fbpx

10 wichtige Maßnahmen für eine gute DSGVO-Umsetzung

Für jedes Unternehmen kommt der Punkt, an dem es DSGVO-konform sein muss. Neue Start-ups und frischgebackene Firmengründer stehen auch jetzt, lange nach Einführung der DSGVO vor dem Problem, das andere bereits hinter sich haben. Doch wie gehst du die Sache am besten an?

Foto: Pixabay.com, copyright by Stephan1982, 1894351, CC0 1.0

Wie gehst du am besten dabei vor?

Wenn du vor der Aufgabe stehst, deine Unternehmensabläufe DSGVO-konform zu machen, dann stellt sich häufig die Frage, wo du beginnen und wo du aufhören sollst. Das Problem dabei ist, dass es keine allumfassende Checkliste gibt, die jedes winzige Detail berücksichtigt und automatisch in jedem Unternehmen gilt.

Stattdessen ist es wichtig, nach einer gründlichen Analyse deines Betriebes Maßnahmen zu finden, die genau auf dich zugeschnitten sind. Große Konzerne mit mehreren Eingängen müssen sich beispielsweise andere Gedanken über die Absicherung machen als ein Freiberufler mit kleinem Büro oder Homeoffice und nur einer Eingangstür. Und so ist es mit jedem betroffenen Bereich.

Nachfolgend haben wir 10 wichtige Maßnahmen zusammengestellt, die du bei deiner Planung berücksichtigen musst. Zu diesen Maßnahmen ließe sich sehr viel mehr sagen, als dieser Artikel hergibt, aber er gibt dir einen ersten Überblick über die wichtigsten Maßnahmen, an die du denken solltest.

Die Liste ist leider nicht abschließend. Gerne kannst du dich aber an unser Team von WBTrade-IT wenden und einen Beratungstermin mit uns vereinbaren. Dabei können wir gemeinsam ein passendes Konzept und optimale, auf dich zugeschnittene Maßnahmen festlegen.

TOM – technische und organisatorische Maßnahmen nach Art. 32 DSGVO

Dass du technische und organisatorische Maßnahmen ergreifen musst, regelt Artikel 32 DSGVO. Darin werden beispielsweise die Pseudonymisierung, Verschlüsselung, Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit der Systeme, die Wiederherstellbarkeit der Daten, die schriftliche Dokumentation und regelmäßige Überprüfungen erwähnt.

Dabei betreffen die technischen Maßnahmen in diesem Zusammenhang alle „physischen“ Maßnahmen wie beispielsweise:

  • Zutrittsregelungen (Zäune, bauliche Absicherungen, Fenster- und Türensicherungen)
  • Alarmanlagen
  • Technische Vorgaben für das Passwort und dessen Komplexität
  • Zusätzlicher Schutz durch Identifikation (biometrische Daten)
  • Pseudonymisierung und Verschlüsselung von personenbezogenen Daten
  • Schutz und Einrichtung der Benutzerkonten
  • Erstellung von automatischen Log-in-Protokollen

Daneben gibt es auch organisatorische Maßnahmen, die sich auf Verfahrensanweisungen und Handlungsanweisungen an die Mitarbeiter beziehen. Dazu gehören beispielsweise:

  • Das vier-Augen-Prinzip zur Mehrfachkontrolle
  • Vorgaben für die Anmeldung von Besuchern
  • Richtlinien, die den Umgang, Zugang und die Nutzung der IT, des Internets und mobiler Geräte regeln
  • Anweisungen zur datenschutzkonformen Entsorgung von Dokumenten
  • Verpflichtungserklärungen zur Geheimhaltung

10 wichtige Maßnahmen

Passwort-Regelung

Wichtig und auch im privaten Bereich üblich ist es, den PC mit einem Passwort zu schützen. Deine IT kann in den Programmen hinterlegen, welche Mindestanforderungen das Passwort haben soll (wie viele Zeichen oder Sonderzeichen) und in welchen Intervallen das Passwort zu ändern ist. Außerdem auch, dass bereits verwendete Passwörter nicht nochmals zulässig sind.

Zutritts-Regelung

Dazu gehören die Prüfung und Festlegung, welche Personen Zutritt zu welchen Gebäuden oder Räumen haben. Beispielsweise in den Serverraum. In kleinen Betrieben mit nur einer Eingangstür, in denen nur eine Handvoll Mitarbeiter in einem Großraumbüro sitzen und es nicht viele weitere Räume gibt, kann dies leicht vergessen werden, da sich meist jeder frei bewegt.

