{"id":667843,"date":"2018-05-25T14:47:19","date_gmt":"2018-05-25T12:47:19","guid":{"rendered":"https:\/\/blog.wiwo.de\/management\/?p=667843"},"modified":"2018-05-25T14:53:23","modified_gmt":"2018-05-25T12:53:23","slug":"datenschutz-last-minute-tipps-fuer-die-dsgvo","status":"publish","type":"post","link":"https:\/\/blog.wiwo.de\/management\/2018\/05\/25\/datenschutz-last-minute-tipps-fuer-die-dsgvo\/","title":{"rendered":"Datenschutz: Last-Minute-Tipps f\u00fcr die DSGVO"},"content":{"rendered":"

Last-Minute-Tipps zum Datenschutz von<\/b> Gianluca De Lorenzis<\/a>, CEO der FGND Group<\/a>, einer Spezialberatung f\u00fcr Datenschutz-Compliance und IT-Sicherheit.<\/strong><\/p>\n

Mit welchen konkreten Ma\u00dfnahmen auch mittelgro\u00dfe und kleinere Unternehmen die Pflichten und Regeln der neuen EU-Datenschutzgrundverordnung (DSGVO) – sie tritt heute in Kraft – schnell in den Griff bekommen k\u00f6nnen, zeigt Gianluca De Lorenzis, CEO der FGND Group und Gr\u00fcnder von FGND Core:<\/p>\n

\"\"

DeLorenzis Foto: Tobias Hase (www.hase-fotografie.de)<\/p><\/div>\n

1. Eigene Position einsch\u00e4tzen<\/b><\/p>\n

Sch\u00e4tzen Sie erst einmal die Position Ihres Unternehmens auf dem Beh\u00f6rdenradar richtig ein. Dabei hilft dieser einfache Test:<\/p>\n

Je mehr der folgenden Fragen Sie mit \u201eJa\u201c beantworten k\u00f6nnen, desto heller wird Ihr Radarsignal leuchten:<\/p>\n

\u2022Verarbeitet Ihr Unternehmen besonders sch\u00fctzenswerte Daten, beispielsweise Gesundheitsdaten?<\/p>\n

\u2022Ist Ihr Unternehmen auch au\u00dferhalb der EU aktiv?<\/p>\n

\u2022Gab es bereits in den vergangenen Jahren Kontakt zu Datenschutz-Aufsichtsbeh\u00f6rden, etwa wegen Verst\u00f6\u00dfen oder Beschwerden? Ist Ihr Unternehmen in der \u00d6ffentlichkeit besonders sichtbar oder lie\u00dfe es sich als Branchen-Beispiel hervorheben?<\/p>\n

\u2022Setzen Sie publikumswirksam neuartige Technologien oder Verfahren wie Data Collection Plattformen f\u00fcr sp\u00e4tere Marketing-Ma\u00dfnahmen ein? Oder Cross Channel Tracking \/ Webtracker, die die digitalen Spuren \u00fcberwachen, die man etwa bei Online-Shops hinterl\u00e4sst.<\/p>\n

2. Grauzonen nutzen<\/b><\/p>\n

Treffen fast alle Punkte zu? Das ist kein Grund zur Sorge, sondern hilft bei der Priorisierung des Themas. In jedem Fall sollten Sie die EU-DSGVO nicht als Bedrohung, sondern als Chance f\u00fcr Ihr Unternehmen verstehen. Zwar sorgt momentan das oft beschworene Szenario der drakonischen Bu\u00dfgelder bei Verst\u00f6\u00dfen gegen Datenschutzvorgaben f\u00fcr Aufmerksamkeit.<\/p>\n

Gerade kleine und mittelst\u00e4ndische Unternehmen d\u00fcrften bisher aber kaum Zeit und Geld investiert haben, um sich nun EU-DSGVO-konform aufzustellen. Das wei\u00df auch der Gesetzgeber. Insofern besteht in den kommenden Monaten bei der Anwendung der Verordnung durchaus eine Grauzone, in der sich auch die staatlichen Institutionen zurechtfinden m\u00fcssen.<\/p>\n

