Datenschutz zielt darauf ab, den Missbrauch von personenbezogenen Informationen zu verhindern, da solcher Missbrauch strafbar ist und daher gesetzlich geregelt wird. Fehler in der Datenverarbeitung können sowohl absichtlich als auch versehentlich geschehen. Strafbar ist es, wenn personenbezogene Daten verloren gehen oder in falsche Hände geraten.

Die Umsetzung der DSGVO in Unternehmen und Organisationen erfordert folgende Schlüsselschritte:

Schritt 1: Bewusstsein schaffen.
Zu allererst muss ein Bewusstsein im Unternehmen beschaffen sein, dass der Datenschutz wichtig ist und was man beachten muss. Stellen Sie sicher, dass alle Mitarbeiter im Unternehmen über die DSGVO informiert sind und deren Bedeutung verstehen.

Sensibilisieren Sie Ihre Mitarbeiter für Datenschutzfragen und schulen Sie sie im Umgang mit personenbezogenen Daten. Die Schulung ist zwar gesetzlich nicht vorgeschrieben, sie ist aber ein guter Nachweis, falls das Datenschutzbewusstsein angezweifelt wird.

Schritt 2: Datenschutzbeauftragten benennen (falls erforderlich): Prüfen Sie, ob Sie einen Datenschutzbeauftragten benötigen. Dies hängt von der Art und dem Umfang der Datenverarbeitung in Ihrem Unternehmen ab.

Schritt 3: Dokumentation von Abläufen und die hierfür genutzte Technik

Es ist essenziell, einen klaren Überblick über vorhandene Informationen, ihre Speicherorte und den Zugriff darauf zu haben. Unternehmen müssen nachweisen, dass sie personenbezogene Daten ordnungsgemäß verarbeiten. Hierzu werden alle relevanten Prozesse in Verfahrensverzeichnissen gemäß der DSGVO dokumentiert.

Nachdem die Abläufe und Verfahren erfasst sind, werden die damit verbundenen und genutzten Technologien ermittelt und dokumentiert. Heutzutage erfolgen die meisten Prozesse unter Einsatz von Informationstechnologie. Auch physische Speicherorte wie Schränke für die Speicherung von Informationen in Aktenordnern fallen darunter. Diese Dokumentation wird als „technische organisatorische Maßnahmen“ (TOM) im Datenschutz bezeichnet.

Zusätzlicher Gewinn ist ein besseres Verständnis der Organisation und ihre Abläufe und Identifikation für potenzielle Verbesserungen.

Schritt 4: Bewertung des Schutzbedarfs

Es ist wichtig zu bestimmen, wie vertraulich und schützenswert die Informationen sind. Die Kriterien für Datenschutz sind einfach: Je größer der potenzielle Schaden für eine Person ist, wenn ihre Informationen missbraucht werden, desto umfassender müssen sie geschützt werden. In den meisten Fällen ist die Einholung der Zustimmung betroffener Personen zur Datenverarbeitung und -weitergabe erforderlich.

Schritt 5: Schutz der Informationen

Der nächste Schritt besteht darin, die Informationen zu schützen. Dies umfasst auch die Kenntnis darüber, wer Zugriff auf diese Informationen hat, sowie die Implementierung von Sicherheitsmaßnahmen zur Verhinderung unbefugten Zugriffs. Dies kann physische Sicherheitsmaßnahmen wie das Verschließen von Schränken oder IT-bezogene Maßnahmen wie Passwörter umfassen. Die Schutzmaßnahmen sollten je nach Sensibilität der Informationen angepasst werden.

Datenschutz durch Technik und Datenschutzstandards: Implementieren Sie technische Maßnahmen und Datenschutzstandards, um die Sicherheit der Datenverarbeitung zu gewährleisten.

Schritt 6: Rechtsgrundlagen ermitteln: Stellen Sie sicher, dass Sie eine legale Grundlage (Einwilligung, Vertrag, rechtliche Verpflichtung usw.) für die Verarbeitung personenbezogener Daten haben.

Schritt 7: Datenschutzrichtlinien und -verfahren entwickeln: Erstellen Sie Datenschutzrichtlinien und Verfahren, die die Einhaltung der DSGVO sicherstellen. Dies umfasst die Festlegung von Datenschutzprinzipien, Rechten der betroffenen Personen und Sicherheitsmaßnahmen.

Schritt 8: Datenschutz-Folgenabschätzung: Wenn Sie hochriskante Datenverarbeitungstätigkeiten durchführen, sollten Sie Datenschutz-Folgenabschätzungen durchführen.

Schritt 9: Meldung von Datenschutzverletzungen**: Richten Sie Verfahren zur Meldung und Untersuchung von Datenschutzverletzungen ein.

Schritt 10: Zusammenarbeit mit Auftragsverarbeitern: Wenn Sie Dienstleister für die Datenverarbeitung beauftragen, stellen Sie sicher, dass sie die DSGVO ebenfalls einhalten.

Schritt 11: Regelmäßige Überprüfung und Aktualisierung: Überprüfen und aktualisieren Sie Ihre Datenschutzmaßnahmen regelmäßig, um sicherzustellen, dass sie den aktuellen Anforderungen entsprechen.

Die Kosten und der Aufwand variieren je nach Unternehmensgröße und der Menge der verarbeiteten Informationen. Tulos Consulting aus Köln verfügt über umfangreiche Erfahrung und Tools, um die Anforderungen zügig umzusetzen. Für kleinen Organisationen konnten wir innerhalb von 2-3 Tagen die wesentlichen Maßnahmen erledigen.