Die EU-Datenschutz-Grundverordnung gilt mit ihren 99 Artikeln als Schwergewicht und bereitet Unternehmen und öffentlichen Verwaltungen noch immer große Probleme. Deshalb sollte stets geprüft werden, ob Prozesse der Datenverarbeitung im Einklang mit der DSGVO sind, was auch in Eigenregie möglich ist.
Die EU-Datenschutz-Grundverordnung gilt seit dem 25. Mai 2018 für alle Unternehmen und Verwaltungen in Europa, unabhängig von Branche und Unternehmensgröße. Nicht zuletzt die unzähligen Inhalte und juristischen Formulierungen tragen dazu bei, dass zahlreiche Unternehmen trotz Übergangsfrist noch immer Probleme bei der Umsetzung der Verordnung haben. Dabei muss die Umsetzung nicht zwangsläufig durch aktive Unterstützung von Juristen oder externen Dienstleister erfolgen, sondern ist zum Teil auch in Eigenregie möglich. Dazu eignet sich der multidimensionale DSGVO-Selfcheck der techconsult GmbH. Dieses Prüfinstrument hilft Unternehmen und Kommunen dabei, interne Prozesse und Vorgänge mithilfe von fast 60 datengruppenspezifischen Fragen zu prüfen und aufzuzeigen, ob diese im Einklang mit den Vorgaben der Datenschutz-Grundverordnung sind. Bei rechtlich sensiblen Bereichen verweist der Selfcheck im Auswertungsbereich auf qualifizierte Partner zur DSGVO-Umsetzung. Doch bevor der Test aktiv angewendet werden kann, muss zunächst Klarheit darüber herrschen, welche Daten im Unternehmen verarbeitet werden.
Dateninventur als erster Schritt
Zu Beginn müssen Unternehmen und Verwaltungen in einer internen Dateninventur prüfen, welche personenbezogenen Daten sie im Rahmen der Geschäftstätigkeit erheben, speichern und verwenden. Oft wird fälschlicherweise davon ausgegangen, dass die DSGVO ausschließlich für Kundendaten Gültigkeit hat. Aus diesem Grund ist zunächst die Sichtung aller im Unternehmen verarbeiteten Daten hilfreich, bevor mit der DSGVO-Umsetzung begonnen werden kann. Im Rahmen des Selfchecks des DSGVO-Index erhalten Unternehmen einen Überblick über die unterschiedlichen Datengruppen und können diese direkt auf die DSGVO-konforme Verarbeitung hin prüfen. Untersucht werden dabei die Prüfzweige für Kunden- bzw. Patienten-, Lieferanten-, Partner- und Marktforschungsdaten sowie jene für Datenvermittlungen. Der Überblick über die Daten schafft ein solides Fundament für die eigentliche Umsetzung der Verordnung und hilft zudem bei der Einrichtung des sog. „Verfahrensverzeichnisses“.
Studie DSGVO-Index
Branchen und ihre speziellen DSGVO-Defizite
Die DSGVO gilt seit dem 25. Mai 2018 – Doch wie sind deutsche Unternehmen bei der Einhaltung der Verordnung aufgestellt? Der DSGVO-Index zeigt, wo bestimmte Branchen Datenpannen riskieren.
Betroffenenrechte und TOMs
Bei der DSGVO-Umsetzung in Eigenregie ist zudem eine umfassende Betrachtung konkreter Themenfelder der Verordnung notwendig. Vor allem der wichtige Bereich der Betroffenenrechte wird mithilfe des Selfchecks umfasst und auf DSGVO-Konformität geprüft. Dabei untersuchen 15 datengruppenspezifische Fragen den innerbetrieblichen Umgang mit dem Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und Datenübertragbarkeit. Diese Rechte gelten dabei nicht nur für Kunden bzw. Patienten, sondern auch für die eigenen Mitarbeiter und auch für Ansprechpartner anderer Unternehmen, wenn deren personenbezogene Daten verarbeitet werden. Darüber hinaus werden die Themenkomplexe der Auftragsverarbeiter auf Basis von acht Fragen untersucht. Wenn im Unternehmensumfeld Aufgaben an Dritte ausgelagert werden, wie z.B. externe Buchhaltung oder externe CRM-Lösung, so müssen mit diesen Unternehmen Verträge über die Verarbeitung der personenbezogenen Daten abgeschlossen werden. Dabei sind eine Reihe technischer und organisatorischer Maßnahmen (TOMs) zu beachten. Der DSGVO-Index Selfcheck prüft und analysiert in Grundzügen die rechtlichen Rahmenbedingungen der externen Zusammenarbeit mit Dritten und untersucht den Grad der Konformität.
Konkrete Handlungsempfehlungen
Mithilfe des DSGVO-Index Selfchecks können auch Laien durch praxisnahe und verständliche Fragestrukturen die wichtigsten Themenkomplexe der Datenschutz-Grundverordnung prüfen. Die Beantwortung der Fragen mündet in konkreten und praxisrelevanten Handlungsempfehlungen. Darüber hinaus wird die Auswertung angereichert mit einem Benchmark, der die Ergebnisse und Umsetzungsgrade der eigenen Branche und Größenklasse umfasst.
Der Selfcheck und die dazugehörige Studie sind abrufbar auf: