Ja, folge dem Aktionsplan und Du wirst Dich bald auskennen.

Du wirst sehen, dass Du für Deine Bemühungen mit einem guten Verständnis belohnt wirst!

Tipp: Die Begriffe sind links gut beschrieben! Achtung: In der DSGVO haben Begriffe oft eine ganz andere Bedeutung, als im normalen Sprachgebrauch.

Jeder Begriff wird auf einer separaten Seite erläutert, damit Du dem Text leichter folgen kannst.

Bist Du bereit für den ersten Schritt?
Wenn JA, dann lies weiter!

Welche Daten verarbeite ich?

Zuerst musst Du wissen wovon die Rede ist. Es geht um Datenverarbeitung. Bei der „EU Datenschutz Grundverordnung“ geht es um eine ganz bestimmte Art der Datenverarbeitung.

Lese zu diesem Zweck zuerst die Begriffe „personenbezogene Daten„, „besondere Kategorie personenbezogener Daten“ und dann „Verarbeitung„. Dort findest Du weitere Begriffe. Schau Dir bitte diese Begriffe genau an, denn wenn Du sie nicht verstehst, wird das Ganze sehr verwirrend und kostet Dich unnötig viel Zeit.

Wenn Du obige Begriffe durchgelesen hast, dann stellst Du Dir folgende Fragen:

  • Welche Daten verarbeite ich?
  • Welche Formate habe ich? (Definition siehe ein Stückchen weiter unten)
  • Auf welchen Geräten sind die Daten?

Mache jetzt eine vollständige Liste über Deine Verarbeitung von personenbezogenen Daten, wie z.B.:

  • Wo hast Du welche Daten gelagert?
  • Von wo kommen die Daten her?
  • Was machst Du damit?
  • In welchen Formaten speicherst Du sie?
  • Auf welchen Geräten?
  • usw.

Du solltest das sehr genau machen! Denn für die weiteren Schritte wirst Du diese Informationen brauchen.

Die Checkliste zum Downloaden findest Du hier.

970x90

Hilfe:

  • Formate sind z.B.: Excel-Liste, E-Mail (Outlook), Word-Dokument, Papierakte, Notizzettel – praktisch alles, wo Du personenbezogene Daten lesbar abspeicherst oder händisch aufschreibst
  • Geräte sind z.B.: Computer, Laptop, Aktenschrank, Telefon, Adressbuch, Handy, iPad
  • Cloud-Anwendungen sind z.B.: Evernote, Everbill, Dropbox
  • Bilddateien
  • Videodateien
  • Personalakten, Zentralakten

Hast Du es gemacht?

Nun weißt Du worum es geht, und bist ausgerüstet den nächsten Abschnitt zu meistern.

protect

Wann darf ich Daten verarbeiten?

Nun kommen drei (das sind nicht alle) wichtige Grundlagen, wann Du die Daten von jemanden verarbeiten darfst.

  • Einwilligung
  • berechtigtes Interesse
  • Vertrag

Einwilligung

Die Einwilligung ist ein zentraler Punkt. Wenn Du die Einwilligung verstanden hast, wirst Du sehen was Sache ist.

Eine Einwilligung ist einfach eine Zustimmung, wo der Betroffene Dir erlaubt, dass Du seine Daten verarbeiten darfst.

Dein erster Schritt ist: Lies die Informationen über die Einwilligung.

  • Arbeite Dir nun aus, wie ein richtiger Einwilligungsablauf für Dein Geschäft, ausschauen muss.
  • Mache Dir eine Liste von Bereichen, wo Du personenbezogene Daten erhebst. Das sind wahrscheinlich Rezeption, Eintragungen auf der Homepage für Newsletter, Anfragen, Bestellungen, Telefonnotizen, usw.

Wenn Du das gemacht hast, überlege Dir, wie Du das umsetzen musst, damit es im Sinne der „EU Datenschutz Grundverordnung“ passiert.

Die Einwilligung ist ein ganz wichtiger Punkt, denn wenn Du das unzureichend machst, und es nicht richtig nachweisen kannst, wird Dich das eine sehr hohe Strafe kosten. Auch darfst Du Kontakte, die Du nicht richtig erhoben hast, ab dem 25. Mai 2018 nicht mehr verwenden.

