Gluu

GDPR Guide being discussed

Blog / Prozessmanagement | QMS

Leitfaden zur Vorbereitung Ihrer Prozesse auf die DSGVO

Søren Pommer
By
Last updated on 14/10/2024

Am 25. Mai 2018 tritt die neue EU-Datenschutzverordnung (DSGVO) für alle Unternehmen in Kraft, die in einem EU-Mitgliedstaat tätig sind. Die Auswirkungen sind bereits massiv. Jedes Unternehmen muss bereit sein, Einwilligungen einzuholen, Kunden- und Mitarbeiterdaten an Dritte weiterzugeben und nachweisen zu können, dass es personenbezogene Daten effektiv verwaltet. In diesem DSGVO-Leitfaden erfahren Sie, wie Sie Ihre Prozesse darauf vorbereiten können.

Die Hauptauswirkung ergibt sich aus der Tatsache, dass die DSGVO die Beweislast auf das Unternehmen verlagert. Was bedeutet das in der Praxis? Stellen Sie sich vor, Sie fahren auf einer Landstraße. Plötzlich hält dich ein Polizist an. Jetzt verlangt er von dir, dass du beweist, dass du im ganzen letzten Jahr nicht schneller gefahren bist, als du es hättest tun sollen! Das mag absurd klingen, aber mit der neuen EU-Verordnung ist es das, was wir alle tun müssen. Sie müssen nachweisen, dass Sie Befolgen Sie die Regeln. Es liegt nicht an den Aufsichtsbehörden, nachzuweisen, dass Sie die Vorschriften einhalten! Infolgedessen liegt die Beweislast bei Ihrem Unternehmen. Glücklicherweise deckt dieser DSGVO-Leitfaden alles ab, was Sie wissen müssen.

Strafen bei Nichteinhaltung stellen erhebliche Risiken für Ihr Unternehmen dar

Die DSGVO wird große Auswirkungen auf Unternehmen haben, die ihre Prozesse nicht beschrieben und nicht dokumentiert haben, wie sie diese Prozesse befolgen. Wenn sie dies nicht können, riskieren sie Geldstrafen von bis zu 20 Millionen Euro oder 4 % ihres Jahresumsatzes – je nachdem, welcher Betrag höher ist. Darüber hinaus können Aufsichtsbehörden Verletzern sogar verbieten, personenbezogene Daten zu verwalten. Dies ist also eindeutig ein Risiko, das Sie managen müssen. Die Frage ist nur, wie? Ich habe diesen Leitfaden geschrieben, um unsere eigenen Aktivitäten vorzubereiten, und dachte, es wäre es wert, ihn zu teilen.

Dieser DSGVO-Leitfaden versucht, die Fragen zu beantworten, die wir zu Beginn hatten

Dieser DSGVO-Leitfaden versucht, die fünf Fragen zu beantworten, die ich mir gestellt habe, als Gluu anfing, sich darauf vorzubereiten:

  1. Was ist der Geltungsbereich dieser neuen DSGVO-Verordnung?
  2. Wann ist Ihr Unternehmen ein Datenverantwortlicher und wann ist es ein Auftragsverarbeiter?
  3. Was sind die wichtigsten Anforderungen, die wir einhalten müssen?
  4. Was prüft, ob wir die Anforderungen erfüllen?
  5. Wie fangen wir an?

Inhaltsverzeichnis

Checklisten für die sechs wichtigsten GDPR-Anforderungen
1. Holen Sie die rechtmäßige Zustimmung jeder einzelnen Person ein
2. Dokumentieren Sie alle Prozesse im Zusammenhang mit personenbezogenen Daten
3. Berichten Sie über Verstöße gegen personenbezogene Daten
4. Risikoanalyse
5. Durchdachter Datenschutz
6. Übertragbarkeit

Wie fangen Sie an?
Analysieren Sie unseren aktuellen Stand
Zeichnen Sie alle fehlenden Prozesse auf
Analysieren und schließen Sie Lücken in Bezug auf die GDPR-Anforderungen
Bereiten Sie ein Kontrollsystem vor
Vorbereiten der Abläufe

Weiterlesen


Einführung in diesen DSGVO-Leitfaden

Zuerst zu einigen Grundlagen.

Testversion Starten

Melden Sie sich für eine 30-tägige Testversion an.
Keine Kreditkarte erforderlich.

