlust auch alle möglichen anderen finanziellen Folgen. Eine Cyber-Versicherung reduziert die finanzielle Belastung für Ihr Unternehmen.

11.Bleiben Sie auf dem Laufenden

Es ist wichtig, Ihre Organisation regelmäßig zu überprüfen und ein Audit durchführen zu lassen. Die Tatsache, dass Ihre Organisation heute GDPR-konform ist, bedeutet nicht, dass Sie in den kommenden Jahren automatisch GDPR-sichere personenbezogene Daten verarbeiten werden.

Der Austausch personenbezogener Daten zwischen öffentlichen und privaten Akteuren, einschließlich

 

natürlicher Personen, Verbänden und Unternehmen, hat in der gesamten Union zugenommen und wird in Zukunft nur noch zunehmen. Die rasante technologische Entwicklung und die Globalisierung schaffen ständig neue Herausforderungen für den Schutz personenbezogener Daten. So wie sich die Gesellschaft weiterentwickelt, verändert sich auch Ihre Organisation ständig und es werden neue Verträge abgeschlossen oder neue Mitarbeiter kommen hinzu usw… Daher ist es wichtig, dass Sie regelmäßig über die GDPR-Compliance Ihrer Organisation nachdenken. Die vorherigen Schritte sollten daher regelmäßig wiederholt werden.

12.Rechenschaftspflicht

Der für die Verarbeitung Verantwortliche ist für die Einhaltung der Grundprinzipien bei der Verarbeitung von personenbezogenen Daten verantwortlich. Er wird immer in der Lage sein müssen, nachzuweisen, dass er Maßnahmen zur Gewährleistung dieser Grundsätze ergriffen hat. Die Grundsätze zur Verarbeitung personenbezogener Daten sind in § 5 AVG enthalten und scheinen nach der Rechtsprechung der Datenschutzbehörde eine der am häufigsten verletzten Bestimmungen zu sein. Es ist daher äußerst wichtig, dass

 

ein Datenverantwortlicher Maßnahmen ergreift und seine Handlungen rechtfertigen kann.

13.Notwendigkeit oder eine Tugend?

Unternehmen sehen die GDPR oft eher als notwendiges Übel denn als Tugend an. Dies muss aber nicht immer der Fall sein. In den letzten Jahren hatten Unternehmen mit Datenlecks zu kämpfen. Die GDPR sollte hierfür eine Lösung bieten, da die Bestimmungen Unternehmen zu einem bewussteren Umgang mit personenbezogenen Daten zwingen. Nicht nur zum Schutz derjenigen, deren persönliche Daten verarbeitet werden, sondern auch zum Schutz der eigenen Interessen der Unternehmen. Man denke nur an den Cambridge Analytica-Skandal, bei dem das britische Unternehmen unter Vorspiegelung falscher Tatsachen Facebook-Daten von möglicherweise 87 Millionen Facebook-Nutzern weltweit gesammelt hat. Diese Daten wurden dann verwendet, um Menschen gezielte Werbung des damaligen Präsidentschaftskandidaten Donald Trump zu zeigen.

Hoofdwebsite Contact
make appointment upload






      GDPR proof area
      Laden Sie Ihre Dokumente hoch





      ziehen sie ihre rechnungen hierher oder wählen sie datei


      ziehen sie ihre rechnungen hierher oder wählen sie datei











        Benelux (€... )EU (€... )International (Preis auf Anfrage)

        Mit dem Absenden des Antrags stimmen Sie ausdrücklich unseren Allgemeinen Geschäftsbedingungen zu und bestätigen, dass Sie unsere Datenschutzerklärung sorgfältig gelesen haben. Das Absenden dieses Antrags gilt als Auftragsbestätigung.
        error: Helaas, deze content is beschermd!