What are the penalties for non-compliance with GDPR, and how rigorously are they enforced?

The penalties for non-compliance with GDPR can be quite severe. Businesses that violate its terms can face fines up to €20 million or 4% of the company's global annual turnover, whichever is higher. The enforcement of these penalties is carried out by the data protection authorities within each EU country, who are diligent in ensuring that businesses are in compliance with the regulation. In fact, since the introduction of GDPR, there have been numerous high-profile cases of non-compliance leading to significant fines. Therefore, compliance should be taken seriously.

How does GDPR apply to businesses outside of the European Union, specifically those who might indirectly deal with EU residents' data?

Even though GDPR originated as an EU regulation, it holds global significance. Any business that processes personal data of EU residents must comply with GDPR, regardless of its location. Any business located outside the European Union must adhere to GDPR if it collects, stores, or transacts with personal data that belongs to EU residents. If a business engages in large-scale data processing, it must also appoint a representative within the EU. This representation guarantees that data protection authorities and individuals can communicate their concerns or requests directly.

What practical steps can a business take to make their data processing activities transparent to their customers, in accordance with GDPR?

To enhance transparency with their customers in line with GDPR, businesses can adopt various practical measures. First, they can revise their privacy policies to make the language more understandable. Second, businesses should incorporate data protection considerations in all phases of their projects. Offering customers the ability to access, modify, or download their data is another important step. Also, customers should be promptly notified about any data breaches. Lastly, appointing a Data Protection Officer can help to provide a clear communication channel for customers who have queries or concerns about data processing activities.

Leitfaden zur Vorbereitung Ihrer Prozesse auf die DSGVO

By Søren Pommer
Last updated on 14/10/2024

Am 25. Mai 2018 tritt die neue EU-Datenschutzverordnung (DSGVO) für alle Unternehmen in Kraft, die in einem EU-Mitgliedstaat tätig sind. Die Auswirkungen sind bereits massiv. Jedes Unternehmen muss bereit sein, Einwilligungen einzuholen, Kunden- und Mitarbeiterdaten an Dritte weiterzugeben und nachweisen zu können, dass es personenbezogene Daten effektiv verwaltet. In diesem DSGVO-Leitfaden erfahren Sie, wie Sie Ihre Prozesse darauf vorbereiten können.

Die Hauptauswirkung ergibt sich aus der Tatsache, dass die DSGVO die Beweislast auf das Unternehmen verlagert. Was bedeutet das in der Praxis? Stellen Sie sich vor, Sie fahren auf einer Landstraße. Plötzlich hält dich ein Polizist an. Jetzt verlangt er von dir, dass du beweist, dass du im ganzen letzten Jahr nicht schneller gefahren bist, als du es hättest tun sollen! Das mag absurd klingen, aber mit der neuen EU-Verordnung ist es das, was wir alle tun müssen. Sie müssen nachweisen, dass Sie Befolgen Sie die Regeln. Es liegt nicht an den Aufsichtsbehörden, nachzuweisen, dass Sie die Vorschriften einhalten! Infolgedessen liegt die Beweislast bei Ihrem Unternehmen. Glücklicherweise deckt dieser DSGVO-Leitfaden alles ab, was Sie wissen müssen.

Strafen bei Nichteinhaltung stellen erhebliche Risiken für Ihr Unternehmen dar

Die DSGVO wird große Auswirkungen auf Unternehmen haben, die ihre Prozesse nicht beschrieben und nicht dokumentiert haben, wie sie diese Prozesse befolgen. Wenn sie dies nicht können, riskieren sie Geldstrafen von bis zu 20 Millionen Euro oder 4 % ihres Jahresumsatzes – je nachdem, welcher Betrag höher ist. Darüber hinaus können Aufsichtsbehörden Verletzern sogar verbieten, personenbezogene Daten zu verwalten. Dies ist also eindeutig ein Risiko, das Sie managen müssen. Die Frage ist nur, wie? Ich habe diesen Leitfaden geschrieben, um unsere eigenen Aktivitäten vorzubereiten, und dachte, es wäre es wert, ihn zu teilen.

