Rechtssicherer Umgang mit der DSGVO

So wenden Sie die EU-Verordnung im Unternehmen richtig an

Auch Jahre nach der Einführung der EU-Verordnung stellt die Datenschutzgrundverordnung (DSGVO) viele Unternehmen vor Herausforderungen. In einer Welt, in der über IT-Systeme in exponentiell zunehmendem Umfang Daten ausgetauscht werden, steigt die Bedeutung, personenbezogene Daten zu schützen. Um die Konsequenzen verletzten Datenschutzes für Personen zu vermeiden, setzen sich die EU-Staaten für eine Befolgung des Datenschutzes ein. Zuwiderhandlungen können mit empfindlichen Bußgeldern sanktioniert werden. Doch wie können Unternehmen den Schutz personenbezogener Daten wirksam und mit vertretbarem Aufwand umsetzen?

Ein Profilfoto von Rolf Linkenbach, Experte in Sachen Datenschutz und DSGVO.


Über den Autor

Rolf Linkenbach

Weil effektiver Datenschutz und IT-Sicherheit ohne sorgfältige Schulung und Sensibilisierung von Fach- und Führungskräften nicht umsetzbar ist, setzt sich Rolf Linkenbach für interaktive, maßgeschneiderte E Learning-Anwendungen ein, die durch eine Kombination aus Praxisbeispielen, Gamification und Story-Telling eine wirksame Grundsensibilsierung leisten.

Zuvor war Rolf Linkenbach mehrere Jahre Marketing- und Vertriebsleiter der keydata GmbH.
Neben seiner Expertise im Datenschutz und in der IT-Sicherheit verfügt er über 20 Jahre Erfahrung
als Medienberater.

Inhaltsverzeichnis

Die größte Gefahr für den Schutz personenbezogener Daten besteht im möglichen Fehlverhalten von Mitarbeitern bei der Verarbeitung personenbezogener Daten.  

Aber auch Cyberangriffe, Phishing-Mails und zahlreiche weitere Formen der Cyberkriminalität nehmen zu und können zum Zugriff Dritter auf personenbezogene Daten und auch zur Manipulation oder zum Verlust personenbezogener Daten führen. Technisch-organisatorische Maßnahmen und Schulungen können helfen, solche Risiken abzufedern.

Durch geeignete Vorsichtmaßnahmen verringern Unternehmen die Risiken von Datenschutzpannen. Für den Fall, dass es ggf. durch einen schadhaften Cyberangriff doch zu einem Ernstfall kommen sollte, können Sie nachweisen, dass Sie Ihre Pflicht getan haben, sodass ggf. abgeschlossene Cyberversicherungen in der Zahlungspflicht stehen.

Bewährt hat sich eine fünfstufige Vorgehensweise, die dazu führt, dass so viel Datenschutz wie nötig und nicht so viel Datenschutz wie möglich betrieben wird.

In fünf einfachen Schritten gewappnet für Datenschutz und IT-Sicherheit

Eine Grafik, welche die fünf Schritte für Datenschutz und IT-Sicherheit zusammenfasst.

Sensibilisieren

Ein animierter Diplomhut schwebt über einem Tablet.

Einfache Erklärungen stoßen an ihre Grenze, wenn Sachverhalte komplex werden

Zu solchen Sachverhalten gehören zunehmend auch die zahlreichen Anforderungen, die rechtskonformer Datenschutz & IT- Sicherheit an Unternehmen stellen.

weiterlesen

Analysieren

Ein Mann untersucht mit einer Lupe ein Tablet.

Es empfiehlt sich, vorausschauend zu denken und zu handeln. 

Dazu gehört, frühzeitig aktuelle Entwicklungen in der DSGVO zu erkennen und Empfehlungen sowie Anforderungen, die sich daraus ergeben, in die betriebliche Praxis aufzunehmen.

weiterlesen

Synchronisieren

Mehrere Personen arbeiten gemeinsam an Laptops und Tablets.

Aus Einzelmaßnahmen muss ein rechtssicheres Datenschutzkonzept entstehen, das ganzheitlich umgesetzt wird.

Nach einer Datenschutzbestandsaufnahme sollten die im Unternehmen praktizierten Datenschutzmaßnahmen zu einem ganzheitlich angelegten Konzept ergänzt werden.

weiterlesen

Dokumentieren

Ein Finger drückt auf ein animiertes Dokument als Symbol für die nötige Dokumentation im Rahmen der DSGVO.

