Last-Minute-Tipps für die DSGVO
Bestandsaufnahme
Unabhängig davon, wie engmaschig die Prüfungen der Behörden ausfallen – Firmen sollten nicht fahrlässig Risiken eingehen. Kleine Firmen können in kurzer Zeit ein Grundgerüst für die Datenschutz-Grundverordnung schaffen. Im ersten Schritt geht es um eine Bestandsaufnahme der Daten und Prozesse im Unternehmen. Das heisst, zunächst ist zu klären, welche Kategorien von personenbezogenen Daten überhaupt vorhanden sind. Das können beispielsweise Kontaktdaten, Stammdaten, Vertragsdaten oder Forderungsdaten sein.
Die DSGVO fordert ein Verfahrensverzeichnis ein, mit dem Unternehmen ihre Datenverarbeitung dokumentieren. Für Unternehmen, die sich bisher kaum mit der DSGVO auseinandergesetzt haben, ist die Erstellung eines solchen Verzeichnisses eine der wichtigsten Aufgaben. Sie müssen hier unter anderem folgende Fragen beantworten können: Wo in meinen Geschäftsprozessen verwende und verarbeite ich Daten von Kunden und Interessenten (zum Beispiel Angebotserstellung)? In welchen Systemen sind diese Daten gespeichert? Zu welchen Zwecken werden sie genutzt? Wer greift wie oft mit welchen Rechten auf diese Daten zu?
“„Möglicherweise sind die Behörden bei kleinen Firmen am Anfang noch etwas milder, aber bei großen Unternehmen und vor allem Technologielieferanten wie Cloud-Anbietern aus den USA sollten sie streng prüfen.“„
Günter Junk
CEO Virtual Solution
www.virtual-solution.com
«Dieses Verzeichnis von Verarbeitungstätigkeiten muss natürlich auch aufzeigen, wie Daten der eigenen Mitarbeiter im Unternehmen verarbeitet werden. Im Grunde ist das gesamte Verzeichnis – für alle Datenverarbeitungsprozesse – aber erst ab einer Unternehmensgrösse von 250 Mitarbeitern verpflichtend. Es lohnt sich dennoch für alle Unternehmen, da sie dann ohne Probleme ihre Informationspflichten erfüllen, die neu mit der DSGVO eingeführt werden, und schnell auf Anfragen von Betroffenen reagieren können», erläutert Daniela Gaub vom BDIU.
Und Virtual-Solution-CEO Günter Junk ergänzt: «Zu den Grundlagen gehört es, die eigene IT-Infrastruktur zu ermitteln, ebenso die jeweiligen Applikationen, und wie welche Daten vernetzt sind. Ausserdem muss geklärt sein, wer Zugriff auf die Daten hat. Wenn Firmen diese drei Punkte wissen, haben sie schon viel erreicht.»
Weitere Schritte
Das sind nur die Basics. Unverzichtbar sind auch Richtlinien für Mitarbeiter, die festlegen, wie diese mit Daten umgehen dürfen. Wer online tätig wird und eine Datenschutzerklärung benötigt, sollte vor dem Stichtag auch dringend die Datenschutzerklärung überarbeiten, da die neuen Regeln hier Änderungen vorschreiben. Kleine Firmen können zudem einen externen Datenschutzbeauftragten buchen (oder sich gemeinsam mit anderen Firmen teilen), der die wichtigsten Massnahmen vorantreibt.
Der nächste Punkt auf der Prioritäten-Liste ist die Klassifizierung der personenbezogenen Daten mit Risikoanalyse. Wie sensibel sind die Daten, die wir haben? Wie hoch ist das Risiko eines Angriffs auf diese Daten? Sind diese Daten notwendig? Das Motto sollten lauten: «So viel wie nötig, so wenig wie möglich speichern.»
Sonderfall mobile Geräte
Eine besondere Herausforderung hinsichtlich der DSGVO sind mobile Geräte. Sie lassen sich schwer kontrollieren, da sich viele Nutzer nicht an Vorgaben und Richtlinien halten. Zudem setzen sie ihre Geräte oft sowohl privat als auch beruflich ein. Daher wissen die Firmen oft nicht komplett, wer Zugriff auf Daten hat und wie diese verarbeitet werden.
Abhilfe schaffen hier Container-Lösungen. Mit ihrer Hilfe lassen sich die Apps und Daten eines Unternehmens auf dem mobilen Gerät in einer geschützten, abgeschotteten Umgebung betreiben. Dadurch wird verhindert, dass Daten unkontrolliert ab- oder zufliessen beziehungsweise manipuliert werden können.