Die DSGVO hat es mit Sicherheit zu einer sehr zweifelhaften Berühmtheit geschafft, denn sie hat viele Unternehmer viele Nerven gekostet. Unabhängig vom konkreten Ziel, welches generell sinnvoll ist, über die konkrete Umsetzung, über die am meisten gestritten wurde, ist sie nun einmal da und man kommt nicht an ihr vorbei, wenn man auf den Umgang mit Kundendaten nicht verzichten kann.
Wie bei fast allen großen Verordnungen und Gesetzen lassen sich die negativen Auswirkungen am besten organisatorisch und technisch begrenzen. Qualitätsmanagement hilft auch hier gezielt zu hohe Aufwände zu vermeiden und gleichzeitig noch weitere Parameter, wie etwa Kundenzufriedenheit, zu optimieren.
Was ist die DSGVO?
Durch die Datenschutzgrundverordnung DSGVO soll die Verarbeitung von personenbezogenen Daten EU-weit vereinheitlicht werden. Die Verarbeitung soll dadurch sicherer und transparenter werden. Insbesondere soll der Betroffene aber auch die volle Kontrolle über seine persönlichen Daten behalten, indem ihm umfangreiche Auskunftsrechte und auch ein Recht auf "vergessen" eingeräumt wird. Die wohl deutlichste Ausformung der DSGVO nehmen die meisten sicherlich im Internet war - durch die fast auf jeder Seite verwendeten Cookie-Banner, die in der Regel sowieso ungelesen weggeklickt werden. Jenseits dieser "nervigen" Ausprägung hat die DSGVO aber natürlich ihre Berechtigung und sorgt dafür, daß Unternehmen zukünftig sehr viel sorgfältiger mit personenbezogenen Daten umgehen müssen, als dies in der Vergangenheit der Fall war.
Wie man die DSSGVO einhält - mit systematischem Vorgehen
Die DSGVO ist eine sehr umfangreiche Verordnung, die in der Praxis eben auch schnell umfassende Folgen haben kann, wenn man nicht sorgfältig damit umgeht. Vor allem die Gefahr von Abmahnungen ist in diesem Bereich sehr hoch, weil sich eben viele "Verstösse" einfach auf Internetseiten finden lassen oder fehlende und unvollständige Datenschutzerklärungen schnell ins Auge fallen. Erfahrungen im Qualitätsmanagement, Audits und bei Bedarf eine geeignete Softwareunterstützung können helfen Risiken schnell und einfach zu mindern.
Empfohlene Schritte wie man die DSGVO einhält
Benennung eines Datenschutzverantwortlichen
Datenschutz geht zwar heute im Unternehmen jeden an, aber irgendjemand muss für Übersicht, Kontrolle und Verantwortlichkeit stehen. Der Datenschutzbeauftragte muss sich nicht zwangsweise in Vollzeit mit dem Thema beschäftigen, aber es muss für ihn dennoch eine hohe Prioriät haben. Er sorgt übergreifend für Vorgaben, kontrolliert eingeführte Maßnahmen und kümmert sich um eine stetige Verbesserung der eingesetzten Mittel. Er ist zudem der Ansprechpartner für alle von außen herangetragenen Fragen und Probleme im Bezug auf den Datenschutz. Für ihn ist es wichtig sich mit umfassenden Schulungen weiter fortzubilden und bei Bedarf seine Arbeit an untergeordnete Einheiten zu delegieren.
Audit, Audit, Audit
Wer keinen genauen Überblick darüber hat, wie, was und wo überhaupt genau an Daten im Unternehmen verarbeitet wird, der kann auch nicht entsprechende Maßnahmen zu deren sicheren Umgang planen und einführen. Es ist zu klären
- Welche Daten werden gesammelt und verarbeitet?
- Wieso und wozu werden diese Daten gesammelt? Sind sie wirklich notwendig?
- Wie werden die Daten gesammelt?
- Wie werden sie konkret verwendet und von wem?
- Wo werden diese Daten gespeichert?
- Wie werden die Daten aktuell geschützt?
- Wie lange werden die Daten vorgehalten und wie werden sie abschließend gelöscht?
Ausarbeitung von Prozessen
Sind die Prozesse identifiziert, die für den Datenschutz und die DSGVO relevant sind, so müssen diese bezüglich einer ganzen Reihe von Kriterien hin untersucht werden, die die Rechte der Kunden und Nutzer in diesem Bereich betreffen. Im Wesentlichen sind dies:
- Das Recht auf Information - es muss schnell und einfach möglich sein darüber zu informieren, welche Daten, aus welchen Gründen, wie lange verarbeitet werden.
- Das Recht auf Einsicht - den Betroffenen muss es auf Anfrage hin einfach und sicher möglich sein die persönlichen Daten einsehen zu können.
- Das Recht zur Berichtigung - falsche und unvollständige Daten müssen schnell korrigierbar sein
- Das Recht auf Löschung - Kunden und Nutzer können verlangen, dass ihre Daten gelöscht werden, solange sie nicht aus dringend notwendigen Gründen (z.B. steuerliche) langfristig vorgehalten werden müssen.
- Das Recht auf eingeschränkte Verarbeitung - Nutzer können verlangen, dass ihre Daten nur zu bestimmten Zwecken und nicht für andere Aufgaben verwendet werden (Werbung,...).
- Das Recht auf Portierung - Daten können auf Anfrage hin zu anderen Anbietern übertragen werden.
Der Aufwand dies alles sicher zustellen ist in der Praxis häufig sehr hoch und je höher, desto mehr veraltete Software oder unstrukturierte Prozesse zum Einsatz kommen. Einmal optimierte Prozesse müssen auch nicht zwangsläufig optimiert bleiben. Ständige Revision und Verbesserung werden notwendig.
Gezielt die DSGVO einhalten - mit einem übergreifenden Qualitätsmanagement
Ein sauber implemntiertes und auch "gelebtes" Qualitätsmanagement ist die Basis für eine moderne Datensicherheit und den verantwortungsvollen Umgang mit sensiblen Daten. Ohne fachliche Beratung ist dies in der heutigen, komplexen Wirtschaftswelt nur sehr schwer möglich. Vertrauen Sie sich also rechtzeitig einem fachlich versierten Berater an, der sie einerseits vor rechtlichen Problemen bewahren und auf der anderen Seite aber auch gezielt Aufwände minimieren kann. Die PeRoBa GmbH München hilft Ihnen gerne weiter.