In 10 Schritten zur GDPR-readiness – dank unserer Checkliste

Autor
Daniel Däppen
Veröffentlicht
08. September 2017

Die GDPR ‒ General Data Protection Regulation (DSGVO ‒ Datenschutz-Grundverordnung) wird in rund einem dreiviertel Jahr – konkret dem 25. Mai 2018 – europaweit in Kraft treten. Entsprechend muss ab dann die Einhaltung der in der Verordnung geltenden Bestimmungen belegt werden können. In früheren Blogposts haben wir Ihnen die bei Nicht-Einhaltung drohenden Sanktionen bereits erklärt, beispielsweise drakonisch hohe Geldstrafen. Aber welche Schritte müssen Sie für «Compliance» konkret unternehmen? Wie gehen Sie am besten vor? Mit folgender Checkliste geben wir Ihnen eine Wegleitung, damit Sie ohne Stress ans Ziel kommen!

1 ‒ Erzielen Sie Management Awareness

Machen Sie das Senior Management und Ihre Schlüsselpersonen auf die GDPR aufmerksam – besonders auf den engen Zeitrahmen. Mai 2018 scheint zwar noch in weiter Ferne; aber Sie wissen sicherlich selber, wie rasant die Zeit vergehen kann. Allfällige Vorhaben müssen frühzeitig geplant und initiiert werden, damit die Umsetzung fristgerecht – und vor allem erfolgreich – gelingt. Überlegen Sie sich bei dieser Gelegenheit auch, wie eine Aufbauorganisation für Datenschutz-Themen in Ihrem Betrieb aussehen könnte. Welche Rollen und Funktionen sind bereits heute mit den Themen Datenschutz und Informationssicherheit beauftragt? Wie könnte eine ideale Organisationsstruktur dazu in Ihrem Unternehmen aussehen?

2 ‒ Analysieren Sie Ihre Daten

Erstellen Sie frühzeitig ein Inventar der personenbezogenen Daten, die Sie in Ihrem Unternehmen bearbeiten; inklusive Angaben über Herkunft und allfällige (externe) Empfänger. Die Inventarisierung der Datenbestände ist zwar nicht allzu komplex, doch aufgrund des typischerweise grossen Volumens von unstrukturierten Daten in einem Unternehmen kann eine solche Erhebung viel Zeit und Aufwand bedeuten. Ohne Inventar fehlt Ihnen jedoch die Grundlage, um weitere Schritte zu unternehmen. Unser Tipp: Suchen Sie für diese Arbeit gegebenenfalls Unterstützung durch Kollegen der internen Revision.

3 ‒ Überprüfen Sie Ihre eigenen Datenschutz-Bedingungen

Entsprechen die Bedingungen betreffend Datenschutz, welche Sie in Verträgen, auf Ihrer Webseite, Ihren Produkten und Allgemeinen Geschäftsbedingungen veröffentlicht haben, schon den neuen Bestimmungen? Die GDPR hält zu diesem Thema einige Änderungen und Anpassungen bereit, welche in den entsprechenden Dokumenten reflektiert werden müssen.

4 ‒ Lernen Sie die Rechte der Betroffenen kennen

Analysieren Sie, welche Rechte die betroffenen Personen (Kunden, Mitarbeitende etc.) bezüglich ihren eigenen personenbezogenen Daten haben und wie diese Rechte in Ihren Prozessen und Anleitungen bereits beschrieben sind. Nutzen Sie die Gelegenheit, Ihre Mitarbeitenden über die neuen Bestimmungen in Kenntnis zu setzen, damit Betroffene ihre Rechte auf Wunsch wahrnehmen können. Definieren und konzipieren Sie insbesondere auch Massnahmen, um personenbezogene Daten bei Bedarf bzw. auf Anfrage aushändigen oder löschen zu können. Erstellen Sie, wenn nicht schon vorhanden, einen Prozess zu dessen Abwicklung, um angemessen, vollständig und fristgerecht auf eine Anfrage antworten zu können.

5 ‒ Kennen Sie die Rechtsgrundlage für Datenbearbeitung im Ausland

Wenn Sie in mehreren (EU-)Ländern aktiv sind gelten möglicherweise verschiedene Vorgaben zur Bearbeitung von personenbezogenen Daten. Erstellen Sie dazu eine Übersicht und prüfen Sie in Ihrem Unternehmen die vorhandenen Kenntnisse, die aktuelle Umsetzung und Einhaltung dieser Bestimmungen. Sie haben unter der GDPR die Möglichkeit, eine Datenschutz-Behörde in einem EU-Land zu bestimmen, die diesbezüglich als Hauptansprechstelle fungiert und ihrerseits bei Bedarf mit Datenschutzbehörden in anderen EU-Ländern zusammenarbeitet.