Zugriffs-Regelung

Hier musst du festlegen, wer auf welche Daten zugreifen darf. Nicht jeder soll sich an jedem PC einloggen können. Und auch nicht auf jedem Computer muss oder darf dieselbe Software installiert sein. Ein Produktionsmitarbeiter darf gar nicht erst eine Möglichkeit haben, Personaldaten der Kollegen einsehen zu wollen, weil er auch das zugehörige Programm nicht besitzt oder nicht aufrufen darf. Dies kann deine IT durch das Aufspielen unterschiedlicher Programme sowie bestimmter Datenfreigaben regeln.

Aufbewahrung der Daten

Deine Daten (elektronische und Papierakten) müssen nach bestimmten Vorgaben archiviert und zum täglichen Gebrauch aufbewahrt werden. Externe Personen dürfen überhaupt keinen Zugriff dazu haben, interne nur je nach Notwendigkeit und Berechtigung. Hier kommen abschließbare und feuerfeste Schränke ins Spiel sowie softwaretechnisch eine gute Firewall und ein Antivirus-Programm.

Besucher-Regelung

Es muss genau definiert werden, wer wann und wo Zutritt zu deiner Firma bekommt und wie der Ablauf ist (nur nach Anmeldung, in Begleitung, nur in bestimmten Bereichen).

Daten-Limitierung

Dafür musst du regeln, welche Daten du überhaupt zur Arbeit benötigst, unwichtige Daten werden bei Kunden und Lieferanten gar nicht erst angefragt und auch nicht archiviert. Außerdem müssen die Mitarbeiter regelmäßig kontrollieren, welche Daten vernichtet werden können. Du kannst nur effektiv arbeiten, wenn alle Daten auf dem neusten Stand sind.

Prüfung der Datenverarbeiter

Wenn du Daten zur Weiterverarbeitung an Drittanbieter weitergeben musst, dann regle für diesen Fall, wie der Ablauf der Vergabe erfolgen soll. Insbesondere gehört dazu die Prüfung, ob diese DSGVO-konform sind (also zertifiziert) und du musst außerdem mit den Auftragsverarbeitern nach Art. 28 DSGVO einen Vertrag abschließen. Die Regelungen dazu sowie die Aufbewahrung der Verträge müssen von dir ebenfalls geregelt werden.

Regelung der Video-Überwachung

Durch die Überwachung sammelst und speicherst du personenbezogene Daten. Dazu brauchst du die Einwilligung der Betroffenen. Daher musst du genau regeln, wo du die Kameras positionierst und wie und wo du die Mitarbeiter, Besucher und Kunden darüber informierst, dass sie gefilmt werden und wann die Daten wieder gelöscht werden.

Notfall-Regelungen

Bei einem Wasserschaden oder im Brandfall aber auch bei großen Stromausfällen könnten Daten in Gefahr sein. Du benötigst auf jeden Fall einen Notfall-Plan, was bei einem Data Breach zu tun ist. Dazu gehört auch ohne diese dramatischen Auslöser ein Notfallplan, der die Erreichbarkeit der wichtigen Ansprechpartner regelt. Es muss klar ersichtlich sein, wer wann und wie erreichbar ist oder Auskunft erteilt. Hinzu kommen auch die Kontaktdaten der Behörden oder Betroffenen für Auskünfte und Regelungen im IT-Bereich: wer kann die Daten wiederherstellen und wie?

Regelung zur Datenvernichtung

Für die Datenvernichtung sind ebenfalls interne Regelungen erforderlich. Diese müssen sich nach den Sicherheitsstufen der DIN 66399 richten, in denen geregelt ist, wie klein die Datenträger (besonders Papier) zu zerkleinern sind, bis sie DSGVO-konform entsorgt werden dürfen. Neben Papier in vorgeschriebenen Schnittgrößen können auch DVDs, USB-Sticks und Server-Hard-Disks selbst entsorgt werden, sobald die gesetzlichen Aufbewahrungsfristen abgelaufen sind.

Foto: Pixabay.com, copyright by ReadyElements, 3509495, CC0 1.0

Infos und Hilfe

Die Maßnahmen sind nur beispielhaft und nicht abschließend. Damit du rechtlich auf der sicheren Seite bist, helfen wir von WBTrade-IT dir gerne weiter. Gemeinsam finden wir perfekt an deine Situation angepasste Lösungen und die richtigen Maßnahmen für deine Firma.

Seit einem Jahr DSGVO-konform, aber stimmt denn noch alles?

Die Vorschriften der DSGVO mussten in allen Unternehmen ab Mai 2018 umgesetzt sein. Du hast alles rechtzeitig geregelt bekommen? Prima. Aber wie sieht es seither mit der DSGVO-Konformität aus? Vielleicht erscheint dir die Frage seltsam, aber ein einmal eingerichtetes System ist kein Selbstläufer. Was kannst du also tun, um zu prüfen, ob deine Prozesse und dein ganzes Unternehmen noch DSGVO-konform funktionieren?Noch

Noch DSGVO konform?

Die vier wichtigsten Punkte, die du beachten musst

Seit deiner ersten Einführung der DSGVO könnten sich Veränderungen ergeben haben. Zur DSGVO können Regelungen hinzukommen oder wegfallen. Dein Unternehmen ist seither gewachsen oder du hast ein neues IT-System angeschafft, weil das Bisherige veraltet ist. Oder du hast neues Personal eingestellt, das die zu Beginn der Umsetzung durchgeführten DSGVO-Schulungen nicht mitgemacht hat. Du siehst: es könnte in verschiedenen Bereichen problematisch werden. Was solltest du also tun?

Wichtig sind:

  • Eine regelmäßige Überprüfung (Checkup) und Analyse deiner Prozesse.
  • Die Einführung eines nachhaltigen Datenmanagements.
  • Eine regelmäßige Schulung aller Mitarbeiter.
  • Die Durchführung eines Audits nach Artikel 42 DSGVO.

Checkup und Analyse deiner Prozesse

Nachdem du deine Prozesse der DSGVO angepasst hast, sollten sie eigentlich laufen. Meist tun sie das nicht reibungslos, da erst während der Praxis auffällt, welche Punkte noch optimiert werden können. Denn in der Theorie sehen Prozesse im Entwurf zunächst gut aus. Sobald die Mitarbeiter diese dann im Arbeitsalltag umsetzen, merken sie, welche Punkte noch nicht zufriedenstellend gelöst sind.

Häufig fallen diese Dinge auf, wenn ein Sonderfall zu bearbeiten ist, der selten vorkommt und der nun nicht ganz unkompliziert abzuwickeln ist. Dieses Feedback ist hilfreich und erlaubt es dir, an diesen Stellen nachzubessern.

Abgesehen von den Rückmeldungen der Mitarbeiter ist aber auch dein Datenschutzbeauftragter dafür da, diese Prozesse ständig unter die Lupe zu nehmen und von sich aus Änderungen und Verbesserungen einzubringen. Denn nach Artikel 39 DSGVO ist er zuständig für die „Überwachung der Einhaltung dieser Verordnung“.

Es ist also hilfreich, wenn du aktiv daran arbeitest, deine Geschäftsprozesse zu analysieren und dadurch dafür zu sorgen, dass du schnell reagieren kannst, bevor eine Datenpanne entstehen kann.

Einführung eines nachhaltigen Datenmanagements

Die Analyse und der Check sind gute Möglichkeiten für dich, aber sie sollen nicht intervallweise erfolgen, wenn du zufällig Zeit dafür findest. Daher ist es besser und außerdem auch von der DSGVO so angedacht, dass du ein nachhaltiges Datenmanagementsystem einführst.

Für die DSGVO bedeutet das beispielsweise neben der notwendigen Bestellung eines Datenschutzbeauftragten, dass deine Maßnahmen immer nach Artikel 32 DSGVO organisatorisch und technisch auf dem neusten Stand sind.

Und dass du deine Nachweispflicht erfüllst, indem du nach Artikel 30 DSGVO ein Verzeichnis aller Verarbeitungstätigkeiten führst. Außerdem musst du nach Artikel 35 DSGVO eine Datenschutz-Folgenabschätzung vornimmst, in der du die Risiken und Folgen von vorgesehenen Verarbeitungsmaßnahmen genau prüfst.

Wichtig ist auch, dass du dein Vertragsmanagement entsprechend regelst. Wenn du Dienstleistern die Daten deiner Kunden oder deiner Mitarbeiter verarbeiten lässt, dann achte darauf, dass du nach Artikel 28 DSGVO einen Vertrag mit diesem Auftragsverarbeiter abschließt. In dem Vertrag muss sichergestellt sein, dass er die geeigneten technischen und organisatorischen Maßnahmen ergreift, um die Rechte der betroffenen Personen bei der Datenverarbeitung zu gewährleisten.

Regelmäßige Schulung aller Mitarbeiter

Alle Mitarbeiter, die mit der Verarbeitung personenbezogener Daten zu tun haben, müssen laufend entsprechend geschult werden. Da du in deinem Unternehmen allerdings darauf achten musst, dass an keinem Arbeitsplatz der Datenschutz verletzt wird, ist es wichtig, alle Mitarbeiter gleichermaßen dafür zu sensibilisieren.

Das hilft dir auch, wenn du kurzfristig Mitarbeiter umsetzen musst. Dann kannst du es dir nicht erlauben, dass die Vertretung noch nie etwas von diesem Thema gehört hat. Übrigens ist die laufende Fortbildung und Schulung von Mitarbeitern ohnehin unerlässlich für dein Unternehmen, nicht nur im Rahmen der DSGVO.

Die Schulungen werden meist vom Datenschutzbeauftragten organisiert, auch wenn er diese nicht selbst erteilen muss. Dafür gibt es Spezialisten, die vor Ort diese Schulungen durchführen. Aber du kannst auch Onlineschulungen oder Angebote der örtlichen Industrie- und Handelskammer nutzen.

Die Teilnahme an diesen Schulungen musst du anschließend im Rahmen der Nachweis- und Rechenschaftspflicht (Art. 5 DSGVO) dokumentieren.

Durchführung eines Audits nach Artikel 42 DSGVO

Um deinen Kunden und Lieferanten gegenüber nachzuweisen, dass bei dir die Daten in guten Händen sind, weil du verantwortungsvoll mit ihnen umgehst und die Vorschriften der DSGVO einhältst, ist es gut, wenn du eine Zertifizierung vorweisen kannst. Diese wird nach den Vorschriften des Artikel 42 DSGVO von einer akkreditierten Zertifizierungsstelle (Art. 43 DSGVO) durchgeführt.

Die Zertifizierung muss freiwillig und über ein transparentes Verfahren zugänglich sein und entbindet dich dabei nicht von der Verantwortung für die Einhaltung der DSGVO. Für diese Audits musst du den Zertifizierungsstellen alle notwendigen Informationen zur Verfügung stellen. Das Zertifikat gilt dann für 3 Jahre und kann verlängert werden, wenn du die Vorschriften auch weiterhin erfüllst.  (Weitere Infos zur Zertifizierung findest du in unserem Artikel „Pflichterfüllung durch Beachtung der Verhaltensregeln und Zertifizierung“.)

Diese Audits sind grundsätzlich nicht neu, denn sie wurden schon unter dem Namen „Datenschutzaudit“ durchgeführt, um die Konformität des Unternehmens mit dem Bundesdatenschutzgesetz zu überprüfen und nachzuweisen. Das Verfahren läuft auch heute ähnlich ab: Im Rahmen eines Fragenkatalogs werden die Abläufe in deinem Unternehmen auf Herz und Nieren geprüft.

Beispielsweise wie deine Organisation strukturiert ist und wie dein Datenschutzkonzept aussieht. Aber auch die Zutrittskontrolle für Unbefugte oder die Zugangs- und Zugriffskontrolle auf PCs wird unter die Lupe genommen. Und natürlich wird geprüft, ob du verpflichtet bist, einen Datenschutzbeauftragten im Unternehmen zu haben und ob dieser tatsächlich vorhanden ist.

Wie kannst du den Überblick behalten?

Die Umsetzung der DSGVO in den Unternehmen war ein großer Kraftaufwand für Chefs und Mitarbeiter. Die regelmäßige Überprüfung und Kontrolle stellt alle vor neue Herausforderungen. Schließlich will man nicht versehentlich ein hohes Bußgeld riskieren, weil etwas nicht beachtet wurde – bis es zu spät ist.

Datenschutz-Audio um den Überblick zu behalten

Dafür bietet es sich an, professionelle Hilfe in Anspruch zu nehmen. Denn wir mit unserem Expertenteam stellen uns jeder Herausforderung. Unsere freundlichen und kompetenten Mitarbeiter sind jederzeit erreichbar und helfen dir bei der Analyse deiner Prozesse, notwendigen Anpassungen und den erforderlichen Schulungen deiner Mitarbeiter. Gerne beraten wir dich über unser komplettes Dienstleistungspaket.