Dies sollten Sie nutzen, um mit Ihren Fragen proaktiv auf die Landesdatenschutzbeh\u00f6rden zuzugehen. Einige Beh\u00f6rden, wie etwa das Bayerische Landesamt f\u00fcr Datenschutzaufsicht (BayLDA), stellen bereits online Musterformulare und die wesentlichen Anforderungen f\u00fcr Einzelh\u00e4ndler, Online-Shops, Hotelbetriebe, Steuerberater, Produktionsbetriebe und viele weitere Unternehmen zur Verf\u00fcgung. Mit diesen Infos k\u00f6nnen Sie zum Beispiel gut mit der Erstellung einer ersten Dokumentation \u00fcber den Umgang mit personenbezogenen Daten in Ihrem Unternehmen beginnen (siehe weiter unten).<\/p>\n

3. Informationsfluss kartieren<\/b><\/p>\n

Damit sind wir auch schon bei der n\u00e4chsten Komplexit\u00e4tsh\u00fcrde: nach der neuen DSGVO m\u00fcssen Unternehmen nachweisen, dass sie personenbezogene Daten im Einklang mit der Verordnung verarbeiten. Je nach Unternehmen k\u00f6nnen das ganz unterschiedliche Verfahren und damit Dokumentationen sein \u2013 leider werden Sie also kein Musterformular finden, welche das in Ihrem Fall sind und wie Sie diese erstellen.<\/p>\n

Daher starten Sie hier am besten nach dem Top-Down-Prinzip mit einer Ist-Analyse Ihrer IT- und Daten-Struktur: also zuerst die grobe Hard- und Softwarestruktur mit Stationen (unter anderem\u00a0 Server, Rechner, mobile Ger\u00e4te plus Cloud \/ Mail-, Archiv-, Streaming-Dienste) identifizieren und aufzeichnen. Anschlie\u00dfend sollte je System festgehalten werden, welche Datenarten erhoben werden, zu welchem Zweck dies erfolgt, wie Sie bzw. Ihre Mitarbeiter die Daten speichern, ob sie diese weitergeben und schlie\u00dflich wann diese gel\u00f6scht werden. Wichtig: schon bei einem Mittelst\u00e4ndler k\u00f6nnen hier schnell 50-80 Prozesse zusammenkommen. Oder mehr, wenn Ihr Gesch\u00e4ftsmodell auf personenbezogenen Informationen beruht. Dokumentieren Sie daher nicht mit dem letzten Anspruch auf Vollst\u00e4ndigkeit, dies sollte aber in Folgeschritten erfolgen Noch besser: gehen Sie auch in diesem Fall mit einem ersten, kurzen Entwurf und Ihren Fragen proaktiv auf die Beh\u00f6rden zu, um mit deren Hilfe Transparenz zu schaffen.<\/p>\n

4. L\u00f6schkonzept entwickeln<\/b><\/p>\n

Was genau passiert eigentlich mit Ihren – gel\u00f6schten – E-Mails oder Dateien? F\u00fcr eine Antwort hierauf m\u00fcssen Sie nicht gleich ein IT-Experte sein. Aber es ist wichtig zu wissen, dass eine Aufr\u00e4umaktion im digitalen Papierkorb Daten nicht wirklich l\u00f6scht. Diese liegen noch (mindestens) auf einem Server, auf diversen Smartphones undsoweiter \u2013 und genau das ist EU-DSGVO-relevant. Denn das Gesetzt r\u00e4umt ein \u201eRecht auf Vergessenwerden\u201c ein.<\/p>\n

Stellenbewerber, die Ihnen eine digitalen Bewerbungsmappe schicken, k\u00f6nnen danach nicht nur von Ihnen verlangen, dass Sie diese Daten bei einer Absage l\u00f6schen. Sondern auch, dass Sie den Speicher- und L\u00f6schvorgang transparent nachweisen. In solchen F\u00e4llen wird der Gesetzesgeber, \u00e4hnlich wie beim Umgang mit Kunden- und Mitarbeiterdaten, sehr genau hinschauen.<\/p>\n

Wenn sich Gesetze widersprechen, wird\u00b4s richtig heikel…<\/strong><\/p>\n

Das Problem: in vielen F\u00e4llen wird es zu \u00dcberschneidungen und Widerspr\u00fcchen mit anderen Datenschutzvorgaben kommen. Eine rege E-Mailkommunikation mit einem Ex-Kollegen aus der Buchhaltung k\u00f6nnte zum Beispiel nach EU-DSGVO ein Pflichtfall f\u00fcrs L\u00f6schen sein \u2013 wurden dabei Rechnungen ausgetauscht, d\u00fcrfte aber die Vorgabe der Finanzbeh\u00f6rden greifen, sie zehn Jahre speichern zu m\u00fcssen.<\/p>\n

