Bereiten Sie Ihr Unternehmen mit unserem EU-DSGVO Stufenplan auf das Europäische Datenschutzgesetz vor

//Bereiten Sie Ihr Unternehmen mit unserem EU-DSGVO Stufenplan auf das Europäische Datenschutzgesetz vor

Am 25. Mai 2018 tritt die EU-DSGVO in Kraft. Das Ziel des neuen Europäischen Datenschutzgesetzes ist, personenbezogene Daten besser zu schützen und diesen Schutz in der gesamten EU zu gewährleisten. Für Unternehmen bedeutet dies, dass sie den Schutz personenbezogener Daten (erneut) analysieren und ggf. verbessern müssen. Wie gehen Sie am besten vor? Welche Schritte unternehmen Sie wann und wie funktioniert das in der Praxis? In diesem Artikel beschreiben wir die einzelnen Schritte, die notwendig sind, um am 25. Mai 2018 auf die neue Gesetzgebung vorbereitet zu sein. Sie können den EU-DEGVO Stufenplan als Richtlinie verwenden, um die Prozessen in Ihrem Unternehmen unter die Lupe zu nehmen und wenn otwendig zu optimieren.

Jetzt mit dem EU-DSGVO Stufenplan beginnen

Um der EU-DSGVO zu entsprechen sind die zu unternehmenden Schritte für alle Unternehmen gleich. Den EU-DSGVO Stufenplan finden Sie in der untenstehenden Infografik. Es ist natürlich je Unternehmen unterschiedlich, ob zusätzliche Schritte unternommen werden müssen, und wie genau diese aussehen. Dazu erfahren Sie später mehr. Erst beschreiben wir die Schritte, die Sie als roten Faden bis Mai 2018 nutzen können.

EU-DSGVO Stufenplan

1. Vorbereiten

Zur Vorbereitung des gesamten Prozesses ist es zu allererst wichtig zu wissen, welche personenbezogenen Daten Ihr Unternehmen verarbeitet. Das sind alle Daten die direkt oder indirekt mit einer echten Person zu tun haben. Denken Sie dabei zum Beispiel an Telefonnummern, E-Mailadressen, Kontonummern von Kunden, Lieferanten oder Geschäftspartnern, aber auch an besondere personenbezogene Daten wie z. B. medizinische Dossiers.

Es müssen von allen Daten, die Ihr Unternehmen verarbeitet, einige Dinge klar sein:

  • Was ist das Ziel der Datenverarbeitung?
  • Welche Sorte Daten werden verarbeitet?
  • Was beinhaltet die Verarbeitung dieser Daten?
  • Wo werden diese Daten aufbewahrt?

Mit dieser Übersicht verschaffen Sie sich einen Einblick in die Datenverarbeitung ihres Unternehmens und sehen Sie, welche gesetzlichen Pflichten und Erwartungen gegenüber den Betroffenen eingehalten werden müssen. Danach fahren Sie mit dem Prozess fort.

2. Risikoanalyse ausführen

Wenn Sie sich eine Übersicht aller Datenverarbeitung verschafft haben, erwägen Sie was damit passieren kann. Was kann während der Verarbeitung passieren, wodurch der Schutz der personenbezogenen Daten der Betroffen in Gefahr gerät? Für jede dieser Bedrohungen legen Sie fest, wie hoch die Wahrscheinlichkeit ist, dass dieses Risiko tatsächlich auftritt (Chance) und wie ernst die Folgen in diesem Fall sind (Auswirkung). Auf Basis der Chance und Auswirkung wählen Sie die Risiken, bei denen Handlungsbedarf besteht und in welcher Reihenfolge. Einige Risiken haben Priorität und andere müssen Sie vorläufig in Kauf nehmen. Sie suchen hierbei nach dem optimalen Datenschutz innerhalb der zur Verfügung stehenden Zeit, Mitteln und Kenntnis.

EU-DSGVO Stufenplan - Datenschutz - E-Learning

Benutzen Sie z.B. unser Training für Datenschutz oder die EU-DSGVO, um Ihre Mitarbeiter zu zeigen, wie sie sicher mit vertraulichen und personenbezogenen Daten umgehen müssen.

Außer der Tatsache, dass eine Risikoanalyse es Ihnen ermöglicht, die richtigen Entscheidungen in Ihren Prozessen zu treffen, sorgt dies auch dafür, dass Sie sich gegenüber der Behörde für Datenschutz verantworten können. Indem Sie nachweisen können, welche Risiken sich in Ihrem Unternehmen vor tun, und welche Abwägungen Sie getroffen haben, weisen Sie nach, dass die entsprechenden Maßnahmen für die größten Risiken getroffen haben. Für die EU-DSGVO ist das sehr wichtig: Sie müssen nachweisen können „In Control“ zu sein. Welche Maßnahmen Ihr Unternehmen ergreift, ergibt sich aus den Richtlinien, die Sie Anhand der Risikoanalyse erstellen.

3. Richtlinien ausarbeiten

Nachdem die Ergebnisse der Risikoanalyse ausgewertet sind, arbeiten Sie Richtlinien aus, oder überarbeiten die heutigen Richtlinien. Darin legen Sie auch fest, wie ihr Unternehmen mit personenbezogenen Daten und deren Schutz umgeht. Die Risikoanalyse ist der Leitfaden: Sie legen Maßnahmen für die wichtigsten Risiken fest. Dies verschafft den Mitarbeitern des Unternehmens Übersicht, wie sie handeln müssen, um den Datenschutz für die Betroffenen zu gewährleisten und die Vorschriften der EU-DSGVO einzuhalten.