DPO- il partner giusto

Wie findest du den richtigen Datenschutzbeauftragten?

Die DSGVO enthält eine Reihe neuer Forderungen, die die Unternehmen seit dem offiziellen Inkrafttreten im Mai 2018 eingeführt haben müssen. Aber eine einmalige Umsetzung alleine reicht nicht – denn die Vorschriften müssen laufend angepasst und sowohl in technischer als auch in organisatorischer Hinsicht auf dem aktuellen Stand sein.

DPO- il partner giusto
DSB – DPO wie findest du den Richtigen?

Ob das alles funktioniert und korrekt überwacht wird, hängt nicht nur von dir als Geschäftsführer oder Firmeninhaber ab, sondern auch von deinem Datenschutzbeauftragten. Denn einen solchen musst du „bestellen“, wenn nach Artikel 37 DSGVO die Hauptaufgabe in deinem Unternehmen darin besteht, dass umfangreiche Daten, vor allem personenbezogene Daten verarbeitet werden, die nach Artikel 9 DSGVO zu schützen sind.

Wo suche ich einen externen Datenschutzbeauftragten?

Dafür hast du grundsätzlich zwei Möglichkeiten. Du musst dich zunächst entscheiden, ob du einen internen Mitarbeiter für diese Position einsetzt oder einen externen Datenschutzbeauftragten suchen möchtest.

Was musst du dabei beachten?

Intern wirst du meist keine Mitarbeiter parat haben, die mit der erforderlichen Qualifikation ausgestattet sind. Du müsstest sie also zunächst auf Schulungen schicken. Diese kosten nicht nur Geld, sondern auch Zeit und die frisch gebackenen Datenschutzbeauftragten haben zwar dann das notwendige Hintergrundwissen, aber leider noch wenig Erfahrung. Diese kann sich natürlich erst im Laufe der Zeit entwickeln.

Ein externer Dienstleister ist für kleine oder mittelgroße Unternehmen hervorragend geeignet und spart auch Kosten. Diese Dienstleister bringen bereits jahrelange Erfahrung mit. Dafür gibt es eine fast unüberschaubare Anzahl von Dienstleistungsunternehmen und auch Rechtsanwälten, die sich als externer Datenschutzbeauftragter anbieten. Bei der großen Auswahl ist es schwierig, sich für den Richtigen zu entscheiden.

Optionen zur Suche eines passenden Datenschutzbeauftragten

Zunächst stehen dir zwei „offizielle“ Möglichkeiten zur Verfügung. Du kannst nämlich beispielsweise über den TÜV Süd einen Datenschutzexperten anfragen. Der TÜV ist bekannt und daher vertrauenseinflößend.

Außerdem kannst du dich beim Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e. V. umschauen. Dort kannst du dir sogar eine Liste der Mitglieder downloaden, um einen davon zu kontaktieren.

Gut ist auch, dich bei Freunden und Bekannten umzuhören, die dir von positiven und negativen Erfahrungen mit bestimmten Firmen berichten können. Letztlich ist es aber wichtig, dass du jemanden auswählst, der dir persönlich sympathisch ist und mit dem du dir eine gute und vertrauensvolle Zusammenarbeit auf lange Sicht aufbauen kannst.

Welche Qualifikationen muss er haben?

Die erforderlichen Qualifikationen sind in Artikel 37 (5) DSGVO erwähnt: „Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.“

Der zugehörige Erwägungsgrund 97 ergänzt das Fachwissen dahingehend, dass es spezielle Kenntnisse der Datenverarbeitungsvorgänge und den Schutz der verarbeiteten personenbezogenen Daten verlangt. Außerdem soll der Datenschutzbeauftragte seine Arbeit „in vollständiger Unabhängigkeit“ ausführen können.

Welche Aufgabenbereiche muss er abdecken?

Die Aufgaben, die der Datenschutzbeauftragte im Rahmen seiner Arbeit abdecken muss, sind in Artikel 39 DSGVO genau beschrieben. Dazu gehören beispielsweise:

  • Die Unterrichtung und Beratung des Verantwortlichen oder der Beschäftigten.
  • Die Überwachung der Einhaltung der DSGVO.
  • Die Beratung bei der Durchführung der Datenschutz-Folgenabschätzung.
  • Die Zusammenarbeit mit der Aufsichtsbehörde.
  • Die Tätigkeit als Anlaufstelle für die Aufsichtsbehörde.

Dadurch ist seine Tätigkeit recht umfangreich und bereichsübergreifend. Es ist ein Vorteil, wenn er sich sowohl juristisch als auch organisatorisch und programmiertechnisch (im IT-Bereich) auskennt.

Übrigens: da der Datenschutzbeauftragte auch nur ein Mensch ist, dem ein Fehler unterlaufen könnte, wäre es gut, wenn du prüfst, ob er eine Vermögensschaden-Haftpflichtversicherung besitzt. Diese würde dir nämlich im Fall der Fälle deinen Schaden ersetzen.

Wie wähle ich den richtigen Datenschutzbeauftragten?

Jetzt musst du nicht nur einen qualifizierten externen Datenschutzbeauftragten auswählen, sondern auch noch zwei weitere Kriterien entscheiden: aus welchem Berufsstand soll er kommen? Soll er Anwalt oder IT-Spezialist sein und ist ein günstiger immer schlechter als ein teurer Experte?

Wer eignet sich besser: Ein Anwalt oder ein IT-Spezialist?

Da es zwar zertifizierte Kurse gibt, aber keine vorgeschriebene Ausbildung als Datenschutzbeauftragter, kannst du bei der Auswahl auf einen Anwalt zurückgreifen, der den juristischen Teil perfekt beherrschen wird.

Du kannst dich aber auch für einen IT-Spezialisten entscheiden, der sich mit der Soft- und Hardware bestens auskennt. Dafür geht es aber eher organisatorisch zur Sache als programmiertechnisch, weswegen nicht einmal die kompletten tiefergehenden Kenntnisse des IT-Spezialisten ausgenützt werden können.

Aber Achtung: Dein üblicher IT-Dienstleister, der kommt, wenn mal dein Drucker nicht mehr funktioniert oder Daten verschwunden sind, kann nicht gleichzeitig Datenschutzbeauftragter werden, da ihm die notwendige Objektivität und Neutralität fehlt. Denn natürlich wird er die von ihm eingesetzten Programme und Abläufe bevorzugen und dabei möglicherweise praktischere Lösungen übersehen.

Der Anwalt wäre sogar noch die bessere Wahl, da es gerade bei der Zusammenarbeit mit der Aufsichtsbehörde sehr juristisch zugeht und das rechtliche Wissen eines darauf spezialisierten Anwalts mit langer Erfahrung nicht durch einen Fortbildungskurs erlernt werden kann. Dahin gegen wird sich der Anwalt nicht tiergehend genug mit den IT Belangen und organisatorischen Maßnahmen auskennen.

Am Besten also ein Dienstleister, der alle fachlichen Richtungen abdeckt und dir ein Team aus Anwälten und IT Spezialisten an die Seite stellt. So kann dir in jeder Situation die richtige Antwort und Lösungen gegeben werden.

Lieber einen günstigen oder einen teuren DSB ? (§37-39)

Diese Frage ist auch beliebt, aber wo ist deine persönliche Grenze von günstig und teuer? Es gibt gute günstige und schlechte teure, daher sollte für dich das Gesamtpaket stimmig sein. Bedenke, dass die Ausbildung und die Kostante Fortbildung eines guten Datenschutzbeauftragten nicht billig ist. Wenn du in einer Zelle sitzen würdest, wäre dir auch der beste und vielleicht teuerste Verteidiger der Liebste. An der falschen Stelle zu sparen, kann am Ende sehr viel teurer werden.

Du solltest auf jeden Fall darauf achten: Was wird dir für dein Geld angeboten? Ist der Dienstleister stets erreichbar? Berät er ausführlich und verständlich und bietet er neben dem Telefon- und E-Mail-Support einen guten persönlichen Service? Ist er qualifiziert und durch langjähriges Arbeiten tief in der Materie drin?

Die Qual der Wahl – dürfen wir dich überzeugen?

Wenn du dir nicht sicher bist, welcher externe Dienstleister für dich infrage kommt, dann lass dich doch einfach von uns beraten. Wir können dir nämlich in jedem Fall helfen, egal, wie deine Entscheidung ausfällt. In unserem Expertenteam haben wir nämlich sowohl Mitglieder mit rechtlichem als auch technischem Profiwissen, sodass du in jedem Fall bei der Zusammenarbeit von beidem profitierst!

Cyber Security
Cyber Security and Digital Data Protection Concept.

Außerdem können wir dir nicht nur einen externen Datenschutzbeauftragten zur Verfügung stellen, sondern auch deine Mitarbeiter schulen, wenn du auf vorhandenes Personal zurückgreifen möchtest.

Eine vertrauensvolle und langfristige Zusammenarbeit, ständige Erreichbarkeit und guter Service sind für uns selbstverständlich. Unser breit gefächertes, freundliches Expertenteam bietet dir verschiedene Leistungen rund um die DSGVO sowie verschiedene Schulungen aus einer Hand. Gerne erläutern wir dir im persönlichen Gespräch unsere Leistungen und Möglichkeiten!

GDPR - cloud service security

Wann ist ein Cloud-Dienst DSGVO-konform?

Cloud service e GDPR

Große Unternehmen arbeiten sinnvollerweise mit ERP-Systemen und speichern ihre Daten in der Cloud. Das effektive, schnelle und kostensparende Arbeiten könnte aber zu Lasten der Sicherheit gehen. Denn die Server, auf denen die Daten in der Cloud gespeichert werden, stehen oft im Ausland und unterliegen nicht den strengen deutschen Datenschutzbedingungen. Das ist aber nur einer der wichtigen Punkte, die du bei der Arbeit mit der Cloud hinsichtlich des Datenschutzes achten musst.

Welche Voraussetzungen müssen gegeben sein, damit die Cloud sicher ist und sind die Cloud-Dienste überhaupt DSGVO-konform?

Vor- und Nachteile der Cloud

Bevor wir schauen, wann die Cloud-Dienste DSGVO-konform sind, sollten wir zunächst einmal schauen, was einen solchen Dienst ausmacht. Wenn so viele Leute gerne mit der Cloud arbeiten, muss sie auch sehr viele Vorteile haben, oder? Welche sind das und gibt es auch Nachteile und Risiken?

Die Vor- und Nachteile der Cloud unterscheiden sich leicht bei privaten Nutzern und großen Firmen. Da er hier um deine Firma geht, beschränken wir uns darauf.  Ganz klar kannst du durch die Clouddienste enorm viel Geld einsparen und zwar im Bereich der Dienstleistungen, Personal und Hardware. Du bezahlst für die Cloud-Dienste monatlich einen überschaubaren Betrag und hast zudem keine internen Kosten für Wartung oder Server und eigenes Personal, da dies vom Dienstleister erledigt wird. Und deine Software ist stets auf dem neusten Stand.

Nachteilig ist, dass du völlig vom Anbieter abhängig bist, der dich im Falle einer Insolvenz mit in den Abgrund reißen würde. Auch was den Service angeht, musst du hoffen, dass du stets jemanden erreichen kannst, der dir weiterhilft. Ein weiterer Problempunkt könnte die Internetanbindung sein. Wenn du schlechte Leitungen hast, wird die Verbindung unzuverlässig und ohne Daten kannst du nicht arbeiten. Auch ist unklar, ob du zuvor noch aufwendig deine vorhandenen IT-Systeme der Software des Anbieters anpassen musst. Das größte Risiko ist jedoch der Datenschutz, wenn der Server im Ausland steht und nicht an die DSGVO gebunden ist.

Hilfreich: auch der Cloud-Dienst muss DSGVO-konform arbeiten

Nicht nur du, sondern auch der deutsche oder europäische Cloud-Anbieter ist an die DSGVO gebunden. Das ist für dich ein Vorteil, da er von sich aus bereits technisch und organisatorisch dafür sorgt, dass alle seine Prozesse und somit auch das Endprodukt DSGVO-konform sind. Wenn du einen solchen Cloud-Dienst in Anspruch nimmst, dann bist du auf der sicheren Seite.

Worauf achten die Cloud-Dienste?

Genau wie du müssen die Cloud-Dienste vor allem auf Artikel 5 DSGVO achten, in dem geregelt ist, dass die Betroffenen der Verarbeitung personenbezogener Daten zuvor zugestimmt haben müssen. Außerdem muss die Verarbeitung so transparent sein, dass sie für die Betroffenen nachvollziehbar ist.

Dazu kommt, dass die Cloud-Dienste nach Artikel 32 DSGVO stets auf dem neusten Stand der Technik sind. Sie müssen ihre Programme und Prozesse laufend optimieren, verbessern und anpassen, um die höchstmögliche Sicherheit zu gewährleisten.