Dieser DSGVO-Leitfaden versucht, die Fragen zu beantworten, die wir zu Beginn hatten

Dieser DSGVO-Leitfaden versucht, die fünf Fragen zu beantworten, die ich mir gestellt habe, als Gluu anfing, sich darauf vorzubereiten:

Was ist der Geltungsbereich dieser neuen DSGVO-Verordnung?
Wann ist Ihr Unternehmen ein Datenverantwortlicher und wann ist es ein Auftragsverarbeiter?
Was sind die wichtigsten Anforderungen, die wir einhalten müssen?
Was prüft, ob wir die Anforderungen erfüllen?
Wie fangen wir an?

Inhaltsverzeichnis

Checklisten für die sechs wichtigsten GDPR-Anforderungen
1. Holen Sie die rechtmäßige Zustimmung jeder einzelnen Person ein
2. Dokumentieren Sie alle Prozesse im Zusammenhang mit personenbezogenen Daten
3. Berichten Sie über Verstöße gegen personenbezogene Daten
4. Risikoanalyse
5. Durchdachter Datenschutz
6. Übertragbarkeit

Wie fangen Sie an?
Analysieren Sie unseren aktuellen Stand
Zeichnen Sie alle fehlenden Prozesse auf
Analysieren und schließen Sie Lücken in Bezug auf die GDPR-Anforderungen
Bereiten Sie ein Kontrollsystem vor
Vorbereiten der Abläufe

Weiterlesen

Einführung in diesen DSGVO-Leitfaden

Zuerst zu einigen Grundlagen.

Testversion Starten

Melden Sie sich für eine 30-tägige Testversion an.
Keine Kreditkarte erforderlich.

Testversion Starten

Darstellung einer Person, die Informationen verteilt

Was deckt die neue EU-Datenschutzverordnung ab?

Die DSGVO gilt für alle personenbezogenen Daten. Personenbezogene Daten sind gespeicherte Informationen, die sich auf Einzelpersonen beziehen. Von der IP-Adresse eines Verbrauchers bis hin zu den Adressdaten eines Mitarbeiters. Das Die EU-Regulierungsseite sagt es so:

“Alle Informationen, die sich auf eine natürliche Person oder ‘betroffene Person’ beziehen und zur direkten oder indirekten Identifizierung der Person verwendet werden können. Dabei kann es sich um einen Namen, ein Foto, eine E-Mail-Adresse, Bankverbindungen, Beiträge in sozialen Netzwerken, medizinische Informationen oder eine Computer-IP-Adresse handeln.”

Wie Sie sehen, variiert der Umfang mit Ihrem Geschäftsmodell. In unserem Fall verkaufen wir eine Online-Plattform an Unternehmen, so dass wir keine personenbezogenen Daten von Privatpersonen haben. Um zu entscheiden, wo wir anfangen sollen, haben wir die folgende Prioritätenliste erstellt:

Daten über die Mitarbeiter unserer Kunden innerhalb der Gluu-Plattform.
Vertriebs- und Marketingdaten über die Mitarbeiter unserer Kunden (in unserem CRM-System).
Daten zu unseren eigenen Mitarbeitern.

Diese Prioritäten halfen uns bei der Entscheidung, welche Prozesse wir uns zuerst ansehen sollten.

Wann ist Ihr Unternehmen ein “Datenverantwortlicher” und wann ein “Datenverarbeiter”?

Die Verordnung unterscheidet zwischen den Verantwortlichen, die für die Daten verantwortlich sind, und denen, die sie lediglich speichern und/oder verarbeiten.

“Ein Verantwortlicher ist die Stelle, die die Zwecke, Bedingungen und Mittel der Verarbeitung personenbezogener Daten festlegt, während der Auftragsverarbeiter eine Stelle ist, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet.”