Checkliste für die Einwilligung findest Du hier.

Berechtigtes Interesse

Eine wichtige Grundlage ist das berechtigte Interesse. Ich gebe zu, das ist nicht in zwei Sätzen zu erklären. Daher habe ich hier eine genaue Erklärung gemacht. Wenn Du diese Rechtsgrundlage richtig anwenden kannst, ersparst Du Dir viele unnötige Einwilligungen. Hier kommst Du zur Erklärung über das berechtigte Interesse.

Vertrag

Ein Kaufvertrag ist ein starker Grund die Daten des Betroffenen zu verarbeiten. Kaufverträge, Leasingverträge, Bestellungen, usw…  Kurz gesagt, geht es hier um die Verarbeitung von Daten, damit der Vertrag abgewickelt werden kann. Da braucht man keine Einwilligung.

Der Auftragsverarbeiter

Der Auftragsverarbeiter ist eine Person, ein Dienstleister oder eine Firma, die in Deinem Auftrag diverse Arbeiten erledigt. Das ist der ganze Bereich des Out-Sourcings und Delegierens. Es gibt ganz bestimmte EU-Vorschriften, wie Du mit wem zusammenarbeiten darfst.

Lies jetzt bitte die Informationen zum Aufragsverarbeiter.

Jetzt mache eine komplette Liste aller Deiner Auftragsverarbeiter, und welche personenbezogenen Daten diese Auftragsverarbeiter, für welchen Zweck verarbeiten. Das kann eine externe Lohnverrechnung sein, ein E-Mail-Service wie z.B.: Mail-Chimp oder Klick-Tip, ein CRM (customer relation management) oder ein Cloud-Anbieter.

Kontaktiere Deine Auftragsverarbeiter und kläre dieses Thema mit ihnen. Checke, welche Anstrengungen sie unternehmen, um ihre Aufgaben in Zukunft richtig wahrzunehmen.

Es folgt in Kürze eine Arbeitshilfe zum Thema „Auftragsverarbeiter“.

Verfahrensverzeichnis

Das Verfahrensverzeichnis, oder wie es ganz richtig heißt „Verzeichnis der Verarbeitungstätigkeiten“, wird Dir einen wertvollen Dienst erweisen. Auch wenn Dir der Sinn jetzt vielleicht noch nicht ganz klar ist, aber dieses Verfahrensverzeichnis ist in Deinem Betrieb Dein roter Faden für die Umsetzung der Verordnung. Wenn Du das Verfahrensverzeichnis richtig ausfüllen kannst, kannst Du auch die Verordnung richtig anwenden.

Lies bitte hier die Informationen zum „Verzeichnis der Verarbeitungstätigkeiten„.

In Kürze folgt hier ein genauerer Aktionsplan zum Verzeichnis. Bis dahin nimm Dir die Checkliste und beginne damit.

Technische Maßnahmen

Wenn Du bis hierher alles gemacht hast, dann verstehst Du, in welcher Situation Du bist, und was Du erreichen musst. An diesem Punkt geht es dann konkret um die technischen Maßnahmen, die Du nun ergreifen musst. Wie organisierst Du in Zukunft: Deinen Schriftverkehr, Deinen E-Mail-Verkehr, wo speicherst Du Deine Listen ab, usw.

Wenn Du alle bisherigen Schritte gemacht hast, solltest Du in der Lage sein, Dir auszuarbeiten, wie Dein optimaler Geschäftsprozess aussehen soll. Damit erschlägst Du gleich mehrere Fliegen auf einen Schlag: Du schaffst Dir hiermit eine sichere und verlässliche Oberfläche und eine klare Datenverarbeitung, der Du und auch Deine Mitarbeiter in Zukunft folgen können. Das ist für Dich auch die Gelegenheit, die veralteten und unhandlichen Systeme über Bord zu werfen, und im 21. Jahrhundert anzukommen.

Nicht ohne Grund hat der Gesetzgeber in der Verordnung speziell auf das Thema Technik hingewiesen, und damit dem Verantwortlichen den Auftrag gegeben, sich auf einen höheren Sicherheitsstandard zu begeben.

