Blog

Wie können Unternehmen Datenschutz und Datensicherheit richtig umsetzen?

Die korrekte Umsetzung des Datenschutzes und der Datensicherheit in einem Unternehmen ist entscheidend, um die Privatsphäre der Kunden und Mitarbeiter zu schützen und den gesetzlichen Anforderungen zu entsprechen. Ich beschreibe hier 11 Schritte, die Unternehmen befolgen können, um den Datenschutz richtig umzusetzen:

Datenschutzleit- und -richtlinien entwickeln:

Erstellen Sie klare Datenschutzleit- und -richtlinien, die die Art der gesammelten Daten, den Zweck ihrer Verwendung, die Speicherungsdauer und die Sicherheitsmaßnahmen erläutern. Erschaffen sie Klarheit für ihr Unternehmen. Nach innen und nach außen.

Mit einer Richtlinie entsteht eine neue Unternehmenskultur und damit gelebter Datenschutz. Was passiert bei einem Notfall oder einem Datenschutzvorfall? Gibt es hier klare Regeln und Vorgaben, fällt es allen leichter damit umzugehen. Nach außen wird ihr Unternehmen als vertrauensvoll wahrgenommen. Kunden mögen Sicherheit und Verlässlichkeit, denn es sind u.a. Kundendaten, die von ihnen verarbeitet werden. Diese Erfahrung habe ich bei jedem betreutem Unternehmen erkennen können.

Dazu gehören sämtliche Dokumentationen, die in einem Datenschutzhandbuch zusammengeführt werden. Auftragsverarbeitungsverträge, Verzeichnis der Verarbeitungstätigkeiten, technisch-organisatorische Maßnahmen, Betroffenenanfragen, Löschkonzept, Notfall- und Katastrophenplan, etc.

Datenschutzbeauftragten benennen:

Falls erforderlich, benennen Sie einen Datenschutzbeauftragten (DSB). In einigen Ländern und Branchen ist dies gesetzlich vorgeschrieben. U.a. wenn 20 oder mehr Personen in ihrem Unternehmen personenbezogene Daten verarbeiten, muss ein DSB bestellt werden. Das kann ein interner (betrieblicher) oder ein externer DSB sein. Die Wahl für welche Variante, ist ihnen freigestellt. Ein betrieblicher DSB ist dicht dran und kennt „den Laden“. Ein externer DSB ist weniger vor Ort, dafür oft mit einem Blick von außen bei ihnen. Beides hat Vor- und Nachteile und bleibt ihre Entscheidung. Ein externer ist günstiger und übernimmt gemäß seines Vertrages eine Haftung bei falscher Beratung.

Ein DSB arbeitet immer weisungsfrei und berät den verantwortlichen Geschäftsführer direkt.

Mitarbeiter schulen:

Schulen Sie Ihre Mitarbeiter regelmäßig im Datenschutz, damit sie die Richtlinien verstehen und sicherstellen können, dass sie eingehalten werden. Datenschutzschulungen müssen mindestens einmal jährlich durchgeführt werden. Der DSB kann diese Schulungen übernehmen. Alternativ gibt es dafür auch Onlineangebote.

Datenschutz durch Design und Standarddatenschutzeinstellungen implementieren:

Integrieren Sie Datenschutzmaßnahmen bereits in den Entwicklungsprozess von Produkten und Dienstleistungen (Privacy by Design), um die Datensicherheit anzupassen. Definieren Sie standardmäßige Datenschutzeinstellungen, um die Datensicherheit zu maximieren. Hier ist eine gute Zusammenarbeit mit einem qualifizierten IT-Dienstleistungsunternehmen zu empfehlen. DSB und IT arbeiten hier zusammen und deshalb empfehle ich diese beiden Bereiche immer getrennt zu halten, damit kein Interessenkonflikt entsteht.