In unserem Fall sind wir unser eigener Datenverantwortlicher für unsere eigenen Mitarbeiter und für Vertriebs- und Marketingdaten, die sich auf bestimmte Personen in unserem CRM-System beziehen. In Bezug auf die Daten auf unserer Plattform sind wir ein Datenverarbeiter und unsere Handlungen unterliegen den Datenverarbeitungsvereinbarungen, die wir mit Kunden abgeschlossen haben.

Für einige ist die DSGVO nur eine weitere Herausforderung bei der Einhaltung von Prozessen

Da der Umfang klar war, mussten wir die vor uns liegende Arbeit verstehen. Bei Gluu müssen wir bereits Qualitäts- und Entwicklungsanforderungen erfüllen, so dass die DSGVO in diesem Sinne nur ein weiterer Compliance-Bereich ist, den wir unserem Managementsystem hinzufügen müssen. Dieses Managementsystem befindet sich jedoch innerhalb unserer eigenen Gluu-Plattform und gibt bereits an, wie wir arbeiten (Prozesshierarchie, Diagramme und Arbeitsanweisungen und messen, dass wir automatische Aufgaben und Änderungsaufzeichnungen einhalten).

Zu einem normalen Managementsystem (das Gesundheit und Sicherheit, Qualität und Sicherheit abdecken kann) fügt die DSGVO die Anforderung hinzu, dass Ihr Unternehmen:

Dokumentieren Sie, wie sie mit personenbezogenen Daten umgeht,
Sicherstellen, dass seine Prozesse den Anforderungen der DSGVO entsprechen,
In der Lage sein, zu berichten und zu beweisen, dass es tut, was es sagt.

Mit anderen Worten, Sie müssen über alle erforderlichen Prozesse verfügen und nachweisen können, dass Sie diese befolgen.

Was bedeutet das für Ihr Unternehmen?

Ihre Situation	Ihre Aufgabe, die vor Ihnen liegt
Keinerlei dokumentierte Prozesse und “Prozesskultur”	Beginnen Sie mit der Erstellung einer Prozesshierarchie, in der Sie sich auf die Prozesse konzentrieren, die wahrscheinlich personenbezogene Daten betreffen oder sich darauf auswirken.
Ein veraltetes Qualitätsmanagementsystem mit Prozessen, die in Word-Dokumenten beschrieben sind.	Migrieren und validieren Sie Ihre Prozesse in ein Format, in dem Sie alle erforderlichen Kollegen problemlos in die Besprechung der einzelnen Aktivitäten einbeziehen können.
Ein voll funktionsfähiges “prozessgesteuertes” Managementsystem mit breiter Eigenverantwortung und einer guten “Prozesskultur”.	Gehen Sie alle Prozesse durch und markieren Sie alle Aktivitäten, die sich auf personenbezogene Daten auswirken können. Überarbeiten Sie Ihre Prozesse und Aktivitäten in Übereinstimmung mit der DSGVO. Fügen Sie alle fehlenden Prozesse hinzu.

Wir bei Gluu sind echte “Prozess-Nerds” und haben uns daher in der letzten Gruppe wiedergefunden. Die Aufgabe war jedoch immer noch bedeutend.

Checklisten für die sechs wichtigsten Anforderungen der DSGVO

Aus einer Konferenz mit der dänischen Rechtsform DAHL und der Lektüre von Weißbüchern und Checklisten internationaler Anwälte habe ich diese Liste mit sechs Hauptanforderungen erstellt, mit denen wir konfrontiert sind:

Holen Sie eine rechtmäßige Einwilligung ein.
Dokumentieren Sie alle Vorgänge im Zusammenhang mit personenbezogenen Daten.
Melden Sie Verletzungen des Schutzes personenbezogener Daten.
Laufende Risikoanalyse.
Datenschutz durch Technikgestaltung.
Tragbarkeit.

Die einzelnen Anforderungen werden weiter unten erläutert. Ich habe auch unsere eigenen internen Checklisten geteilt, die auf der Grundlage von Empfehlungen auf der EU-DSGVO-Website und verschiedenen dort empfohlenen Anwaltskanzleien erstellt wurden.

1. Holen Sie die rechtmäßige Zustimmung jedes Einzelnen ein

Möglicherweise können Sie kein langes Dokument mit den Allgemeinen Geschäftsbedingungen mehr verwenden, in dem jeder Einzelne ein Kästchen ankreuzt, um zu bestätigen, dass er oder sie es gelesen hat. Auf der EU-DSGVO-Website heißt es so:

“Die Einwilligung muss klar und von anderen Angelegenheiten unterscheidbar sein und in verständlicher und leicht zugänglicher Form unter Verwendung einer klaren und einfachen Sprache erteilt werden. Der Widerruf der Einwilligung muss ebenso einfach sein wie die Erteilung der Einwilligung. Eine ausdrückliche Einwilligung ist nur für die Verarbeitung sensibler personenbezogener Daten erforderlich – in diesem Zusammenhang reicht nichts weniger als ein “Opt-in” aus. Bei nicht sensiblen Daten genügt jedoch eine “eindeutige” Einwilligung.”

Vor diesem Hintergrund und auf Anregungen von Anwälten haben wir diese Checkliste erstellt:

Finden Sie zunächst heraus, wie wir die Einwilligung aufzeichnen, und überlegen Sie, wie Sie klar aufzeichnen können, wozu jeder Einzelne eingewilligt hat.
Stellen Sie als Nächstes sicher, dass wir die Gründe für die rechtmäßige Verarbeitung (und wo der Grund des berechtigten Interesses geltend gemacht wird, was die berechtigten Interessen sind) und die Speicherdauer der Daten identifiziert und dokumentiert haben.
Machen Sie es Einzelpersonen leicht, ihre Einwilligung zu widerrufen (z. B. einen “Abmelde”-Link).
Weisen Sie nach, dass bei der Datenaufzeichnung immer eine Einwilligung eingeholt wird.
Weisen Sie nach, dass diejenigen, die ihre personenbezogenen Daten angegeben haben, wissen, dass sie die Möglichkeit haben, diese zu widerrufen.

2. Dokumentieren Sie alle Prozesse im Zusammenhang mit personenbezogenen Daten

“Wenn Ihre Datenverarbeitung die Sicherheit personenbezogener Daten beeinträchtigen könnte – und diese systematisch erhoben werden – dann müssen Sie alle Datenverarbeitungsaktivitäten dokumentieren.” Ich verstehe dies als die Notwendigkeit, eine ordnungsgemäße Dokumentation vieler Prozesse innerhalb des Marketings, des Produktmanagements, des HRM und des IT-Betriebs sicherzustellen.

Testversion Starten

Melden Sie sich für eine 30-tägige Testversion an.
Keine Kreditkarte erforderlich.

Testversion Starten

Dies ist die Checkliste, die wir erstellt haben – aufgeteilt in unsere Verantwortlichkeiten als Datenverantwortlicher und Datenmanager:

Verantwortlichkeiten des Datenverantwortlichen:

Ermitteln Sie, wo personenbezogene Daten innerhalb Ihres Unternehmens verarbeitet werden, auch von externen Auftragsverarbeitern.

Legen Sie den Prozess (und die Werkzeuge) für die Speicherung der Zwecke der Datenverarbeitung fest.
- Eine Beschreibung der Kategorien betroffener Personen und personenbezogener Daten.
- Die Kategorien der Empfänger personenbezogener Daten.
- Einzelheiten zu Übermittlungen in Drittländer.
- Die Fristen für die Löschung verschiedener Datenkategorien.
- Eine allgemeine Beschreibung der getroffenen technischen und organisatorischen Sicherheitsmaßnahmen (unter Bezugnahme auf die Informationssicherheitsrichtlinie und die Informationsklassifizierungsrichtlinie).

