Die meisten von uns, die in Unternehmen tätig sind, die personenbezogene Daten verarbeiten, sind sich inzwischen der Bombe bewusst, die die "GDPR" darstellt. Diese lang erwartete Datenschutzverordnung wird in nur zwölf Monaten, am 25. Mai 2018, in Kraft treten. Für viele Unternehmen stellt sich die Frage, wie sie am besten mit einer GDPR-Vorbereitungskampagne beginnen und auf welche Schlüsselbereiche sie sich konzentrieren sollten. Es kann eine entmutigende Aufgabe sein, wenn man bedenkt, dass die Folgen einer Nichteinhaltung der Anforderungen so schwerwiegend sind: Es drohen Geldbußen in Höhe von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes.
Aber keine Angst! Wir haben einen kurzen Leitfaden mit den fünf größten Herausforderungen erstellt, mit denen viele Unternehmen konfrontiert sind, wenn sie eine GDPR-Kampagne starten, und geben Tipps, wie sie diese am besten bewältigen können.
1. Schaffung eines Bewusstseins für die DSGVO in der gesamten Organisation
Unser Rat: Holen Sie die wichtigsten Akteure ins Boot und erstellen Sie einen Sensibilisierungsplan.
Wie das alte Sprichwort sagt: Wer nicht vorbereitet ist, ist bereit zu scheitern. Stellen Sie sicher, dass die Entscheidungsträger und die wichtigsten Interessengruppen in Ihrem Unternehmen über die Gesetzesänderung informiert sind, und sorgen Sie dafür, dass sich die Führungsebene dafür einsetzt. Es ist von großem Vorteil, wenn Sie einen Sponsor aus der Führungsebene haben, der sich für die Kampagne einsetzt und dafür sorgt, dass sie reibungslos abläuft.
Um Ihr GDPR-Projekt in Gang zu bringen, empfehlen wir Ihnen auch, sich zunächst das Risikoregister Ihrer Organisation anzusehen, sofern Sie eines haben. Falls nicht, ist es ein praktisches Instrument, das Sie zu Beginn Ihrer GDPR-Reise zusammenstellen können.
Denken Sie daran, dass die Zeit das Wesentliche ist. Beginnen Sie so früh wie möglich, um Panik in letzter Minute zu vermeiden, und nutzen Sie das folgende Jahr, um das Bewusstsein für die bevorstehenden Änderungen zu schärfen. Unser eLearning-Kurs zur DSGVO ist ein guter Ausgangspunkt für die Sensibilisierung Ihrer Mitarbeiter.
2. Bewertung der aktuellen Datenverarbeitungsmethoden und deren Anpassung an die GDPR-Erwartungen
Unser Rat: Beginnen Sie damit, zu ermitteln und festzuhalten, welche personenbezogenen Daten Sie besitzen, woher sie stammen und mit wem Sie sie teilen. Dokumentieren Sie auch alle bereits bestehenden Compliance-Maßnahmen.
Wir empfehlen die Durchführung eines Informationsaudits. Wenn Sie z. B. über unrichtige personenbezogene Daten verfügen und diese an eine andere Organisation weitergegeben haben, müssen Sie die andere Organisation darüber informieren, damit sie ihre eigenen Unterlagen ändern kann. Daher ist es wichtig zu wissen, welche Daten Sie besitzen und zu welchem Zweck Sie sie verwenden. Es ist auch wichtig, die Änderungen zu verfolgen, die Sie bei der Datenverarbeitung vornehmen, um die Einhaltung der DSGVO zu gewährleisten. Auf diese Weise können Sie die Einhaltung des Grundsatzes der Rechenschaftspflicht nach der DSGVO nachweisen.
3. Ernennung eines Datenschutzbeauftragten
Unser Rat: Stellen Sie fest, ob die Ernennung eines Datenschutzbeauftragten für Ihre Organisation eine zwingende oder wünschenswerte Anforderung ist. Idealerweise sollte eine Person benannt werden, die die Verantwortung für die Einhaltung der Datenschutzbestimmungen übernimmt, da das Risiko eines Verstoßes gegen die Datenschutz-Grundverordnung mit einer hohen Geldstrafe verbunden ist.
