Die DSGVO ist in aller Munde und viele Unsicherheiten bestimmen die Gespräche: wie werde ich DSGVO konform? Brauche ich wirklich einen Datenschutzbeauftragten? Brauche ich teuere externe Berater?
Mit den folgenden Punkten werden Sie DSGVO konform
1. Erstellen Sie ein Verarbeitungsverzeichnis (auch Verfahrensverzeichnis genannt)
Als erstes müssen Sie alle Verarbeitungstätigken mit personenbezogenen Daten identifizieren und dokumentieren. Jedes Unternehmen, Organisation, Verein,... benötigt ein Verarbeitungsverzeichnis mit den Kategorien der personenbezogenen Daten, die verarbeitet werden. Diesess Verzeichnis gibt Ihnen - und auch der prüfenden Behörde - einen Überblick über die Art und Menge der personenbezogenen Daten, die Sie verarbeiten, weiters Informationen über die Speicherart und -dauer, sowie die Übermittlung an Empfänger. Es wird kein bestimmtes Format für das Verarbeitunsgverzeichnis vorgeschrieben. (Artikel 30 GDPR)
2. Schließen Sie Verträge mit Ihren Auftragsverarbeitern
Vermutlich haben Sie Dienstleister (Auftragsverarbeiter), die in Ihrem Auftrag Daten speichern, kopieren, verarbeiten oder einfach auch löschen bzw. zerstören, z.B. Ihr Webprovider, externe Buchhalter oder Steuerberater, Cloud Anbieter. Sie sind als "Verantwortlicher" für die personenbezogenen Daten von Kunden, Mitarbeitern,... dafür zuständig, dass diese Daten auf sichere Art und Weise verarbeitet werden. Sie müssen auch sicherstellen, dass Ihre Auftragsverarbeiter die Prinzipien der DSGVO einhalten. Für individuelle Angebote wird dies direkt mit dem Auftragsverarbeiter in Form eines Vertrags erfolgen. Für Angebote von großen Dienstleistern wird voraussichtlich über deren AGB oder Nutzungsbedingungen sichergestellt werden. Sie benötigen diese Informationen jedoch in beiden Fällen für die Dokumentation Ihrer DSGVO Unterlagen. (Article 28 GDPR)
3. Prüfen Sie, ob eine Datenschutz-Folgenabschätzung notwendig ist
Wenn Sie Ihr Verarbeitungsverzeichnis erstellen, müssen Sie auch Ihre technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten dokumentieren. Wenn für eine Verarbeitung ein hohes Risiko für die persönliche Freiheit und Rechte der betroffenen Personen bleibt, dann müssen Sie eine Risiko-Folgenabschätzung (oder Datenschutz-Folgenabschätzung, kurz: DSFA) machen. Im Zuge der DSFA erfolgt eine Risikoanalyse durch Bestimmung der Eintrittswahrscheinlichkeit und Auswirkungen eines Datenverlustes. Sie müssen geeignete technische und organisatorische Maßnahmen (TOM) ergreifen und dokumentieren, um das Risiko zu minimieren. Sollten diese Maßnahmen nicht ausreichend sein und ein hohes Risiko für die Verarbeitung bestehen bleiben, muss die Datenschutzbehörde informiert werden. (Artikel 35 GDPR)
4. Prüfen Sie Ihre Datenschutzerklärung
Wenn Sie diese ersten drei Schritte betrachtet haben, haben Sie die entsprechenden Informationen zu Datenverarbeitungen in Ihrer Organisation gesammelt und dokumentiert. Sie haben in diesem Zusammenhang auch herausgefunden, an welchen Stellen Sie für die Erfüllung der Betroffenenrechte noch Ihre Datenschutzerklärungen ergänzen und anpassen müssen. Zum Beispiel müssen Sie die entsprechenden Texte auf Ihrer Webseite prüfen - sowohl für Cookie-Zustimmung als auch für Webshops. Weiters sollten Sie Ihre Allgemeinen Geschäftsbedingungen prüfen. (Artikel 13, 14 GDPR)
Für kleine Unternehmen, die keine sensiblen Daten (Kategorien von besonderen Daten) verarbeiten und kein "Profiling" betreiben, sollten diese Schritte ausreichend sein, um DSGVO konform zu sein. Sie müssen jedoch Ihre Verarbeitungen und Maßnahmen - zumindest - jährlich, auf jeden Fall aber in regelmäßigen Abständen auf Aktualität und Wirksamkeit prüfen. Bei Änderungen müssen Ihre Dokumente und Prozess natürlich angepasst werden.