Einwilligungen einholen:

Holen Sie Einwilligungen von Kunden ein, bevor Sie deren personenbezogene Daten verarbeiten. Klären Sie dabei deutlich über den Zweck und den Umfang der Datenverarbeitung auf. (Informieren). Bedenken sie weitere Einwilligung beim Empfang der Daten über Dritte und z.B. Newsletter Versand (Double-Opt-In)

Das gleiche geht für ihre eigenen Mitarbeiter. Nicht zu vergessen sind Einwilligungen auch für Bild und Werberechte, Social-Media-Kanäle, u.ä.

Sicherheitsmaßnahmen implementieren:

Ergreifen Sie angemessene technische und organisatorische Maßnahmen, um die Sicherheit der Daten zu gewährleisten. Dazu gehören Passwortrichtlinien, Verschlüsselung, Backup-Strategie, Zugangs- und Zugriffskontrollen und regelmäßige Sicherheitsaudits. Updates von Betriebssystemen, Software, Router usw. Kameraüberwachung des Gebäudes / Geländes.

Datenminimierung und Speicherbegrenzung:

Erfassen Sie nur die Daten, die wirklich benötigt werden, und begrenzen Sie die Speicherung auf einen angemessenen Zeitraum.

Als Beispiel nehmen wie ein Kontaktformular für einen Newsletter eines Schuhgeschäftes:

Vorname, Name, Schuhgröße, wieviel Personen im Haushalt, sind keine notwendigen Daten und dürfen nicht als Pflichtfeld angegeben sein. Der Gesetzgeber legt fest, dass tatsächlich nur die E-Mail-Adresse ausreichend ist, um einen Newsletter zu bestellen.

Möchte ich mehr Daten meiner Kunden erheben und speichern, kann ich das später noch anfragen. Das sogenannte berechtigte Interesse des Unternehmens wir hier in sehr engen Grenzen gesehen.

Rechte der Betroffenen respektieren:

Respektieren Sie die Rechte der betroffenen Personen, wie das Recht auf Auskunft, Berichtigung, Löschung und Widerspruch. Es sind Grundsätze und -rechte die in der DSGVO (Datenschutzgrundverordnung) für alle festgelegt sind. Bei Missachtung dieser Rechte drohen hohe Bußgelder.

Datenschutz-Folgenabschätzung durchführen:

Bei risikoreichen Datenverarbeitungen führen Sie eine Datenschutz-Folgenabschätzung durch, um potenzielle Risiken zu identifizieren und geeignete Maßnahmen zu ergreifen. Eine solche Abschätzung sollte immer von einem Datenschutzbeauftragten oder IT-Rechtsanwalt beratend begleitet werden.

Datenschutzverletzungen melden:

Melden Sie Datenschutzverletzungen umgehend den zuständigen Aufsichtsbehörden und informieren Sie betroffene Personen, wenn ihre Daten gefährdet sind. Die Frist beträgt 72 Stunden. Die Meldung erfolgt über ein Online-Portal der zuständigen Aufsichtsbehörde des jeweiligen Bundeslandes (in Deutschland).

Es gibt 3 Kategorien: gering, mittel und hoch als Risikobewertung der Offenlegung von personenbezogenen Daten. Alles muss schriftlich festgehalten werden.

Regelmäßige Überprüfungen und Aktualisierungen:

Überprüfen Sie regelmäßig Ihre Datenschutzpraktiken und passen Sie diese bei Bedarf an, um sicherzustellen, dass sie mit aktuellen Datenschutzbestimmungen übereinstimmen.

Es ist wichtig zu beachten, dass Datenschutzgesetze je nach Land variieren können. Unternehmen sollten daher die spezifischen Gesetze und Vorschriften in ihrem Tätigkeitsbereich berücksichtigen und gegebenenfalls (datenschutz)-rechtlichen Rat einholen.

Möchtest du mehr über eine Zusammenarbeit mit mir erfahren? Dann schreibe mir eine Nachricht und wir klären deine offenen Fragen.

Nach oben scrollen