6 ‒ Holen Sie sich gegebenenfalls die Zustimmung der betroffenen Personen

Wenn Sie bisher keine explizite Zustimmung für die Bearbeitung von Personendaten durch die betroffenen Personen erhoben haben, ist nun ein guter Zeitpunkt, um die Notwendigkeit dafür zu beurteilen. Auch hier bringt die General Data Protection Regulation Änderungen mit sich, die eine Anpassung von bisherigen Dokumenten und Verträgen gegebenenfalls notwendig machen.

7 ‒ Vergessen Sie nicht Kinder und Jugendliche

Bearbeiten Sie personenbezogene Daten von Jugendlichen unter 16 Jahren? Dann wird die Zustimmung der Eltern notwendig. Ein Assessment der Angemessenheit und Vollständigkeit der Sicherheitsmassnahmen für den Schutz dieser speziellen Datenkategorie (Kinder, Jugendliche) gehört hier zur gebotenen Sorgfaltspflicht.

8 ‒ Data Breach Notification: Melden Sie Vorfälle

Neu wird eine Meldepflicht bei Vorfällen wie Verlust oder Diebstahl von personenbezogenen Daten eingeführt, die innerhalb von 72 Stunden an die zuständige Behörde erfolgen muss. Stellen Sie sicher, dass Ihr Unternehmen in der Lage ist, rechtzeitig eine Analyse eines möglichen Vorfalls durch die IT durchführen zu können. Nicht zu vergessen sind auch die Berichterstattung – am besten mit Unterstützung von Experten hinsichtlich rechtlicher Belangen – sowie die Zusammenarbeit mit der Kommunikationsabteilung. Bei möglichen Risiken für die betroffenen Personen sind neben der Datenschutz-Aufsichtsbehörde auch die Personen selbst zu informieren.

9 ‒ Führen Sie Privacy by Design und Privacy Impact Assessments durch

Bei neuen Vorhaben und Projekten ist eine sogenannte Datenschutz-Folgeabschätzung (PIA ‒ Privacy Impact Assessment) zur Identifikation und Bewertung allfälliger Risiken durchzuführen. Gegen die Risiken sind angemessene Sicherheitsmassnahmen zu treffen und zwecks Belegbarkeit und Nachvollziehbarkeit in der PIA zu dokumentieren.

Dienstleistungen und Produkte, insbesondere Software oder Web-Anwendungen, sind «by Design» mit Datenschutz-Massnahmen auszustatten und «by Default» entsprechend datenschutzfreundliche Grundeinstellungen zu gewährleisten. Die Umsetzung von «Privacy by Design» wird stark erleichtert durch das Vorhandensein von «Security Development»-Prozessen. Die Konzeption und Umsetzung solcher Prozesse zur Entwicklung sicherer Software sind erfahrungsgemäss aufwändig und mit viel Überzeugungsarbeit gekoppelt – sowohl bei Entwicklern wie auch deren Vorgesetzten, die typischerweise bereits ohne Sicherheitsvorgaben unter hohem Leistungsdruck stehen.

10 ‒ Ernennen Sie einen Data Protection Officer (DPO)

Unter gewissen Umständen, beispielsweise bei der Bearbeitung bzw. Auswertung von grossen personenbezogenen Datenmengen sowie bei der Bearbeitung von sensitiven, personenbezogenen Daten, ist die Ernennung einer oder eines (betrieblichen) Datenschutzbeauftragten notwendig. Diese Person koordiniert sämtliche Anliegen und Themen rund um den Datenschutz im Unternehmen und agiert auch als Ansprechpartner für Kontakt zu Datenschutz-Aufsichtsbehörden. Um den anspruchsvollen Aufgaben als DPO gerecht zu werden, muss die Stelle durch eine fachlich kompetente und erfahrene Person besetzt werden, die in der Ausübung ihrer Pflichten nicht eingeschränkt werden darf und über genügend Ressourcen verfügen muss.


GDPR-ready?

Sie sehen: Mit dem richtigen Vorgehen ist die Umsetzung der GDPR-Anforderungen nur halb so schlimm. Wir hoffen, Ihnen mit dieser Checkliste ein paar hilfreiche Tipps zur Umsetzung der GDPR-Compliance mit auf den Weg gegeben zu haben. Bei Fragen stehen Ihnen unsere erfahrenen InfoGuard Cyber Security-Spezialisten gerne zur Verfügung. Wir bietet Ihnen ein ganzheitliches Lösungsangebot zusammen mit unserem Partner MME , um auch rechtliche Fragestellungen kompetent beantworten zu können. Kontaktieren Sie uns – wir beraten Sie gerne!

 

Kontakt

 

PS: In unserem Cyber Security Blog finden Sie noch mehr informative Blogbeiträge zur GDPR sowie zu weiteren Themen rund um Cyber Security und Cyber Defence. Klicken Sie sich durch – oder abonnieren Sie am besten gleich unser Blog Update, um keinen weiteren Beitrag zu verpassen!

Blog-Updates abonnieren

Artikel teilen