Die meisten von uns, die in Unternehmen tätig sind, die personenbezogene Daten verarbeiten, sind sich inzwischen der Bombe bewusst, die die „GDPR“ ist. Diese lang erwartete Datenschutzverordnung wird in nur zwölf Monaten, am 25. Mai 2018, in Kraft treten. Für viele Unternehmen stellt sich die Frage, wie sie am besten mit der Vorbereitung auf die GDPR beginnen und auf welche Schlüsselbereiche sie sich konzentrieren sollen. Es kann eine entmutigende Aufgabe sein, wenn man bedenkt, dass die Folgen einer Nichteinhaltung der Anforderungen so schwerwiegend sind: das heißt  Geldbußen bis zu einem Wert von 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes.

Aber keine Angst! Wir haben einen kurzen Leitfaden mit den fünf größten Herausforderungen erstellt, mit denen viele Unternehmen konfrontiert sind, wenn sie eine GDPR-Kampagne starten, und geben Ihnen Tipps, wie Sie diese am besten bewältigen können.

1. Schaffen eines Bewusstseins für die GDPR in der gesamten Organisation

Unser Rat: Holen Sie die wichtigsten Akteure ins Boot und erstellen Sie einen Plan zur Sensibilisierung.

Wie das alte Sprichwort sagt: Wer nicht vorbereitet ist, ist bereit zu scheitern. Stellen Sie sicher, dass die Entscheidungsträger und die wichtigsten Interessengruppen in Ihrem Unternehmen wissen, dass sich das Gesetz ändert, und sorgen Sie dafür, dass die Führungsebene sich dafür einsetzt. Es ist von großem Vorteil, wenn Sie einen Executive Sponsor haben, dessen Aufgabe es ist, sich für die Kampagne einzusetzen und dafür zu sorgen, dass sie reibungslos abläuft.

Um Ihr GDPR-Projekt in Gang zu bringen, empfehlen wir Ihnen auch, sich zunächst das Risikoregister Ihres Unternehmens anzusehen, falls Sie eines haben. Falls nicht, ist es ein praktisches Werkzeug, das Sie zu Beginn Ihrer GDPR-Reise zusammenstellen können.

Denken Sie daran, dass Zeit das A und O ist. Beginnen Sie so früh wie möglich, um Panik in letzter Minute zu vermeiden, und nutzen Sie das folgende Jahr, um das Bewusstsein für die bevorstehenden Änderungen zu schärfen. Unser eLearning-Kurs zum Thema GDPR ist ein guter Anfang, um Ihre Mitarbeiter zu sensibilisieren.

2. Bewertung der aktuellen Datenverarbeitungsmethoden und deren Anpassung an die Erwartungen der GDPR

Unser Rat: Beginnen Sie damit, zu ermitteln und festzuhalten, welche persönlichen Daten Sie besitzen, woher sie stammen und mit wem Sie sie teilen. Dokumentieren Sie auch alle bereits bestehenden Compliance-Maßnahmen.

Wir empfehlen die Durchführung eines Informationsaudits. Wenn Sie beispielsweise über ungenaue personenbezogene Daten verfügen und diese an eine andere Organisation weitergegeben haben, müssen Sie die andere Organisation darüber informieren, damit sie ihre eigenen Daten ändern kann. Daher ist es wichtig zu wissen, welche Daten Sie besitzen und zu welchem Zweck Sie diese verwenden. Es ist auch wichtig, die Änderungen zu verfolgen, die Sie bei der Datenverarbeitung vornehmen, um die Einhaltung der DSGVO zu gewährleisten. Auf diese Weise können Sie die Einhaltung des Grundsatzes der Rechenschaftspflicht der DSGVO nachweisen.

3. Ernennung eines Datenschutzbeauftragten

Unser Rat: Stellen Sie fest, ob die Ernennung eines Datenschutzbeauftragten für Ihr Unternehmen eine obligatorische oder wünschenswerte Anforderung ist. Idealerweise sollte eine Person benannt werden, die die Verantwortung für die Einhaltung der Datenschutzbestimmungen übernimmt, da das Risiko eines Verstoßes gegen die Datenschutzgrundverordnung mit einer hohen Geldstrafe verbunden ist.