Darstellung einer Person, die Informationen verteilt

Was deckt die neue EU-Datenschutzverordnung ab?

Die DSGVO gilt für alle personenbezogenen Daten. Personenbezogene Daten sind gespeicherte Informationen, die sich auf Einzelpersonen beziehen. Von der IP-Adresse eines Verbrauchers bis hin zu den Adressdaten eines Mitarbeiters. Das Die EU-Regulierungsseite sagt es so:

“Alle Informationen, die sich auf eine natürliche Person oder ‘betroffene Person’ beziehen und zur direkten oder indirekten Identifizierung der Person verwendet werden können. Dabei kann es sich um einen Namen, ein Foto, eine E-Mail-Adresse, Bankverbindungen, Beiträge in sozialen Netzwerken, medizinische Informationen oder eine Computer-IP-Adresse handeln.”

Wie Sie sehen, variiert der Umfang mit Ihrem Geschäftsmodell. In unserem Fall verkaufen wir eine Online-Plattform an Unternehmen, so dass wir keine personenbezogenen Daten von Privatpersonen haben. Um zu entscheiden, wo wir anfangen sollen, haben wir die folgende Prioritätenliste erstellt:

  1. Daten über die Mitarbeiter unserer Kunden innerhalb der Gluu-Plattform.
  2. Vertriebs- und Marketingdaten über die Mitarbeiter unserer Kunden (in unserem CRM-System).
  3. Daten zu unseren eigenen Mitarbeitern.

Diese Prioritäten halfen uns bei der Entscheidung, welche Prozesse wir uns zuerst ansehen sollten.

Wann ist Ihr Unternehmen ein “Datenverantwortlicher” und wann ein “Datenverarbeiter”?

Die Verordnung unterscheidet zwischen den Verantwortlichen, die für die Daten verantwortlich sind, und denen, die sie lediglich speichern und/oder verarbeiten.

“Ein Verantwortlicher ist die Stelle, die die Zwecke, Bedingungen und Mittel der Verarbeitung personenbezogener Daten festlegt, während der Auftragsverarbeiter eine Stelle ist, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet.”

In unserem Fall sind wir unser eigener Datenverantwortlicher für unsere eigenen Mitarbeiter und für Vertriebs- und Marketingdaten, die sich auf bestimmte Personen in unserem CRM-System beziehen. In Bezug auf die Daten auf unserer Plattform sind wir ein Datenverarbeiter und unsere Handlungen unterliegen den Datenverarbeitungsvereinbarungen, die wir mit Kunden abgeschlossen haben.

Für einige ist die DSGVO nur eine weitere Herausforderung bei der Einhaltung von Prozessen

Da der Umfang klar war, mussten wir die vor uns liegende Arbeit verstehen. Bei Gluu müssen wir bereits Qualitäts- und Entwicklungsanforderungen erfüllen, so dass die DSGVO in diesem Sinne nur ein weiterer Compliance-Bereich ist, den wir unserem Managementsystem hinzufügen müssen. Dieses Managementsystem befindet sich jedoch innerhalb unserer eigenen Gluu-Plattform und gibt bereits an, wie wir arbeiten (Prozesshierarchie, Diagramme und Arbeitsanweisungen und messen, dass wir automatische Aufgaben und Änderungsaufzeichnungen einhalten).

Zu einem normalen Managementsystem (das Gesundheit und Sicherheit, Qualität und Sicherheit abdecken kann) fügt die DSGVO die Anforderung hinzu, dass Ihr Unternehmen:

  1. Dokumentieren Sie, wie sie mit personenbezogenen Daten umgeht,
  2. Sicherstellen, dass seine Prozesse den Anforderungen der DSGVO entsprechen,
  3. In der Lage sein, zu berichten und zu beweisen, dass es tut, was es sagt.

Mit anderen Worten, Sie müssen über alle erforderlichen Prozesse verfügen und nachweisen können, dass Sie diese befolgen.

Was bedeutet das für Ihr Unternehmen?

Ihre SituationIhre Aufgabe, die vor Ihnen liegt
Keinerlei dokumentierte Prozesse und “Prozesskultur”Beginnen Sie mit der Erstellung einer Prozesshierarchie, in der Sie sich auf die Prozesse konzentrieren, die wahrscheinlich personenbezogene Daten betreffen oder sich darauf auswirken.
Ein veraltetes Qualitätsmanagementsystem mit Prozessen, die in Word-Dokumenten beschrieben sind.Migrieren und validieren Sie Ihre Prozesse in ein Format, in dem Sie alle erforderlichen Kollegen problemlos in die Besprechung der einzelnen Aktivitäten einbeziehen können.
Ein voll funktionsfähiges “prozessgesteuertes” Managementsystem mit breiter Eigenverantwortung und einer guten “Prozesskultur”.Gehen Sie alle Prozesse durch und markieren Sie alle Aktivitäten, die sich auf personenbezogene Daten auswirken können. Überarbeiten Sie Ihre Prozesse und Aktivitäten in Übereinstimmung mit der DSGVO. Fügen Sie alle fehlenden Prozesse hinzu.

Wir bei Gluu sind echte “Prozess-Nerds” und haben uns daher in der letzten Gruppe wiedergefunden. Die Aufgabe war jedoch immer noch bedeutend.

Checklisten für die sechs wichtigsten Anforderungen der DSGVO

Aus einer Konferenz mit der dänischen Rechtsform DAHL und der Lektüre von Weißbüchern und Checklisten internationaler Anwälte habe ich diese Liste mit sechs Hauptanforderungen erstellt, mit denen wir konfrontiert sind:

  1. Holen Sie eine rechtmäßige Einwilligung ein.
  2. Dokumentieren Sie alle Vorgänge im Zusammenhang mit personenbezogenen Daten.
  3. Melden Sie Verletzungen des Schutzes personenbezogener Daten.
  4. Laufende Risikoanalyse.
  5. Datenschutz durch Technikgestaltung.
  6. Tragbarkeit.

Die einzelnen Anforderungen werden weiter unten erläutert. Ich habe auch unsere eigenen internen Checklisten geteilt, die auf der Grundlage von Empfehlungen auf der EU-DSGVO-Website und verschiedenen dort empfohlenen Anwaltskanzleien erstellt wurden.

1. Holen Sie die rechtmäßige Zustimmung jedes Einzelnen ein

Möglicherweise können Sie kein langes Dokument mit den Allgemeinen Geschäftsbedingungen mehr verwenden, in dem jeder Einzelne ein Kästchen ankreuzt, um zu bestätigen, dass er oder sie es gelesen hat. Auf der EU-DSGVO-Website heißt es so:

“Die Einwilligung muss klar und von anderen Angelegenheiten unterscheidbar sein und in verständlicher und leicht zugänglicher Form unter Verwendung einer klaren und einfachen Sprache erteilt werden. Der Widerruf der Einwilligung muss ebenso einfach sein wie die Erteilung der Einwilligung. Eine ausdrückliche Einwilligung ist nur für die Verarbeitung sensibler personenbezogener Daten erforderlich – in diesem Zusammenhang reicht nichts weniger als ein “Opt-in” aus. Bei nicht sensiblen Daten genügt jedoch eine “eindeutige” Einwilligung.”

Vor diesem Hintergrund und auf Anregungen von Anwälten haben wir diese Checkliste erstellt:

2. Dokumentieren Sie alle Prozesse im Zusammenhang mit personenbezogenen Daten

“Wenn Ihre Datenverarbeitung die Sicherheit personenbezogener Daten beeinträchtigen könnte – und diese systematisch erhoben werden – dann müssen Sie alle Datenverarbeitungsaktivitäten dokumentieren.” Ich verstehe dies als die Notwendigkeit, eine ordnungsgemäße Dokumentation vieler Prozesse innerhalb des Marketings, des Produktmanagements, des HRM und des IT-Betriebs sicherzustellen.

Testversion Starten

Melden Sie sich für eine 30-tägige Testversion an.
Keine Kreditkarte erforderlich.

Darstellung einer Person, die Informationen verteilt

Dies ist die Checkliste, die wir erstellt haben – aufgeteilt in unsere Verantwortlichkeiten als Datenverantwortlicher und Datenmanager:

Verantwortlichkeiten des Datenverantwortlichen:

Verantwortlichkeiten des Datenverarbeiters:

3. Meldung von Verletzungen des Schutzes personenbezogener Daten

Der für die Datenverarbeitung Verantwortliche muss sicherstellen, dass die richtigen technischen und organisatorischen Instrumente und Verfahren vorhanden sind, um sicherzustellen, dass personenbezogene Daten in Übereinstimmung mit der Verordnung behandelt werden. Dazu gehört auch die Sicherung und der Schutz personenbezogener Daten.

Wichtig ist, dass der Datenverantwortliche nachweisen kann, dass die Daten in Übereinstimmung mit der Verordnung behandelt werden.

Für Gluu bedeutet dies, dass wir, wenn wir als Datenverarbeiter im Namen unserer Kunden handeln, sicherstellen müssen, dass sie diese Anforderung vollständig und mit Leichtigkeit erfüllen können – für alle Daten, die auf der Gluu-Plattform gespeichert sind.

Dies ist insbesondere wichtig, wenn es um die Informationssicherheit geht. Artikel 33 sieht vor, dass alle Sicherheitsverletzungen, die die Sicherheit personenbezogener Daten beeinträchtigen, dokumentiert werden müssen.

Die Dokumentation muss Folgendes enthalten:

Melden Sie dies der Aufsichtsbehörde innerhalb von 72 Stunden, nachdem der Verstoß dem Verantwortlichen bekannt geworden ist.

Auch hier haben wir uns an eine Checkliste gehalten:

Testversion Starten

Melden Sie sich für eine 30-tägige Testversion an.
Keine Kreditkarte erforderlich.

Darstellung einer Person, die Informationen verteilt

Risikoanalyse

Eine kontinuierliche Risikobewertung ist wichtig, um die DSGVO einzuhalten.

Es ist von größter Bedeutung, dass Sie eine Risikoanalyse durchführen, wenn Sie die Implementierung neuer Technologien in Betracht ziehen, die sich auf die Sicherheit personenbezogener Daten auswirken könnten. Ein Beispiel für die Risikobewertung neuer Technologien sind Screening- und “Was-wäre-wenn”-Fragen.

Das ist die Checkliste:

Privacy-by-Design

Datenverantwortliche stellen sicher, dass Ihre Systeme und Prozesse unter Berücksichtigung des Datenschutzes konzipiert sind. Daher sind die Anforderungen der DSGVO in diese integriert.

Dies ist die Checkliste für die Prozessgestaltung:

Tragbarkeit

Artikel 20 besagt, dass die registrierte Person das Recht hat, die Daten zu erhalten, die sie dem Datenverantwortlichen zur Verfügung gestellt hat. Geben Sie diese Informationen in einem strukturierten und gängigen, maschinenlesbaren Format an, um eine einfache Datenübertragung an andere Organisationen zu ermöglichen.

Dies ist die Checkliste für die Portabilität:

Wie fängt man an?

Jetzt haben Sie alle Ihre Anforderungen skizziert und ihre Kontrollpunkte aufgelistet. Der nächste Schritt in unserem DSGVO-Leitfaden besteht darin, sich anzusehen, wie und wo Sie anfangen.

Mit unseren obigen Checklisten als Ausgangspunkt haben wir die folgenden Hauptaufgaben identifiziert:

1: Analysieren Sie unseren Ist-Zustand

Bevor wir begonnen haben, haben wir unseren Reifegrad in Bezug auf personenbezogene Daten und Prozesse analysiert. Dies half zu klären, worauf wir uns konzentrieren sollten, und gab uns einen Ausgangspunkt für die Arbeit. Wir haben das Tool der dänischen Regierung verwendet “ Privacy Compass “, um diese Gap-Analyse durchzuführen.

2: Fehlende Prozesse abbilden

Wir haben die verbleibenden datenschutzrelevanten Prozesse identifiziert und abgebildet. Dieses Mapping umfasste die betroffenen Datenflüsse und IT-Systeme.

3: Analyse und Schließung von Lücken in Bezug auf die Anforderungen der DSGVO

Füllen Sie pro Aktivität (in jedem Prozess), die personenbezogene Daten beinhaltet, ein Datenformular aus. Dieser Schritt ermöglichte es uns, Lücken in unseren Anforderungen zu identifizieren und diese zu schließen.

4: Steuerung vorbereiten

Wir haben in Gluu ein DSGVO-Kontrollsystem für die personenbezogenen Daten unserer Nutzer vorbereitet. Zu diesem Zweck richten wir wiederkehrende Aufgaben ein, um sicherzustellen, dass wir korrekt nachfassen. Darüber hinaus dokumentieren wir die Follow-ups für ein einfaches und unkompliziertes Reporting.

