Anzeige
Anzeige
Anzeige
Anzeige
Computertastatur Eu 86705506 Cr Fotolia Web
Foto: Fotolia
Special DSGVO Datenschutz EU-Recht

DSGVO: Mit weißer Weste durchstarten

Im Mai tritt die EU-Datenschutzgrundverordnung in Kraft, nicht jedes Unternehmen hat aber einen Datenschutzbeauftragten. Fünf Tipps, was jetzt zu tun ist.

Anzeige
Anzeige
Anzeige

Die Titelblätter der Fachmedien, Wirtschaftspresse und mittlerweile sogar die der Tageszeitungen halten es uns vor Augen: Die Datenschutzgrundverordnung (DSGVO) kommt mit großen Schritten und macht auch vor mittelständischen Unternehmen nicht halt. Augen zu und Kopf in den Sand wird keinem von uns weiterhelfen - ganz im Gegenteil: Wer sich nicht umgehend mit dem Thema auseinandersetzt, den erwarten unter Umständen Strafen in der Höhe von bis zu 20 Millionen Euro oder vier Prozent des globalen Jahreseinkommens. Es lohnt sich also, besser heute als morgen mit der Umstrukturierung des Datenhaushalts zu beginnen. Wo sollen Unternehmen ansetzen, die noch keinen Data Protection Officer (DPO) zur Hand haben? Ein paar Tipps, wie man direkt ins Thema einsteigen kann.

1. Datenkarte für die erste Orientierung

Was haben wir vor der Ära des Smartphones als erstes getan, wenn wir in eine neue Stadt gereist sind? Ganz klar: eine Stadtkarte zur ersten Orientierung besorgt. Genau so sollten Firmen auch zur Vorbereitung ihrer Datenumstrukturierung vorgehen. Trommelt alle eure Ingenieure, Produktverantwortlichen und Analysten zusammen und identifiziert gemeinsam, wo im Unternehmen überall Daten gesammelt oder verarbeitet werden und zu welchem Zweck. Diese Unterlage dient zunächst zur Bestandsaufnahme und als Roadmap für alle weiteren Schritte.

Anzeige

2. Jäger oder Sammler?

Generell wird im Rahmen der DSGVO zwischen Data Processor und Data Controller unterschieden. Während der Data Controller rechtlich für die Erfassung und Generierung zuständig ist und festlegt, wie die Daten weiterverwendet werden dürfen, ist der Data Processor nur für die Verarbeitung entlang eben jener Vorgaben verantwortlich. Da für beide Instanzen unterschiedliche Vorgaben gelten, sollten Unternehmen genau verstehen, welcher Gruppe sie zuzuordnen sind. Hierzu können sie auch jederzeit einen Berater zu Hilfe holen.

3. Rechtlicher Beleg für die Verarbeitung

Die DSGVO gestattet einige rechtmäßige Ausgangslagen für die Verarbeitung personenbezogener Daten. Die zwei gängigsten sind “berechtigtes Interesse” und “Einverständnis”. Erstere greift dann, wenn das Unternehmen ein berechtigtes Interesse daran nachweisen kann, die Daten zu nutzen (z.B. wenn sich das Geschäftsmodell darauf stützt). Im zweiten Fall wird die Verarbeitung durch das dezidierte Einverständnis eines jeden Nutzers legitimiert. Hier sollte deine Firma anhand der Datenkarte festlegen, welche Regelungen sie sich zunutze machen möchte und sehr detailliert festhalten, warum dies in ihrem speziellen Fall gerechtfertigt ist.

4. Protokolle und Schulungen

Ab diesem Punkt sollten Unternehmen sicherstellen, dass alle internen Vorgänge, die sich mit der Verarbeitung personenbezogener Daten befassen, protokolliert werden. Und zwar so vollständig und durchdacht, dass sie eine überraschende Kontrolle durch einen offiziellen Prüfer mit Bravour bestehen. Dafür ist maßgeblich, dass der Prüfer erkennen kann, dass die Firma die neue Grundverordnung im Aufbau ihrer Services und Produkte berücksichtigt und diese neu ausgerichtet hat (Privacy by Design) und, dass alle Mitarbeiter, die direkt mit Daten arbeiten, ausreichend geschult sind.

5. Augen auf bei der Partnerwahl

Mit der Einführung am 25. Mai 2018 kann eine Firma für alle Praktiken ihrer Partner im Bezug auf Datenverarbeitung ebenso zur Rechenschaft gezogen werden wie der Partner selbst. Das heißt im Klartext, dass dein Arbeitgeber oder du als Inhaber sehr genau prüfen sollten, ob sich ein Unternehmen für eine Zusammenarbeit eignet und richtlinienkonform agiert. Dazu kannst du dich beispielsweise an den folgenden Fragen orientieren:

  1. Wer im Unternehmen ist verantwortlich für DSGVO-Compliance?
  2. Auf welche dokumentierte rechtliche Grundlage stützt sich die Datenverarbeitung? (Einverständnis/ berechtigtes Interesse?)
  3. Hat das Unternehmen einen Data Protection Officer eingestellt?
  4. Ist das Unternehmen "Controller" oder "Processor" von Daten?
  5. Wie werden Zugriffsanfragen von Nutzern auf ihre Daten gehandhabt?
  6. Wie werden die Systeme gesichert?
  7. Hat das Unternehmen selbst die Bereiche identifiziert, in denen Daten verarbeitet werden und sie entsprechend der Richtlinien optimiert?
  8. Wie steht das Unternehmen zu e-Privacy und was ist dahingehend geplant, falls das Geschäftsmodell direkt betroffen ist?
  9. Bieten sie die Einverständniserklärung via Opt-In an?
  10. Wie sieht der Back-Up Plan aus?

Zugegeben: Die neue Datenschutzgrundverordnung bedeutet im ersten Schritt für einige Unternehmen durchaus einen gewissen Aufwand, der es aber absolut wert ist. Wir befinden uns gerade in einer höchst spannenden Zeit des Umbruchs und haben die Chance für ein transparenteres und nutzerfreundlicheres Internet in die Bresche zu springen. Alle, die sich jetzt schon wappnen und im Mai mit weißer Weste dastehen, werden einen enormen Wettbewerbsvorteil haben.

Patrick Edlefsen Sizmek 300Dpi
Foto: Patrick Edlefsen/Sizmek

Der Autor: Patrick Edlefsen ist bereits seit 2014 Managing Director DACH für Sizmek, die weltweit größte unabhängige Werbeplattform auf Seite der Agenturen und Werbetreibenden, tätig. Nach seinem Studium im Fach Business Management an der University of Westminster entdeckte Edlefsen in der Stelle des Managing Directors zunächst bei FOX Networks und anschließend beim Video Advertising Network BrightRoll seine Leidenschaft für Werbetechnologie und Onlinemarketing.

 

Gewappnet für die DSGVO

Die Datenschutzgrundverordnung tritt im kommenden Mai in Kraft, die Umsetzung der E-Privacy-Verordnung wird in diesem Kontext nach wie vor heiß diskutiert. Die vierteilige W&V-Serie erklärt alle relevanten Fakten zum wohl beherrschenden Thema des Werbejahres 2018.

Hilfreiche Infos zur EU-Datenschutzgrundverordnung im HR-Bereich bietet auch das W&V Stellenmarkt-Seminar am 23. April in München. 

Anzeige
Anzeige
Verlagsangebot
Weitere Artikel aus dem Special
Anzeige
Anzeige
Aktuelle Stellenangebote
Alle Stellenangebote