Zu den Organisationen, die einen behördlichen Datenschutzbeauftragten bestellen müssen, gehören Behörden und solche, deren Aktivitäten die regelmäßige und systematische Überwachung von betroffenen Personen in großem Umfang beinhalten. Es ist wichtig, dass jemand in Ihrer Organisation oder ein externer Datenschutzberater die volle Verantwortung für die Einhaltung des Datenschutzes übernimmt. Zu den wichtigsten Eigenschaften, die für diese Rolle erforderlich sind, gehören das Wissen, die Unterstützung und die Autorität, um den Datenschutz effektiv zu verwalten.

Es ist auch ratsam, einen Kommunikationsrahmen festzulegen, sobald Sie Ihren DSB ernannt haben. Darin sollte festgelegt werden, wer wem Bericht erstattet und wo diese Rolle innerhalb der Struktur Ihres Unternehmens angesiedelt ist, um Verwirrung zu vermeiden.

4. Implementierung neuer Datenverarbeitungsmethoden

Unser Rat: Dokumentieren und implementieren Sie neue Compliance-Richtlinien und -Verfahren und schulen Sie Ihr Datenverarbeitungsteam in Übereinstimmung mit diesen neuen Maßnahmen. Überprüfen Sie alle bestehenden Verträge und Einwilligungen und aktualisieren Sie diese in Übereinstimmung mit der Datenschutz-Grundverordnung.

Dabei müssen die wichtigsten Änderungen berücksichtigt werden, darunter Informationen zum Datenschutz, erweiterte Rechte des Einzelnen, Anträge auf Zugang zu Informationen sowie die Einwilligung.

Überprüfen Sie Ihre aktuellen Datenschutzhinweise und erstellen Sie einen Plan, um alle notwendigen Änderungen rechtzeitig für die Umsetzung der DSGVO vorzunehmen.

Überprüfen Sie Ihre Verfahren, um sicherzustellen, dass sie alle neuen, erweiterten Rechte abdecken, die Einzelpersonen unter der DSGVO haben, einschließlich der Frage, wie Sie personenbezogene Daten löschen oder Daten elektronisch und in einem allgemein verwendeten Format bereitstellen würden.

Aktualisieren Sie Ihre Verfahren und planen Sie, wie Sie innerhalb der neuen einmonatigen Frist Anträge auf Zugang zu Dokumenten bearbeiten werden.

Überprüfen Sie, wie Sie die Zustimmung einholen und aufzeichnen und ob Sie Änderungen vornehmen müssen. Denken Sie daran, alle vorgenommenen Änderungen zu dokumentieren. Denken Sie auch daran, dass sich durch die DSGVO auch die Verarbeitung der personenbezogenen Daten von Kindern ändern wird. Es ist ratsam, schon jetzt darüber nachzudenken, welche Systeme Sie einrichten können, um das Alter der Personen zu überprüfen und die Zustimmung der Eltern oder Erziehungsberechtigten zur Datenverarbeitung einzuholen.

5. Erkennen und verstehen, wie man mit einer Datenschutzverletzung umgeht

Unser Rat: Verfügen Sie über klare Verfahren zur Meldung von Datenschutzverletzungen, die es Ihnen ermöglichen, die Verletzung innerhalb der neuen 72-Stunden-Frist zu erkennen und zu melden.

Erstellen Sie ein internes Register für Datenschutzverletzungen, um die Untersuchung von Verstößen zu protokollieren und zu verfolgen. Es ist auch wichtig zu beurteilen, welche Daten Sie besitzen, die im Falle eines Verstoßes gemeldet werden müssen.

Stellen Sie sicher, dass Ihre Partner und Lieferanten sich über ihre Verantwortung im Klaren sind, Sie über alle potenziellen und bestätigten Verstöße ihrerseits zu informieren.

Immer noch überwältigt? Kein Grund zur Panik! Es ist noch Zeit, Ihr GDPR-Programm in den Griff zu bekommen. Warum vereinbaren Sie nicht  um mit unseren Branchenexperten zu sprechen und die Vorteile unseres neuen Produkts zu entdecken MetaPrivacy‘ unterstützt Sie bei der Vorbereitung Ihrer Organisation auf die Einhaltung der GDPR. Wir haben auch  zwei GDPR eLearning-Kurse zur Verfügung, um unsere Mitarbeiter zu schulen und Ihre GDPR-Aufklärungskampagne zu unterstützen.