Eine weitere Anforderung der DSGVO ist die rechtssichere Dokumentation.

Neben den Datenschutzvorschriften fordert die DSGVO von Unternehmen auch die Konformität mit den erweiterten Nachweispflichten, die durch eine verständliche, detaillierte Dokumentation erfüllt werden.

weiterlesen

Optimieren

Aus einem Tablet schießen mehrere Graphen nach oben heraus.

Technische und organisatorische Maßnahmen müssen den Datenschutz sicherstellen.

Neben dem Management technischer Risiken für den Datenschutz müssen auch organisatorische Maßnahmen umgesetzt werden.

weiterlesen

Sensibilisieren – gezielte Schulungen zum Datenschutz

Um angemessen mit den Anforderungen des Datenschutzes umgehen zu können, müssen die Mitarbeiter, die personenbezogene Daten verarbeiten, für die damit verbundenen Risiken und für mögliche Datenschutz-Maßnahmen sensibilisiert werden.

Einfache Erklärungen stoßen an ihre Grenze, wenn Sachverhalte komplex werden. Zu solchen komplexen Sachverhalten gehören zunehmend auch die zahlreichen Anforderungen, die ein rechtskonformer Datenschutz und die dazu erforderliche IT- Sicherheit an Unternehmen stellen.

Herausforderung

Das angemessene Gleichgewicht von Datenschutz und IT-Sicherheit zu wahren, stellt eine ernstzunehmende Herausforderung dar. Machen Sie Ihre Beschäftigten und Führungskräfte im ersten Schritt mit den Inhalten der DSGVO und dem datenschutzkonformen Umgang mit personenbezogenen Daten vertraut.  

Datenschutzexperten sollten im Gespräch mit Führungskräften und Beschäftigten datenschutzrechtliche Sachverhalte in einfachen Worten anschaulich vermitteln, sodass die Informationen verstanden und verinnerlicht werden können. Mit der Zielsetzung, den Datenschutz und die IT-Sicherheit mit möglichst geringem Aufwand sicher zu bewältigen, werden praktikable Lösungsansätze gebraucht.

Lösungsansätze

Bewährt haben sich Online-Unternehmensschulungen zu den Themenfeldern „Einführung in den Datenschutz für Beschäftigte“ und „Einführung in den Datenschutz für Führungskräfte“, die in Zusammenarbeit mit Experten und dem Berufsverband der Datenschutzbeauftragten Deutschlands e.V. (BVD) produziert und ständig an die aktuelle Gesetzeslage angepasst werden.

Die Schulungen sollten dem Anspruch gerecht werden, neben einer nachhaltigen Sensibilisierung der Teilnehmer Zertifikate zu erlangen, die als Schulungsnachweis gegenüber den Aufsichtsbehörden dienen.  

Neben den Grundschulungen „Einführung in den Datenschutz für Beschäftigte“ und „Einführung in den Datenschutz für Führungskräfte“ sind auch eine Vielzahl an themenspezifischen Schulungen verfügbar.

Je risikoreicher die Verarbeitungstätigkeiten sind, desto häufiger sollten Unternehmensschulungen durchgeführt werden. Der Schulungszyklus ist gesetzlich nicht festgelegt und sollte grundsätzlich in Rücksprache mit dem verantwortlichen Experten nach dem jeweiligen Bedarf bestimmt werden, z. B. beim Eintritt neuer Mitarbeiter.  

Bei besonderen Kategorien personenbezogener Daten, wie z. B. Gesundheitsdaten, empfehlen Experten eine jährliche Schulung. Für die Schulung der Führungskräfte empfiehlt sich die klassische Vor-Ort-Schulung, da im Dialog mit den Datenschutzbeauftragten direkte Lösungsansätze ausgearbeitet werden können.

Mitarbeiter können außerdem wirkungsvoll für die Risiken des Datenschutzes sensibilisiert und geschult werden, indem sie simulierten, gezielten Phishing- und Cyberangriffen ausgesetzt werden.

Die Vorteile der Sensibilisierung mit Schulungen:

  • Datenschutz und IT-Sicherheitsschulungen stärken das Bewusstsein der Beschäftigten und Führungskräfte für datenschutzrelevante Probleme und Fragestellungen. Sie dämmen die Risiken möglichen Fehlverhaltens der Mitarbeiter entscheidend.  
  • Die Bereitschaft der Beschäftigten zu datenschutzkonformem Verhalten wird durch geeignete Schulungen nachhaltig gefördert.
  • Durch Zertifikate der Schulungen sind Nachweise für die Aufsichtsbehörden vorhanden.