Damit die Nutzer auch gut mit dem Programm klarkommen können, muss der Anbieter auf „Privacy by Design“ und „Privacy by Default“ achten. Diese sind in Artikel 25 DSGVO vorgeschrieben und bedeuten, dass die Einstellungen des Programmes nicht nur datenschutzfreundlich, sondern auch nutzerfreundlich sein müssen. (Ausführliche Infos zu diesem Thema findest du übrigens in unserem Artikel „DSGVO – einmal umgesetzt, alles erledigt?“)

Wer ist verantwortlich für die Verarbeitung der Daten in der Cloud?

Du darfst nicht den Fehler machen, zu denken, dass der Cloud-Dienst schon alles geregelt haben wird und du ihm im Zweifelsfall die Schuld für eine Datenpanne geben darfst. Das ist leider nicht der Fall. Denn wenn es um die Verantwortung geht, dann bist du genauso wie der Cloud-Anbieter in der Pflicht, dass die DSGVO eingehalten wird.

Aus Artikel 5, Artikel 28, Artikel 30 und Artikel 35 der DSGVO ergeben sich Rechenschaftspflichten, nach denen du als Cloud-Nutzer dafür verantwortlich bist, dass alle hier geregelten Anforderungen eingehalten werden! Und das musst du sogar schon im Vorfeld nachweisen können. Dazu gehört es beispielsweise auch, dass du die Verarbeitung deiner Daten in der Cloud in das Verzeichnis deiner Verarbeitungstätigkeiten aufnimmst. Im Zweifelsfall musst du diese Cloud-Verarbeitung dann auch mittels einer Risikoanalyse (der Datenschutz-Folgenabschätzung) prüfen und geeignete Maßnahmen ergreifen, um das Risiko zu minimieren.

Wenn du einen Cloud-Dienst nutzen möchtest, dann geschieht das nicht nur auf Zuruf, sondern du musst als Nutzer der Dienstleistung dem Cloud-Anbieter einen offiziellen Auftrag dazu erteilen, deine Daten (und damit die deiner Kunden und Lieferanten) zu verarbeiten (Artikel 28 DSGVO). Über die Vereinbarung zur Auftragsverarbeitung kannst du dich absichern, dass der Cloud-Anbieter ebenfalls alle DSGVO-Anforderungen erfüllt. Und im Rahmen dessen muss er dir auch alle notwendigen Informationen zur Verfügung stellen, mit denen er nachweisen kann, dass er alle Regelungen einhält.

Wichtig für dich: nur mit zertifizierten Cloud-Anbietern arbeiten!

Wenn du dich auf die Suche nach einem geeigneten Partner begibst, dann achte darauf, dass du nur mit einem zertifizierten Cloud-Dienst zusammenarbeitest. Du kannst zwar viele Vereinbarungen abschließen, aber wirklich sicher kannst du dir trotzdem nicht sein, ob das Unternehmen sich danach richtet. Da ist es hilfreich, wenn du dir ein Zertifikat zeigen lässt, das beweist, dass der Cloud-Dienst ein „genehmigtes Zertifizierungsverfahren nach Artikel 42“ bestanden hat. (Mehr über das Verfahren erfährst du in unserem Artikel „Pflichterfüllung durch Beachtung der Verhaltensregeln und Zertifizierung“)

Welche Alternativen zur Cloud gibt es?

Trotz des Risikos ist eine Cloud wirklich eine praktische und gute Lösung. Es gibt sogar einen lobenswerten Datenaustauschdienst (iDGARD von Uniscon), der die DSGVO-Anforderungen erfüllt.

Cloud security

Falls du dennoch keinen Cloud-Dienst in Anspruch nehmen möchtest (mit einem deutschen bist du auf der sicheren Seite), dann bleiben dir als Alternative nur USB-Sticks, externe Festplatten oder eine Private Cloud über ein firmeninternes Intranet.

Worauf du im Einzelfall zurückgreifen solltest, hängt von deinem Unternehmen und deinen Prozessen ab. Die gewählte Lösung muss sich für dich anbieten und stimmig sein, ohne die Abläufe zu verkomplizieren oder den Datenschutz zu gefährden. Denn USB-Sticks und externe Festplatten sind eher kurzfristige Speichermedien, auf denen die Daten nicht unbegrenzt sicher sind.

Da der Datenschutz und die Arbeit mit der Cloud eng mit deinen Prozessen verknüpft ist, hilft dir unser Expertenteam von WB Trade-IT gerne weiter, deine Prozesse und den Datenschutz mit der DSGVO abzustimmen.