10 wichtige Maßnahmen für eine gute DSGVO-Umsetzung

Für jedes Unternehmen kommt der Punkt, an dem es DSGVO-konform sein muss. Neue Start-ups und frischgebackene Firmengründer stehen auch jetzt, lange nach Einführung der DSGVO vor dem Problem, das andere bereits hinter sich haben. Doch wie gehst du die Sache am besten an?

Foto: Pixabay.com, copyright by Stephan1982, 1894351, CC0 1.0

Wie gehst du am besten dabei vor?

Wenn du vor der Aufgabe stehst, deine Unternehmensabläufe DSGVO-konform zu machen, dann stellt sich häufig die Frage, wo du beginnen und wo du aufhören sollst. Das Problem dabei ist, dass es keine allumfassende Checkliste gibt, die jedes winzige Detail berücksichtigt und automatisch in jedem Unternehmen gilt.

Stattdessen ist es wichtig, nach einer gründlichen Analyse deines Betriebes Maßnahmen zu finden, die genau auf dich zugeschnitten sind. Große Konzerne mit mehreren Eingängen müssen sich beispielsweise andere Gedanken über die Absicherung machen als ein Freiberufler mit kleinem Büro oder Homeoffice und nur einer Eingangstür. Und so ist es mit jedem betroffenen Bereich.

Nachfolgend haben wir 10 wichtige Maßnahmen zusammengestellt, die du bei deiner Planung berücksichtigen musst. Zu diesen Maßnahmen ließe sich sehr viel mehr sagen, als dieser Artikel hergibt, aber er gibt dir einen ersten Überblick über die wichtigsten Maßnahmen, an die du denken solltest.

Die Liste ist leider nicht abschließend. Gerne kannst du dich aber an unser Team von WBTrade-IT wenden und einen Beratungstermin mit uns vereinbaren. Dabei können wir gemeinsam ein passendes Konzept und optimale, auf dich zugeschnittene Maßnahmen festlegen.

TOM – technische und organisatorische Maßnahmen nach Art. 32 DSGVO

Dass du technische und organisatorische Maßnahmen ergreifen musst, regelt Artikel 32 DSGVO. Darin werden beispielsweise die Pseudonymisierung, Verschlüsselung, Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit der Systeme, die Wiederherstellbarkeit der Daten, die schriftliche Dokumentation und regelmäßige Überprüfungen erwähnt.

Dabei betreffen die technischen Maßnahmen in diesem Zusammenhang alle „physischen“ Maßnahmen wie beispielsweise:

  • Zutrittsregelungen (Zäune, bauliche Absicherungen, Fenster- und Türensicherungen)
  • Alarmanlagen
  • Technische Vorgaben für das Passwort und dessen Komplexität
  • Zusätzlicher Schutz durch Identifikation (biometrische Daten)
  • Pseudonymisierung und Verschlüsselung von personenbezogenen Daten
  • Schutz und Einrichtung der Benutzerkonten
  • Erstellung von automatischen Log-in-Protokollen

Daneben gibt es auch organisatorische Maßnahmen, die sich auf Verfahrensanweisungen und Handlungsanweisungen an die Mitarbeiter beziehen. Dazu gehören beispielsweise:

  • Das vier-Augen-Prinzip zur Mehrfachkontrolle
  • Vorgaben für die Anmeldung von Besuchern
  • Richtlinien, die den Umgang, Zugang und die Nutzung der IT, des Internets und mobiler Geräte regeln
  • Anweisungen zur datenschutzkonformen Entsorgung von Dokumenten
  • Verpflichtungserklärungen zur Geheimhaltung

10 wichtige Maßnahmen

Passwort-Regelung

Wichtig und auch im privaten Bereich üblich ist es, den PC mit einem Passwort zu schützen. Deine IT kann in den Programmen hinterlegen, welche Mindestanforderungen das Passwort haben soll (wie viele Zeichen oder Sonderzeichen) und in welchen Intervallen das Passwort zu ändern ist. Außerdem auch, dass bereits verwendete Passwörter nicht nochmals zulässig sind.

Zutritts-Regelung

Dazu gehören die Prüfung und Festlegung, welche Personen Zutritt zu welchen Gebäuden oder Räumen haben. Beispielsweise in den Serverraum. In kleinen Betrieben mit nur einer Eingangstür, in denen nur eine Handvoll Mitarbeiter in einem Großraumbüro sitzen und es nicht viele weitere Räume gibt, kann dies leicht vergessen werden, da sich meist jeder frei bewegt.