Analysieren – ausführliche DSGVO-Audits

Es empfiehlt sich, vorausschauend zu denken und zu handeln. Dazu gehört, frühzeitig aktuelle Entwicklungen in der DSGVO zu erkennen und Empfehlungen sowie Anforderungen, die sich daraus ergeben, in die betriebliche Praxis aufzunehmen.  

So können Probleme vermieden werden, statt sie später mühsam beseitigen zu müssen. Für ein solches, proaktives Handeln brauchen Unternehmen die relevanten Hinweise auf neue, rechtliche Anforderungen sowie technische und organisatorische Möglichkeiten einer zielgerichteten und rechtssicheren, betrieblichen Umsetzung.

Herausforderung

In diesem zweiten Schritt sollte eine aussagekräftige und handlungsorientierte Analyse des Status quo und des individuellen Handlungsbedarfs von Unternehmen vorgenommen werden. Für die erfolgreiche Prävention möglicher Datenpannen oder Datenverluste ist eine enge Zusammenarbeit zwischen Unternehmen und Experten für den Datenschutz erforderlich.

Lösungsansätze

Datenschutzbestandsaufnahme:

Anhand eines praxisgerechten Datenschutz-Fragenkatalogs sollte ein Datenschutzexperte zunächst alle für den Datenschutz erforderlichen Informationen im auditierten Unternehmen erfassen. In einer ausführlichen Erfassung sollte der aktuelle Stand der Verarbeitung von personenbezogen Daten der einzelnen Verarbeitungsbereiche im Unternehmen aufgenommen werden.  

Jede neu geplante Einrichtung oder Änderung von Verfahren, mit denen personenbezogene Daten verarbeitet werden, ist im Rahmen der Befragung vorzulegen. Unternehmensdaten, Arbeitsprozesse, technisch-organisatorische Maßnahmen des Unternehmens und die genutzte IT-Infrastruktur sollten während der Aufnahme beurteilt werden. Außerdem sollten gemeinsam mit Experten sinnvolle Empfehlungen zur Optimierung des Datenschutzes herausgearbeitet werden.

Wiederkehrende Datenschutzaudits:  

Im Anschluss an die Bestandsaufnahme und das Herausarbeiten von Empfehlungen zur Optimierung des Datenschutzes sollte ein externer Experte, der vom Unternehmen als Datenschutzbeauftragter (DSB) bestellt wird, jährlich vor Ort die datenschutzrechtlichen Aktivitäten des Unternehmens auf den Stand der Umsetzung aller relevanten Vorschriften der DSGVO hin auditieren. Ziel der Datenschutzaudits ist die Schaffung einer fachkundigen Grundlage für die Entwicklung langfristiger Datenschutzstrategien.  

Das Engagement der auditierten Organisation ist maßgeblich für den Datenschutz. Der Schwerpunkt des Audits liegt vor allem auf der Frage, ob die Organisation Richtlinien und Verfahren zur Regulierung der Verarbeitung personenbezogener Daten implementiert hat und ob die Verarbeitung in Übereinstimmung mit diesen durchgeführt wird.  

Wenn eine Organisation die Anforderungen erfüllt, so identifiziert und kontrolliert sie effektiv Risiken, um Verstöße gegen die Datenschutzbestimmungen generell zu verhindern.  

Bei einem Audit werden in der Regel die Verfahren, Systeme und Aktivitäten der Organisation bewertet, um sicherzustellen, dass die entsprechenden Richtlinien auch eingehalten werden. Der Umfang des Audits wird vorher in Absprache mit der Organisation verbindlich vereinbart.  

Dabei werden sowohl allgemeine Datenschutzprobleme als auch organisationsspezifische Bedenken hinsichtlich Datenschutzrichtlinien und -verfahren aufgezeigt. Außerdem werden relevante Datenschutzrisiken nach der DSGVO innerhalb von Organisationen anhand einer Checkliste identifiziert.