5: Vorbereiten von Vorgängen

Schließlich haben wir einige Tests durchgeführt, um sicherzustellen, dass wir ordnungsgemäß berichten können. Könnten wir zum Beispiel im Falle einer Datenschutzverletzung genau nachweisen, welche Aktivitäten personenbezogene Daten betrafen und davon betroffen waren?


Verweise:

Die Norm ISO 29134
Die Norm ISO 27001

Fragen und Antworten

Wie hoch sind die Strafen für die Nichteinhaltung der DSGVO, und wie streng werden sie durchgesetzt?

Die Strafen für die Nichteinhaltung der Datenschutzgrundverordnung können ziemlich hart sein. Unternehmen, die gegen die Bestimmungen verstoßen, müssen mit Geldbußen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des Unternehmens rechnen, je nachdem, welcher Betrag höher ist. Die Durchsetzung dieser Strafen erfolgt durch die Datenschutzbehörden in den einzelnen EU-Ländern, die sorgfältig darauf achten, dass die Unternehmen die Bestimmungen der Verordnung einhalten. Tatsächlich gab es seit der Einführung der DSGVO zahlreiche öffentlichkeitswirksame Fälle der Nichteinhaltung, die zu erheblichen Geldstrafen führten. Daher sollte die Einhaltung der Vorschriften ernst genommen werden.

Wie gilt die DSGVO für Unternehmen außerhalb der Europäischen Union, insbesondere für diejenigen, die indirekt mit den Daten von EU-Bürgern arbeiten?

Auch wenn die GDPR ursprünglich eine EU-Verordnung war, hat sie globale Bedeutung. Jedes Unternehmen, das personenbezogene Daten von in der EU ansässigen Personen verarbeitet, muss die GDPR einhalten, unabhängig von seinem Standort. Jedes Unternehmen, das außerhalb der Europäischen Union ansässig ist, muss die GDPR einhalten, wenn es personenbezogene Daten von in der EU ansässigen Personen sammelt, speichert oder mit ihnen Geschäfte macht. Wenn ein Unternehmen in großem Umfang Daten verarbeitet, muss es auch einen Vertreter in der EU benennen. Diese Vertretung gewährleistet, dass Datenschutzbehörden und Einzelpersonen ihre Bedenken oder Anfragen direkt mitteilen können.

Welche praktischen Schritte kann ein Unternehmen unternehmen, um seine Datenverarbeitungsaktivitäten in Übereinstimmung mit der DSGVO für seine Kunden transparent zu machen?

Um die Transparenz gegenüber ihren Kunden im Einklang mit der DSGVO zu erhöhen, können Unternehmen verschiedene praktische Maßnahmen ergreifen. Erstens können sie ihre Datenschutzrichtlinien überarbeiten, um die Sprache verständlicher zu machen. Zweitens sollten Unternehmen Datenschutzüberlegungen in alle Phasen ihrer Projekte einbeziehen. Ein weiterer wichtiger Schritt ist es, den Kunden die Möglichkeit zu geben, auf ihre Daten zuzugreifen, sie zu ändern oder herunterzuladen. Außerdem sollten die Kunden unverzüglich über alle Datenschutzverletzungen informiert werden. Und schließlich kann die Ernennung eines Datenschutzbeauftragten dazu beitragen, einen klaren Kommunikationskanal für Kunden zu schaffen, die Fragen oder Bedenken bezüglich der Datenverarbeitung haben.

About the Author

LinkedIn Profile

Søren Pommer is the founder and CEO of Gluu, a Copenhagen-based company dedicated to streamlining business processes for organizations worldwide. Drawing from his experience managing global digital projects at Philips and later as COO of a digital agency, Søren identified the challenges businesses face in aligning process management with practical execution. This inspired him to establish Gluu in 2011. Under Søren's leadership, Gluu has become a leading platform for improving process transparency, collaboration, and compliance in nearly 60 countries. His vision focuses on empowering employees by creating tools that simplify understanding, execution, and enhancement of work processes, ensuring that systems adapt to human needs rather than the other way around. Søren’s approach emphasizes involvement, usability, and the seamless integration of processes to bridge organizational silos. Søren is a thought leader in process management and advocates for rethinking traditional top-down governance to make work more intuitive and effective for everyone involved

Artikel, die Ihnen gefallen könnten...