Die DSGVO gilt ab Mai für sämtliche Unternehmen in Europa – für Online-Händler genauso wie für Einzelunternehmer oder große Konzerne. Ein Anliegen der europäischen Verordnung: Sie soll unter anderem die Datensammelwut vieler Unternehmen bändigen. [...]
„Viele Unternehmen haben in den letzten Jahren massenhaft Datensätze gesammelt, mit denen unzählige Datenverarbeitungsvorgänge stattfinden. „Mit Beginn der DSGVO müssen sich die Prioritäten der Unternehmen jedoch verschieben – weg von der Datensammelwut hin zum bedarfsgerechten Erheben von Daten. Denn künftig steht neben der strategischen Datenerhebung das Prinzip der Datensparsamkeit im Fokus“, fasst Christian Heutger, Geschäftsführer der PSW GROUP, zusammen.
Um dieses Ziel zu erreichen und um einen Überblick über die bereits vorhandenen und verarbeiteten Daten zu schaffen, empfiehlt der IT-Sicherheitsexperte eine Dateninventur. Dabei treten meist immense Datenberge zum Vorschein; über Jahre hinweg produziert von Mitarbeitern, Kunden, Lieferanten, Partnern und Dienstleistern. „In einem ersten Schritt sollten sämtliche Daten, die im Unternehmen verarbeitet werden, gesichtet werden. Erst mit diesem Überblick kann es an das eigentliche Umsetzen der Regeln der DSGVO gehen“, so Heutger und erklärt: „Auf diese Weise verschaffen sich Unternehmen ein Wissen über sämtliche Datenprozesse. Zusätzlich erhalten sie einen Ausgangspunkt, um das sogenannte Verfahrensverzeichnis einzurichten.“
Neue Datenschutz-Ära
Ein Verfahrensverzeichnis ist die Ausgangsbasis für weitere Aktivitäten, die den Start in die neue Datenschutz-Ära vereinfachen. Zugleich wird es ab Mai Pflicht für Unternehmen. Im Verfahrensverzeichnis werden sämtliche Datenverarbeitungsprozesse im Unternehmen katalogisiert. „Die nationalen Aufsichtsbehörden haben das Recht, dieses Verzeichnis einzusehen. So wird die Einhaltung des Datenschutzes überprüft. Versäumnisse können mit Bußgeldern belegt werden“, verdeutlicht Christian Heutger.
Neben dem Namen sowie den Kontaktdaten des für die Datenverarbeitung Verantwortlichen gehört in das Verfahrensverzeichnis auch der im Unternehmen benannte Datenschutzbeauftragte. Weiter werden die Zwecke der jeweiligen Datenverarbeitung offengelegt. Zudem muss angegeben werden, wer von der Datenverarbeitung betroffen ist und wer Empfänger der offengelegten Daten ist.
Unternehmen werden rasch feststellen, dass sie immens viele Verarbeitungsvorgänge für das Verfahrensverzeichnis festhalten müssen. In den nachfolgend aufgeführten Unternehmensprozessen fallen Daten an und sollten deshalb durchleuchtet werden:
- Verarbeiten von Kundendaten (Vertrags-, Kontakt-, Zahlungsdaten, Kaufhistorie, Bonitätsprüfungen, etc.)
- Cookies und Social Plugins
- Newsletter-Versand
- Analyse- sowie Trackingtools
- Datenverarbeitungsprozesse, die extern geregelt werden
- Finanzen und steuerrechtliche Daten (Rechnungsstellungen, Lohnbuchhaltung, etc.)
- Personaldaten (Arbeitszeiterfassungen und -verträge, Bewerbungsmanagement, etc.)
- Einkauf sowie Vertrieb (Lieferantenkontakte, etc.)
- Buchhaltung
- externe Dienstleister
Be the first to comment