Diese Grauzonen l\u00f6sen Sie am besten mit einem L\u00f6schkonzept auf \u2013 einem Paper, das \u00e4hnlich wie in Punkt 3 die Stationen des Daten-L\u00f6schens grob beschreibt.<\/p>\n

5. Cyber-Security aufr\u00fcsten<\/b><\/p>\n

Eigentlich sollte Ihre digitale Kommunikation im Zeitalter der Cyber-Spionage ja nach neustem Stand der Technik verschl\u00fcsselt sein, oder? Aber vermutlich sieht die Realit\u00e4t anders aus. Die DSGVO gibt Ihnen einen Grund mehr, der Datenverschl\u00fcsselung eine hohe Priorit\u00e4t einzur\u00e4umen. Denn eine Neuerung des Gesetzes ist essentiell f\u00fcr die Pr\u00e4vention zuk\u00fcnftiger Rechtsstreitigkeiten bei Datenschutzthemen: Wenn Ihr Unternehmen personenbezogene Daten ausreichend verschl\u00fcsselt, m\u00fcssen im Falle einer Datenschutzverletzung betroffene Personen nicht benachrichtigen werden (Art. 34 DSGVO).<\/p>\n

Investitionen in eine technologische Aufr\u00fcstung k\u00f6nnen sich also schnell mehrfach rentieren. Aber auch mit anderen Tools wie etwa Compliance Request Portalen sorgen Sie f\u00fcr mehr Datensicherheit- und Transparenz – und wappnen sich zugleich gegen Beschwerden und Klagen zu Datenschutzverst\u00f6\u00dfen.<\/p>\n

6. Die gesunde Paranoia pflegen: Datenschutz-Risiken senken mit Sichtschutz<\/b><\/p>\n

Schlussendlich sollten Sie mit einer gesunden Paranoia einen Blick f\u00fcr Punkte im Alltag entwickeln, an denen Sie mit kleinen Ma\u00dfnahmen gro\u00dfe Datenschutz-Risiken aus dem Weg r\u00e4umen k\u00f6nnen. Etwa mit einer Clean-Desk-Politik f\u00fcr alle Mitarbeiter, also einfache Regeln, nach denen kein Unbefugter Informationen sehen kann: richtig aktivierte Bildschirmschoner, verschlossene Unterlagen, mit Sichtschutzfolie beklebte Laptops und Touchpads, speziell gesch\u00fctzte Smartphones.<\/p>\n

Skype-Konferenz \u00fcber den US-Server? Lieber lassen<\/strong><\/p>\n

Und falls Sie gerne via Skype-Konferenz Personalgespr\u00e4che f\u00fchren oder Kandidaten f\u00fcr eine neue Stelle kennen lernen \u2013 bitte nicht vergessen, dass dies \u00fcber US-Server l\u00e4uft und daher Ihr sorgsames Vorgehen nach EU-DSGVO zunichtemachen kann \u2026<\/p>\n

http:\/\/www.fgnd-core.de<\/a><\/p>\n

\"\"<\/p>\n","protected":false},"excerpt":{"rendered":"

Last-Minute-Tipps zum Datenschutz von Gianluca De Lorenzis, CEO der FGND Group, einer Spezialberatung f\u00fcr Datenschutz-Compliance und IT-Sicherheit. Mit welchen konkreten Ma\u00dfnahmen auch mittelgro\u00dfe und kleinere Unternehmen die Pflichten und Regeln der neuen EU-Datenschutzgrundverordnung (DSGVO) – sie tritt heute in Kraft … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":19,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[6683,7336,7393,7392,7390,7391],"class_list":["post-667843","post","type-post","status-publish","format-standard","hentry","category-allgemein","tag-datenschutz-grundverordnung-dsgvo","tag-dsgvo","tag-fgnd-core","tag-fgnd-group","tag-gianluca-de-lorenzis","tag-last-minute-tipps"],"_links":{"self":[{"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/posts\/667843","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/users\/19"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/comments?post=667843"}],"version-history":[{"count":0,"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/posts\/667843\/revisions"}],"wp:attachment":[{"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/media?parent=667843"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/categories?post=667843"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/tags?post=667843"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}