Zu den Organisationen, die einen behördlichen Datenschutzbeauftragten bestellen müssen, gehören Behörden und solche, deren Tätigkeiten eine regelmäßige und systematische Überwachung der betroffenen Personen in großem Umfang beinhalten. Es ist wichtig, dass jemand in Ihrer Organisation oder ein externer Datenschutzberater die volle Verantwortung für die Einhaltung des Datenschutzes übernimmt. Zu den wichtigsten Eigenschaften, die für diese Funktion erforderlich sind, gehören das Wissen, die Unterstützung und die Autorität, um den Datenschutz effektiv zu verwalten.
Es ist auch ratsam, einen Kommunikationsrahmen festzulegen, sobald Sie Ihren DSB ernannt haben. Darin sollte festgelegt werden, wer wem Bericht erstattet und wo diese Funktion innerhalb der Struktur Ihrer Organisation angesiedelt ist, um Verwirrung zu vermeiden.
4. Einführung neuer Datenverarbeitungsmethoden
Unser Rat: Dokumentieren und implementieren Sie neue Compliance-Richtlinien und -Verfahren und schulen Sie Ihr Datenverarbeitungsteam in Übereinstimmung mit diesen neuen Maßnahmen. Überprüfen Sie alle bestehenden Verträge und Einwilligungen und aktualisieren Sie diese in Übereinstimmung mit der Datenschutz-Grundverordnung.
Diese müssen die wichtigsten Änderungen berücksichtigen, darunter Informationen zum Datenschutz, erweiterte Rechte des Einzelnen und Anträge auf Zugang zu Dokumenten sowie die Zustimmung.
Überprüfen Sie Ihre aktuellen Datenschutzhinweise und erstellen Sie einen Plan, um rechtzeitig vor der Umsetzung der DSGVO alle notwendigen Änderungen vorzunehmen.
Überprüfen Sie Ihre Verfahren, um sicherzustellen, dass sie alle neuen, erweiterten Rechte abdecken, die Einzelpersonen nach der DSGVO haben, einschließlich der Frage, wie Sie personenbezogene Daten löschen oder Daten elektronisch und in einem allgemein verwendeten Format bereitstellen würden.
Bringen Sie Ihre Verfahren auf den neuesten Stand und planen Sie, wie Sie Anträge auf Zugang zu Dokumenten innerhalb der neuen Frist von einem Monat bearbeiten werden.
Überprüfen Sie, wie Sie die Zustimmung einholen und aufzeichnen und ob Sie Änderungen vornehmen müssen. Denken Sie daran, alle vorgenommenen Änderungen zu dokumentieren. Denken Sie auch daran, dass sich durch die DSGVO auch die Verarbeitung personenbezogener Daten von Kindern ändern wird. Es ist ratsam, schon jetzt darüber nachzudenken, welche Systeme Sie einrichten können, um das Alter der Personen zu überprüfen und die Zustimmung der Eltern oder Erziehungsberechtigten zur Datenverarbeitung einzuholen.
5. Erkennen und Verstehen, wie man mit einer Datenschutzverletzung umgeht
Unser Rat: Führen Sie klare Verfahren zur Meldung von Datenschutzverletzungen ein, die es Ihnen ermöglichen, die Verletzung innerhalb der neuen 72-Stunden-Frist zu erkennen und zu melden.
Erstellen Sie ein internes Register für Datenschutzverletzungen, um die Untersuchung von Verstößen zu protokollieren und zu verfolgen. Es ist auch wichtig, zu beurteilen, welche Daten Sie besitzen, die im Falle einer Datenschutzverletzung gemeldet werden müssen.
Vergewissern Sie sich, dass Ihre Partner und Lieferanten sich über ihre Verantwortung im Klaren sind, Sie über alle potenziellen und bestätigten Verstöße ihrerseits zu informieren.
Immer noch überwältigt? Kein Grund zur Panik! Es ist noch Zeit, Ihr GDPR-Programm in den Griff zu bekommen. Vereinbaren Sie einen Gesprächstermin mit unseren Branchenexperten und entdecken Sie die Vorteile, die Ihnen unser neues Produkt "MetaPrivacy" bei der Vorbereitung Ihres Unternehmens auf die Einhaltung der GDPR bietet. Wir bieten auch zwei eLearning-Kurse zur GDPR an, um unsere Mitarbeiter zu schulen und Ihre GDPR-Aufklärungskampagne zu unterstützen.