Vielleicht hast Du schon einmal darüber nachgedacht Deinen Betrieb zu zertifizieren? Jetzt wäre eine gute Gelegenheit dazu. Siehe dazu die passenden Zertifizierungsstandards.

Verwende Verschlüsselungen

Setze Dich intensiv mit den verschiedenen Verschlüsselungstechniken auseinander. Wenn Du eine vernünftige Verschlüsselung in Deiner Datenverarbeitung verwendest, ist Dein Risikofaktor schon sehr viel geringer. Stell Dir vor, Du oder einer Deiner Mitarbeiter, verliert einen Laptop mit vertraulichen und/oder personenbezogenen Daten. Wenn die Daten auf dem Laptop verschlüsselt sind, ist der Schaden maximal der Laptop. Aber wenn die Daten frei zugänglich sind, kann das massive Folgen haben.

Es würde den Rahmen dieser Seite sprengen, hier auf geeignete Verschlüsselungsverfahren einzugehen. Nimm den Hinweis auf die Möglichkeit der Verschlüsselung ernst. Eine geeignete Verschlüsselung ist in jedem Fall ein wichtiger Datenschutzfaktor. Wenn Du der Behörde nachweisen kannst, dass Du eine hochwertige Verschlüsselung verwendest, und das auch in Deinem Verzeichnis vermerkst, bist Du schon ziemlich aus dem Schneider.

Zusammenfassung der ersten Schritte

Das sind Deine Schwerpunkte für den Anfang:

  • Zuerst erhebst Du alle Arten von personenbezogener Daten, die in Deinem Unternehmen entstehen.
  • Auf welchen Geräten werden personenbezogene Daten gespeichert?
  • Welche Formate werden verwendet?
  • Analyse und Auswertung über die Form, wie Du eine gültige Einwilligung bekommst.
  • Einwilligungserklärung in Deine Kontaktformulare übernehmen.
  • Bereich Outsourcing: Wer sind meine Partner? Kennen sich diese mit der DSGVO aus? Können diese die Bedingungen erfüllen?
  • Erstellen eines Auftragsverarbeiter-Vertrages (mit Deinen Dienstleistern).
  • Erstellen eines Verfahrensverzeichnis (zum Erarbeiten einer ordnungsgemäßen Datenverarbeitung).
  • Technische Maßnahmen: Wer hat das passende IT-System für mich?
  • Verschlüsselungs-System prüfen und einführen.

Parallel bildest Du Dich im Datenschutz aus und wirst ein Profi.

Ich schätze, bei diszipliniertem Arbeiten, brauchst Du für diese Aufgaben vielleicht 40 bis 60 Stunden. Diese Investition in Zeit wird sich aber tausendfach für Dich auszahlen. Wenn Du mit diesem Wissensstand dann Deinen Anwalt und auch Deinen IT-Lieferanten kontaktierst, um die Details auszuarbeiten, wirst Du Dir ein kleines Vermögen sparen und obendrein noch eine viel bessere Unternehmensstruktur geschaffen haben.

In diesem Zustand hast Du einen ganz klaren Wettbewerbsvorteil, brauchst Dich vor der Behörde nicht zu fürchten, und hast zusätzlich noch eine gesicherte EDV-Landschaft, die strukturiert, sicher und übersichtlich ist.

Teste Deine Umsetzung: Elchtest zur DSGVO

Die Datenschutz-Grundverordnung mit einer klaren Handlungs-Anleitung erledigen?

Kein Kurs bringt Dir die Umsetzung bei! Wenn Du überlegst was Du jetzt machen sollst, dann brauchst Du eine klare Anleitung.

Ob Du nun Vereinbarungen mit den Mitarbeitern treffen musst, interne Richtlinien erstellen willst oder das Verzeichnis machen musst, nur mit einer Anleitung wirst Du es schnell schaffen.

In jedem Wirtschaftsbereich ist dieses Wissen: „Wie man das jetzt macht“ lebenswichtig.

Der rote Faden im Datenschutzkompass
bringt Dich schnell durch die DSGVO-Schritte!

Ist eine Frage offen geblieben?

Können wir Dir beim Umsetzen helfen?

970x90