Die Vorteile von regelmäßigen Audits:

  • Revisionssichere Registrierung sämtlicher geprüfter Daten im Auditverzeichnis.
  • Experten-Know-how zur Identifizierung von Datenschutzrisiken und zu organisationsspezifischen Empfehlungen für deren Abstellung.  
  • Unabhängige Unterstützung bei der Gewährleistung der Einhaltung der Datenschutzrichtlinien.
  • Austausch von Wissen mit geschultem, erfahrenem und qualifiziertem Personal und eine verbesserte Arbeitsbeziehung mit dem Unternehmen und seinen Mitarbeitern.  
  • Ein externer Datenschutzbeauftragter (DSB) verfügt nicht nur über aktuelle Informationen zu den Anforderungen an den Datenschutz, sondern auch über Implementierungserfahrung. Vor allem aber ist er unbefangen.

Synchronisieren – für ein ganzheitliches Datenschutzkonzept

Aus identifizierten Einzelmaßnahmen muss ein rechtssicheres Datenschutzkonzept entstehen, das ganzheitlich umgesetzt werden kann. Nach der Datenschutzbestandsaufnahme sollten die bereits durchgeführten Datenschutzmaßnahmen in Zusammenarbeit mit einem erfahrenen Experten durch weitere sinnvolle Datenschutz-Management-Maßnahmen ergänzt und abgestimmt werden.

Herausforderung

In diesem dritten Schritt sollten Unternehmen gemeinsam mit Ihrem Datenschutzexperten ein Konzept für ein rechtskonformes Datenschutzniveau im Unternehmen erarbeiten.

Lösungsansätze

Datenverarbeitungstätigkeiten und weitere datenschutzrechtliche Infrastrukturen sollten einer Risikoanalyse unterzogen werden, um die Risiken einer Datenpanne oder des Datenverlustes zu evaluieren.

Die Vorteile eines ganzheitlichen Konzepts:

  • Der Schutz von Daten ist eine gemeinsame Aufgabe aller Beteiligten. Personen mit Zugriff auf Daten sind für den Zugriff, die Speicherung und die Verarbeitung von Daten auf Systemen verantwortlich, für die geeignete Sicherheitskontrollen für jede Datenklasse vorhanden sind. Einzelpersonen sollten sich an ihre lokalen IT-Support-Gruppen wenden, um herauszufinden, wie sie am besten auf ihre Daten zugreifen, diese speichern und sinnvoll verwenden können.  
  • In jedem Fall müssen die Normen des Datenschutzes bundesweit einheitlich gewahrt bleiben.  
  • Durch die Synchronisierung bestehender Datenschutzmaßnahmen mit den Ergebnissen der Risikoanalysen und weiteren Datenschutz-Tools wird die Gefahr für Datenpannen und Datenverlaust dauerhaft auf das kleinstmögliche Minimum gesenkt.

Dokumentieren – die Nachweispflichten der DSGVO erfüllen

Neben den Datenschutzvorschriften fordert die DSGVO von Unternehmen auch die Konformität mit den erweiterten Nachweispflichten, die durch eine verständliche, detaillierte Dokumentation erfüllt werden können.  

Herausforderung

Im vierten Schritt sollten die durchgeführten Datenschutzmaßnahmen vollständig dokumentiert werden. Etwaige Sicherheitslücken, die sich aus der Evaluation des ersten Datenschutzaudits ergeben haben, können dadurch erkannt und gezielt geschlossen werden.  

Lösungsansätze

Externe Datenschutzbeauftragte können Unternehmen in diesem Schritt Handlungsempfehlungen & Lösungsvorschläge unterbreiten.

Bestandteil der Dokumentationsvorschriften sind vor allem folgende:

  • die benötigten Datenschutzerklärungen  
  • das Verzeichnis von Verarbeitungstätigkeiten (VTT)  
  • die technisch-organisatorischen Maßnahmen (TOM)  
  • und die Auftragsverarbeitungsverträge (AVV)  

Diese Verzeichnisse und TOM können direkt in Zusammenarbeit mit einem Datenschutzbeauftragten erstellt werden.

Das Ergebnis eines erfolgreichen Datenschutzmanagements muss die korrekte und sichere Verarbeitung personenbezogener Daten gewährleisten, die rechtlich sowie technisch und organisatorisch sichergestellt werden soll.  

Ein erfahrener Datenschutzbeauftragter führt seine Mandanten durch alle Maßnahmen, die umgesetzt werden müssen, damit das Unternehmen mit der DSGVO konform wird. Ein professioneller DSB hält seine Mandanten über veränderte Anforderungen an den Datenschutz laufend informiert und stellt ihnen anwaltlich geprüfte Arbeitsmittel zur Verfügung. Er übernimmt für seine Mandanten auch die Kommunikation mit der zuständigen Landesbehörde für Informationssicherheit und Datenschutz.