Bei der Wahl der Maßnahmen oder bei der Optimalisierung der Richtlinie ist es wichtig, sich an die Regeln der EU-DSGVO zu halten. In der EU-DSGVO sind unter anderem die Pflichten des Verarbeitungsverantwortlichen, des Verarbeitenden und die Rechte des Betroffen festgelegt. Alle Regeln, an die sich ihr Unternehmen gemäß der EU-DSGVO halten muss, müssen mit Ihren Richtlinien abgedeckt sein.

Wenn Ihnen nicht klar ist, womit Sie beim Erstellen der (neuen) Richtlinien beginnen sollen, verwenden Sie vorhandene Normen, wie die ISO 27001. In dieser Norm ist beschrieben, wie Sie ausreichende Informationssicherheit garantieren. Dies kann Ihnen als Ausgangspunkt für Ihre eigenen Richtlinien dienen. Denken Sie darüber nach, was sie aus dieser Norm übernehmen möchten. Überlegen Sie, welche Anpassungen Sie aufgrund der Norm an ihrer heutigen Richtlinie vornehmen möchten. Abhängig von der Art ihres Unternehmens und des Risikomanagements können Sie auch andere Normen als die ISO27010 verwenden, wie beispielsweise CobIT. Beurteilen Sie die Ergebnisse der Risikoanalyse, um kritisch nach den Normen zu sehen. Damit wählen Sie die passenden Maßnahmen für ihr Unternehmen und die dort verarbeiteten personenbezogenen Daten.

4. Richtlinie einführen

Wenn Sie die Richtlinie für ihr Unternehmen erstellt haben, muss diese im Unternehmen implementiert werden. In der Richtlinie sind die zu ergreifenden Maßnahmen beschrieben, die notwendig sind, um sicher mit den wichtigsten Risiken umzugehen. Die Maßnahmen sind unterteilt in juristische, organisatorische und technische Maßnahmen. Außerdem ist Awareness ein wichtiger Punkt, der für alle Unternehmen wertvoll ist. Es ist sehr wichtig, dass alle Mitarbeiter wissen, dass es diese Richtlinie gibt und sie sich daran halten. Um dies zu erreichen, müssen sich alle Mitarbeiter der Risiken im Zusammenhang mit der Verarbeitung personenbezogener Daten bewusst sein. Mit Hilfe einer Security Awareness-Kampagne lernen Mitarbeiter, wie Sie mit diesen Daten und deren Sicherheit umgehen und wie sie mit anderen kommunizieren müssen. Es ist ein essentieller Teil des Prozesses. Dieser sorgt dafür, dass das Unternehmen die Richtlinien gut einführt.

5. Monitoren und reagieren

Es ist natürlich wichtig, um Bußen zu verhindern, vor dem 25, Mei 2018 auf die EU-DSGVO vorbereitet zu sein. Noch wichtiger ist, dass der Datenschutz ihrer Kunden, Lieferanten, Geschäftspartner und Mitarbeiter immer garantieren wollen. Dafür ist es wichtig, dass Sie mit den neuesten Prozessen und Maßnahmen arbeiten. Damit bemerken Sie Verletzungen des Datenschutzes und können schnell und effektiv reagieren.

Um dafür zu sorgen, dass die Maßnahmen immer auf dem neuesten Stand sind, ist es wichtig, die Richtlinie, die eingeführten Maßnahmen und die Risiken fortlaufend zu monitoren. Deckt die heutige Richtlinie die heutige Situation? Sind die Maßnahmen effektiv? Gibt es neue Risiken? Der Einsatz des PDCA-Zyklus (Plan – Do – Check – Act) hilft Ihnen dabei, das Monitoring strukturiert durchzuführen. Beim Durchlaufen des PDCA-Zyklus wird Ihnen bewusst, dass Sie die früheren Schritte wiederholen müssen, um die passenden Ergänzungen und Anpassungen zu finden.

Zeitplanung und Durchführung

Wenn Sie den beschriebenen EU-DSGVO Stufenplan durchlaufen, helfen Sie ihrer Organisation beim Datenschutz und der Einhaltung der EU-DSGVO. Diese Schritte sind für beinah alle Unternehmen dieselben, aber die Zeitplanung und die genaue Durchführung der Schritte sind je Unternehmen unterschiedlich. Es scheint möglicherweise noch weit weg bis zum 25. Mai 2018, aber seien Sie sich bewusst, dass die kommenden paar Monate schneller umgehen, als Sie denken. Um Rückschläge und Enttäuschungen zu verhindern, ist es sinnvoll eine Zeitplanung für ihr Unternehmen zu erstellen. Wieviel Zeit benötigen Sie für jeden Schritt im Prozess? Wo erwarten Sie mögliche Rückschläge? Welche Stakeholder müssen bei dem Prozess einbezogen werden? Die Antworten auf diese Fragen, sorgen für eine realistische Zeitplanung.

Es ist außerdem sinnvoll, darüber nachzudenken, ob der EU-DSGVO Stufenplan für ihr Unternehmen ausreichend und passend ist. Möglicherweise haben Sie in ihrem Unternehmen mit besonders strenger Gesetzgebung zu tun oder es werden besonders viele besondere personenbezogene Daten verarbeitet. Das kann sowohl die genaue Durchführung der einzelnen Schritte beeinflussen, als auch die Zeitplanung. Bereiten Sie den Prozess gut vor. Damit verhindern Sie, dass Sie im letzten Moment unangenehm überrascht werden.

2018-11-28T12:02:03+01:0013 September 2017|
Lorem luctus elementum commodo dolor. elit. quis, tristique ut venenatis, Phasellus