Zugriffs-Regelung

Hier musst du festlegen, wer auf welche Daten zugreifen darf. Nicht jeder soll sich an jedem PC einloggen können. Und auch nicht auf jedem Computer muss oder darf dieselbe Software installiert sein. Ein Produktionsmitarbeiter darf gar nicht erst eine Möglichkeit haben, Personaldaten der Kollegen einsehen zu wollen, weil er auch das zugehörige Programm nicht besitzt oder nicht aufrufen darf. Dies kann deine IT durch das Aufspielen unterschiedlicher Programme sowie bestimmter Datenfreigaben regeln.

Aufbewahrung der Daten

Deine Daten (elektronische und Papierakten) müssen nach bestimmten Vorgaben archiviert und zum täglichen Gebrauch aufbewahrt werden. Externe Personen dürfen überhaupt keinen Zugriff dazu haben, interne nur je nach Notwendigkeit und Berechtigung. Hier kommen abschließbare und feuerfeste Schränke ins Spiel sowie softwaretechnisch eine gute Firewall und ein Antivirus-Programm.

Besucher-Regelung

Es muss genau definiert werden, wer wann und wo Zutritt zu deiner Firma bekommt und wie der Ablauf ist (nur nach Anmeldung, in Begleitung, nur in bestimmten Bereichen).

Daten-Limitierung

Dafür musst du regeln, welche Daten du überhaupt zur Arbeit benötigst, unwichtige Daten werden bei Kunden und Lieferanten gar nicht erst angefragt und auch nicht archiviert. Außerdem müssen die Mitarbeiter regelmäßig kontrollieren, welche Daten vernichtet werden können. Du kannst nur effektiv arbeiten, wenn alle Daten auf dem neusten Stand sind.

Prüfung der Datenverarbeiter

Wenn du Daten zur Weiterverarbeitung an Drittanbieter weitergeben musst, dann regle für diesen Fall, wie der Ablauf der Vergabe erfolgen soll. Insbesondere gehört dazu die Prüfung, ob diese DSGVO-konform sind (also zertifiziert) und du musst außerdem mit den Auftragsverarbeitern nach Art. 28 DSGVO einen Vertrag abschließen. Die Regelungen dazu sowie die Aufbewahrung der Verträge müssen von dir ebenfalls geregelt werden.

Regelung der Video-Überwachung

Durch die Überwachung sammelst und speicherst du personenbezogene Daten. Dazu brauchst du die Einwilligung der Betroffenen. Daher musst du genau regeln, wo du die Kameras positionierst und wie und wo du die Mitarbeiter, Besucher und Kunden darüber informierst, dass sie gefilmt werden und wann die Daten wieder gelöscht werden.

Notfall-Regelungen

Bei einem Wasserschaden oder im Brandfall aber auch bei großen Stromausfällen könnten Daten in Gefahr sein. Du benötigst auf jeden Fall einen Notfall-Plan, was bei einem Data Breach zu tun ist. Dazu gehört auch ohne diese dramatischen Auslöser ein Notfallplan, der die Erreichbarkeit der wichtigen Ansprechpartner regelt. Es muss klar ersichtlich sein, wer wann und wie erreichbar ist oder Auskunft erteilt. Hinzu kommen auch die Kontaktdaten der Behörden oder Betroffenen für Auskünfte und Regelungen im IT-Bereich: wer kann die Daten wiederherstellen und wie?

Regelung zur Datenvernichtung

Für die Datenvernichtung sind ebenfalls interne Regelungen erforderlich. Diese müssen sich nach den Sicherheitsstufen der DIN 66399 richten, in denen geregelt ist, wie klein die Datenträger (besonders Papier) zu zerkleinern sind, bis sie DSGVO-konform entsorgt werden dürfen. Neben Papier in vorgeschriebenen Schnittgrößen können auch DVDs, USB-Sticks und Server-Hard-Disks selbst entsorgt werden, sobald die gesetzlichen Aufbewahrungsfristen abgelaufen sind.

Foto: Pixabay.com, copyright by ReadyElements, 3509495, CC0 1.0

Infos und Hilfe

Die Maßnahmen sind nur beispielhaft und nicht abschließend. Damit du rechtlich auf der sicheren Seite bist, helfen wir von WBTrade-IT dir gerne weiter. Gemeinsam finden wir perfekt an deine Situation angepasste Lösungen und die richtigen Maßnahmen für deine Firma.