Die Vorteile einer professionellen Dokumentation:

  • Durch eine professionelle Dokumentation kann im Falle einer Kontrolle durch die Behörden oder in aufsichtsbehördlichen (Bußgeld-)Verfahren der unternehmensinterne Datenschutz konkret nachgewiesen werden.
  • Eine Kontrolle oder ein drohendes Bußgeld kann gemildert oder sogar verhindert werden (Art. 83.2 DSGVO).

Optimieren – Datenschutz als steter Prozess

Es reicht leider nicht, einmal Maßnahmen für den Datenschutz zu ergreifen; vielmehr ist Datenschutz als ein laufender Prozess zu betrachten, in den gesetzliche Änderungen ebenso einfließen sollten wie Änderungen des eigenen Geschäftsmodells und der betrieblichen Prozesse sowie neue cyberkriminelle Herausforderungen.

Herausforderung:

Im fünften Schritt sollten Unternehmen ihren Datenschutz nicht nur mit Hilfe technisch-organisatorischer Maßnahmen optimieren, sondern ihr Team außerdem durch simulierte, gezielte Phishing- und Cyberangriffe für die Risiken des Datenschutzes sensibilisieren.  

Lösungsansätze

Es empfiehlt sich, im Unternehmen einen funktionierenden Kreislauf aufzubauen, in dem die Qualität des Datenschutzes in Feedback-Prozessen wachsen kann und die Konformität mit der DSGVO nachhaltig sichergestellt wird. Das ist ein komplexer Prozess, den erfahrene Datenschutzexperten beherrschen sollten.  

Die Vorteile steter Optimierung:

  • Die Bedeutung innovativer Lerntechniken für die Cybersicherheit kann kaum hoch genug bewertet werden.  
  • Viele offene Stellen im Bereich Cybersicherheit müssen besetzt werden, um Cyberkriminalität wirksam zu bekämpfen.
  • Durch geeignete laufende Vorsichtmaßnahmen verringern Unternehmen die Risiken einer Datenschutzpanne.  
  • Für den Fall, dass es ggf. durch einen schadhaften Cyberangriff doch zu einem Ernstfall kommen sollte, können Sie nachweisen, dass Sie Ihre Pflicht getan haben, sodass gegebenenfalls abgeschlossene Cyberversicherungen in der Zahlungspflicht stehen.

Über keydata. Wir bieten Ihnen:

  1. Kostenloses Erstgespräch 
  2. Basispaket für Kleinunternehmen < 20 Mitarbeiter
  3. Externer Datenschutzbeauftragter für Mittel- und Großunternehmen > 20 Mitarbeiter
  4. Externer IT-Sicherheitsbeauftragter  
  5. IT-Grundschutz  
  6. Datenschutzaudits 
  7. Unternehmensschulungen 
    • E-Learnings
    • Vor-Ort-Schulungen 

Details zu den Unternehmensschulungen  

Teaser-Video ansehen

Sprache: deutsch/englisch/spanisch auf Wunsch mit Untertiteln.
Serverstandort: Deutschland/datenschutzkonform
Rechenzentrum: ISO27001 zertifiziert
Darstellung: browserbasiert, kein Download einer Software erforderlich, responsive Design
Zeitaufwand: pro E-Learning ca. 45 Min.

DSGVO gültiges, personalisiertes Teilnahmezertifikat nach Bestehen einer Prüfung in Form eines Quiz.

Preisliste Unternehmensschulungen 2023

Für weitere Informationen zu den Schulungsbereichen klicken Sie auf die entsprechenden Themenboxen Datenschutz, IT-Sicherheit, Informations-Sicherheit.

keydata Logo für Datenschutz.
keydata Logo für IT-Sicherheit.
keydata Logo für Informationssicherheit.

.

Kontaktdaten zu keydata, Geschäftspartner des Autors

Dirk Treibich
Geschäftsführender Gesellschafter

keydata GmbH
Rheinstraße 30
56355 Nastätten

Telefon: +49 6772 91080
E-Mail:  d.treibich@keydata.GmbH

Dialog

Wo liegen Ihre Herausforderungen?

...
Dialog neu starten
Call