Überlegen Sie, wie Sie sicherstellen können, dass die relevanten Informationen auf dem neuesten Stand gehalten werden. Dies kann es erforderlich machen, den Vertragsmanagern Verpflichtungen aufzuerlegen, die Informationen über die Verträge, für die sie verantwortlich sind, auf dem neuesten Stand und korrekt zu halten.

Bilden Sie Ihre aktuellen Verarbeitungsaktivitäten ab;
Überlegen Sie, ob sie den Bestimmungen der DSGVO entsprechen.

Umgang der Personalabteilung mit Mitarbeiterdaten
- Den Mitarbeitern alle erhobenen Daten zur Verfügung gestellt haben und zu welchem Zweck (sowohl Mitarbeiter, Kunden als auch andere Dritte).
- Jegliche Überwachung der Mitarbeiterkommunikation und der Internetnutzung (einschließlich durch Bring Your Own Device-Lösungen und soziale Medien).
- Zugriff auf Mitarbeiterakten/-kommunikation für Untersuchungen.
- Einsatz von Videoüberwachung.
- Durchführung eines Whistleblowing-Systems.

Kundendaten
- Externe Datenschutzerklärung.
- Marketingprotokolle für Kunden.
- Cookies und Online-Tracking.

Sonstige Daten Dritter
- Mitteilungen / Zustimmungen von Lieferanten / Geschäftspartnern.

Datenübermittlung an Dritte
- Weitergabe von Daten an andere Controller.
- Datenaustausch mit Auftragsverarbeitern.

Rechte der betroffenen Person
- Reaktion auf die Rechte der betroffenen Person, d.h. Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruchsrecht gegen bestimmte Arten der Verarbeitung und Recht auf Widerspruch gegen oder Erwirkung menschlicher Eingriffe in eine sicherlich automatisierte Entscheidungsfindung.

Informationssicherheit
- Richtlinie zur Informationssicherheit und zur Reaktion auf Datenschutzverletzungen.

Fristen der Datenspeicherung
- Records-Management-Programm, das so angepasst wurde, dass es sowohl maximale Aufbewahrungsfristen für personenbezogene Datenkategorien als auch minimale Aufbewahrungsfristen gibt.

Verantwortlichkeiten des Datenverarbeiters:

Bestimmen Sie den Prozess, mit dem Sie die folgenden Details für jeden Controller aufzeichnen:
- Name und Kontaktdaten des Auftragsverarbeiters und des Datenschutzbeauftragten sowie des Verantwortlichen, in dessen Auftrag die Verarbeitung erfolgt.
- Kategorien der Verarbeitung.
- Übermittlung von Daten an ein Drittland oder eine internationale Organisation.
- Allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen.
- Halten Sie Informationen auf dem neuesten Stand. Auch hier kann es erforderlich sein, den Vertragsmanagern Verpflichtungen aufzuerlegen, die Informationen zu den Verträgen, für die sie verantwortlich sind, auf dem neuesten Stand und korrekt zu halten.

3. Meldung von Verletzungen des Schutzes personenbezogener Daten

Der für die Datenverarbeitung Verantwortliche muss sicherstellen, dass die richtigen technischen und organisatorischen Instrumente und Verfahren vorhanden sind, um sicherzustellen, dass personenbezogene Daten in Übereinstimmung mit der Verordnung behandelt werden. Dazu gehört auch die Sicherung und der Schutz personenbezogener Daten.

Wichtig ist, dass der Datenverantwortliche nachweisen kann, dass die Daten in Übereinstimmung mit der Verordnung behandelt werden.

Für Gluu bedeutet dies, dass wir, wenn wir als Datenverarbeiter im Namen unserer Kunden handeln, sicherstellen müssen, dass sie diese Anforderung vollständig und mit Leichtigkeit erfüllen können – für alle Daten, die auf der Gluu-Plattform gespeichert sind.

Dies ist insbesondere wichtig, wenn es um die Informationssicherheit geht. Artikel 33 sieht vor, dass alle Sicherheitsverletzungen, die die Sicherheit personenbezogener Daten beeinträchtigen, dokumentiert werden müssen.

Die Dokumentation muss Folgendes enthalten:

Was ist passiert.
Als es passierte.
Die Auswirkungen.
Die ergriffenen Korrektur- und Vorbeugungsmaßnahmen.

Melden Sie dies der Aufsichtsbehörde innerhalb von 72 Stunden, nachdem der Verstoß dem Verantwortlichen bekannt geworden ist.

Auch hier haben wir uns an eine Checkliste gehalten:

Erstens: Einführung von Verfahren zur Reaktion auf Datenschutzverletzungen und zur Benachrichtigung von Datenschutzverletzungen, um die 72-Stunden-Fristen für Meldungen an die Regulierungsbehörde einzuhalten.
Zweitens sollten Verfahren zur Reaktion auf Datenschutzverletzungen vorbereitet werden, um Situationen zu bewerten, in denen die betroffenen Personen einem hohen Risiko ausgesetzt sind, und Verfahren, die es ermöglichen, die betroffenen Personen unter solchen Umständen “unverzüglich” zu benachrichtigen, Musterschreiben zu erstellen und Proben in Bezug auf Datenschutzverletzungen durchzuführen.
Führen Sie außerdem ein Register für Verletzungen des Schutzes personenbezogener Daten, das die Fakten im Zusammenhang mit der Datenschutzverletzung, die Auswirkungen und die ergriffenen Abhilfemaßnahmen enthält.
Stellen Sie sicher, dass diese Verarbeitungsvereinbarungen Bestimmungen enthalten, die es uns ermöglichen, die 72-Stunden-Fristen für die Meldung von Verstößen einzuhalten.
Stellen Sie schließlich sicher, dass dort, wo wir der Auftragsverarbeiter sind, diese Mechanismen vorhanden sind, die es uns ermöglichen, Datenschutzverletzungen ohne unangemessene Verzögerung an den für die Verarbeitung Verantwortlichen zu melden.

Testversion Starten

Melden Sie sich für eine 30-tägige Testversion an.
Keine Kreditkarte erforderlich.

Testversion Starten

Risikoanalyse

Eine kontinuierliche Risikobewertung ist wichtig, um die DSGVO einzuhalten.

Es ist von größter Bedeutung, dass Sie eine Risikoanalyse durchführen, wenn Sie die Implementierung neuer Technologien in Betracht ziehen, die sich auf die Sicherheit personenbezogener Daten auswirken könnten. Ein Beispiel für die Risikobewertung neuer Technologien sind Screening- und “Was-wäre-wenn”-Fragen.

Das ist die Checkliste:

Richten Sie einen Prozess ein, um festzustellen, ob eine PIA erforderlich ist.
- Wenn festgestellt wird, dass eine PIA erforderlich ist, stellen Sie sicher, dass es ein klares Verfahren gibt, um sicherzustellen, dass PIAs in der gesamten Organisation angemessen durchgeführt werden, und enthalten Sie die in der DSGVO festgelegten Mindestanforderungen, nämlich: eine systematische Beschreibung der Verarbeitungsvorgänge und Zwecke der Verarbeitung und eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge.
- Eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen (z. B. fragen Sie Ihr Team, ob Sie ungewöhnliche Informationen über sie sammeln möchten).

Privacy-by-Design

Datenverantwortliche stellen sicher, dass Ihre Systeme und Prozesse unter Berücksichtigung des Datenschutzes konzipiert sind. Daher sind die Anforderungen der DSGVO in diese integriert.

Dies ist die Checkliste für die Prozessgestaltung:

Verwenden Sie personenbezogene Daten nur, wenn dies erforderlich ist – in anderen Fällen verwenden Sie Pseudonyme.

Stellen Sie sicher, dass personenbezogene Daten nur für Personen zugänglich sind, die sie benötigen.

Verwenden Sie Anwendungen oder Prozesse, mit denen Sie solche Kontrollen implementieren können.

Tragbarkeit

Artikel 20 besagt, dass die registrierte Person das Recht hat, die Daten zu erhalten, die sie dem Datenverantwortlichen zur Verfügung gestellt hat. Geben Sie diese Informationen in einem strukturierten und gängigen, maschinenlesbaren Format an, um eine einfache Datenübertragung an andere Organisationen zu ermöglichen.

Dies ist die Checkliste für die Portabilität:

Überprüfen und ordnen Sie Ihre internationalen Datenströme zu, einschließlich Daten, die außerhalb der EU übertragen werden.

Beurteilen Sie, wie diese Rechte ausgelöst werden und wie sie sowohl im Kunden- als auch im Mitarbeiterkontext ausgeübt werden.

Überlegen Sie, wie Sie die Informationen, die zur Einhaltung der Rechte erforderlich sind, suchen, filtern und trennen können.

Überlegen Sie, ob die Rechte ganz oder teilweise durch eine Self-Service-Option erfüllt werden können.

Stellen Sie sicher, dass Mechanismen vorhanden sind, um innerhalb eines Monats reagieren zu können.

Bewerten Sie die Möglichkeiten, personenbezogene Daten von Wettbewerbern oder anderen Drittkunden durch die Ausübung von Übertragbarkeitsrechten durch die betroffene Person auf Ihr Unternehmen übertragen zu lassen.

Wie fängt man an?

Jetzt haben Sie alle Ihre Anforderungen skizziert und ihre Kontrollpunkte aufgelistet. Der nächste Schritt in unserem DSGVO-Leitfaden besteht darin, sich anzusehen, wie und wo Sie anfangen.

Mit unseren obigen Checklisten als Ausgangspunkt haben wir die folgenden Hauptaufgaben identifiziert:

1: Analysieren Sie unseren Ist-Zustand

Bevor wir begonnen haben, haben wir unseren Reifegrad in Bezug auf personenbezogene Daten und Prozesse analysiert. Dies half zu klären, worauf wir uns konzentrieren sollten, und gab uns einen Ausgangspunkt für die Arbeit. Wir haben das Tool der dänischen Regierung verwendet “ Privacy Compass “, um diese Gap-Analyse durchzuführen.

Verschaffen Sie sich einen Überblick über alle Aktivitäten im Zusammenhang mit personenbezogenen Daten.

2: Fehlende Prozesse abbilden

Wir haben die verbleibenden datenschutzrelevanten Prozesse identifiziert und abgebildet. Dieses Mapping umfasste die betroffenen Datenflüsse und IT-Systeme.

Füllen Sie pro Aktivität (in jedem Prozess), die personenbezogene Daten beinhaltet, ein Datenformular aus. Dieser Schritt ermöglichte es uns, Lücken in unseren Anforderungen zu identifizieren und diese zu schließen.

Führen Sie eine Risikoanalyse durch.
Bewerten Sie die Informationssicherheit.
Stellen Sie sicher, dass alle Beziehungen zu Drittanbietern für die DSGVO vorbereitet sind.
Etablierung eines neuen Verfahrens für den Schutz personenbezogener Daten.
Aktualisieren Sie unseren Prozess für Sicherheitsverletzungen.
Pflegen Sie alle Prozesse.
Überprüfen Sie alle Prozesse.
Aktualisieren Sie unsere Richtlinie zu personenbezogenen Daten.
Aktualisieren Sie unsere Einwilligungserklärungen.

4: Steuerung vorbereiten

Wir haben in Gluu ein DSGVO-Kontrollsystem für die personenbezogenen Daten unserer Nutzer vorbereitet. Zu diesem Zweck richten wir wiederkehrende Aufgaben ein, um sicherzustellen, dass wir korrekt nachfassen. Darüber hinaus dokumentieren wir die Follow-ups für ein einfaches und unkompliziertes Reporting.

Einrichten von wiederkehrenden Aufgaben und Formularen.

5: Vorbereiten von Vorgängen

Schließlich haben wir einige Tests durchgeführt, um sicherzustellen, dass wir ordnungsgemäß berichten können. Könnten wir zum Beispiel im Falle einer Datenschutzverletzung genau nachweisen, welche Aktivitäten personenbezogene Daten betrafen und davon betroffen waren?

Sensibilisierung des Personals.

Verweise:

Microsoft verfügt über eine nützliche Bewertung und Lückenanalyse
Die dänischen Datenbehörden
Die offizielle Website der EU-DSGVO
Übersicht aller Artikel der Verordnung
DSGVO-Checkliste
Der ROI der Einhaltung von Vorschriften über personenbezogene Daten
Die DSGVO-Lösung von Gluu

Die Norm ISO 29134
Die Norm ISO 27001

Fragen und Antworten

Wie hoch sind die Strafen für die Nichteinhaltung der DSGVO, und wie streng werden sie durchgesetzt?

Die Strafen für die Nichteinhaltung der Datenschutzgrundverordnung können ziemlich hart sein. Unternehmen, die gegen die Bestimmungen verstoßen, müssen mit Geldbußen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des Unternehmens rechnen, je nachdem, welcher Betrag höher ist. Die Durchsetzung dieser Strafen erfolgt durch die Datenschutzbehörden in den einzelnen EU-Ländern, die sorgfältig darauf achten, dass die Unternehmen die Bestimmungen der Verordnung einhalten. Tatsächlich gab es seit der Einführung der DSGVO zahlreiche öffentlichkeitswirksame Fälle der Nichteinhaltung, die zu erheblichen Geldstrafen führten. Daher sollte die Einhaltung der Vorschriften ernst genommen werden.

Wie gilt die DSGVO für Unternehmen außerhalb der Europäischen Union, insbesondere für diejenigen, die indirekt mit den Daten von EU-Bürgern arbeiten?

Auch wenn die GDPR ursprünglich eine EU-Verordnung war, hat sie globale Bedeutung. Jedes Unternehmen, das personenbezogene Daten von in der EU ansässigen Personen verarbeitet, muss die GDPR einhalten, unabhängig von seinem Standort. Jedes Unternehmen, das außerhalb der Europäischen Union ansässig ist, muss die GDPR einhalten, wenn es personenbezogene Daten von in der EU ansässigen Personen sammelt, speichert oder mit ihnen Geschäfte macht. Wenn ein Unternehmen in großem Umfang Daten verarbeitet, muss es auch einen Vertreter in der EU benennen. Diese Vertretung gewährleistet, dass Datenschutzbehörden und Einzelpersonen ihre Bedenken oder Anfragen direkt mitteilen können.

Welche praktischen Schritte kann ein Unternehmen unternehmen, um seine Datenverarbeitungsaktivitäten in Übereinstimmung mit der DSGVO für seine Kunden transparent zu machen?

Um die Transparenz gegenüber ihren Kunden im Einklang mit der DSGVO zu erhöhen, können Unternehmen verschiedene praktische Maßnahmen ergreifen. Erstens können sie ihre Datenschutzrichtlinien überarbeiten, um die Sprache verständlicher zu machen. Zweitens sollten Unternehmen Datenschutzüberlegungen in alle Phasen ihrer Projekte einbeziehen. Ein weiterer wichtiger Schritt ist es, den Kunden die Möglichkeit zu geben, auf ihre Daten zuzugreifen, sie zu ändern oder herunterzuladen. Außerdem sollten die Kunden unverzüglich über alle Datenschutzverletzungen informiert werden. Und schließlich kann die Ernennung eines Datenschutzbeauftragten dazu beitragen, einen klaren Kommunikationskanal für Kunden zu schaffen, die Fragen oder Bedenken bezüglich der Datenverarbeitung haben.

Leitfaden zur Vorbereitung Ihrer Prozesse auf die DSGVO

Strafen bei Nichteinhaltung stellen erhebliche Risiken für Ihr Unternehmen dar