Seit einem Jahr DSGVO-konform, aber stimmt denn noch alles?

Die Vorschriften der DSGVO mussten in allen Unternehmen ab Mai 2018 umgesetzt sein. Du hast alles rechtzeitig geregelt bekommen? Prima. Aber wie sieht es seither mit der DSGVO-Konformität aus? Vielleicht erscheint dir die Frage seltsam, aber ein einmal eingerichtetes System ist kein Selbstläufer. Was kannst du also tun, um zu prüfen, ob deine Prozesse und dein ganzes Unternehmen noch DSGVO-konform funktionieren?Noch

Noch DSGVO konform?

Die vier wichtigsten Punkte, die du beachten musst

Seit deiner ersten Einführung der DSGVO könnten sich Veränderungen ergeben haben. Zur DSGVO können Regelungen hinzukommen oder wegfallen. Dein Unternehmen ist seither gewachsen oder du hast ein neues IT-System angeschafft, weil das Bisherige veraltet ist. Oder du hast neues Personal eingestellt, das die zu Beginn der Umsetzung durchgeführten DSGVO-Schulungen nicht mitgemacht hat. Du siehst: es könnte in verschiedenen Bereichen problematisch werden. Was solltest du also tun?

Wichtig sind:

  • Eine regelmäßige Überprüfung (Checkup) und Analyse deiner Prozesse.
  • Die Einführung eines nachhaltigen Datenmanagements.
  • Eine regelmäßige Schulung aller Mitarbeiter.
  • Die Durchführung eines Audits nach Artikel 42 DSGVO.

Checkup und Analyse deiner Prozesse

Nachdem du deine Prozesse der DSGVO angepasst hast, sollten sie eigentlich laufen. Meist tun sie das nicht reibungslos, da erst während der Praxis auffällt, welche Punkte noch optimiert werden können. Denn in der Theorie sehen Prozesse im Entwurf zunächst gut aus. Sobald die Mitarbeiter diese dann im Arbeitsalltag umsetzen, merken sie, welche Punkte noch nicht zufriedenstellend gelöst sind.

Häufig fallen diese Dinge auf, wenn ein Sonderfall zu bearbeiten ist, der selten vorkommt und der nun nicht ganz unkompliziert abzuwickeln ist. Dieses Feedback ist hilfreich und erlaubt es dir, an diesen Stellen nachzubessern.

Abgesehen von den Rückmeldungen der Mitarbeiter ist aber auch dein Datenschutzbeauftragter dafür da, diese Prozesse ständig unter die Lupe zu nehmen und von sich aus Änderungen und Verbesserungen einzubringen. Denn nach Artikel 39 DSGVO ist er zuständig für die „Überwachung der Einhaltung dieser Verordnung“.

Es ist also hilfreich, wenn du aktiv daran arbeitest, deine Geschäftsprozesse zu analysieren und dadurch dafür zu sorgen, dass du schnell reagieren kannst, bevor eine Datenpanne entstehen kann.

Einführung eines nachhaltigen Datenmanagements

Die Analyse und der Check sind gute Möglichkeiten für dich, aber sie sollen nicht intervallweise erfolgen, wenn du zufällig Zeit dafür findest. Daher ist es besser und außerdem auch von der DSGVO so angedacht, dass du ein nachhaltiges Datenmanagementsystem einführst.

Für die DSGVO bedeutet das beispielsweise neben der notwendigen Bestellung eines Datenschutzbeauftragten, dass deine Maßnahmen immer nach Artikel 32 DSGVO organisatorisch und technisch auf dem neusten Stand sind.

Und dass du deine Nachweispflicht erfüllst, indem du nach Artikel 30 DSGVO ein Verzeichnis aller Verarbeitungstätigkeiten führst. Außerdem musst du nach Artikel 35 DSGVO eine Datenschutz-Folgenabschätzung vornimmst, in der du die Risiken und Folgen von vorgesehenen Verarbeitungsmaßnahmen genau prüfst.

Wichtig ist auch, dass du dein Vertragsmanagement entsprechend regelst. Wenn du Dienstleistern die Daten deiner Kunden oder deiner Mitarbeiter verarbeiten lässt, dann achte darauf, dass du nach Artikel 28 DSGVO einen Vertrag mit diesem Auftragsverarbeiter abschließt. In dem Vertrag muss sichergestellt sein, dass er die geeigneten technischen und organisatorischen Maßnahmen ergreift, um die Rechte der betroffenen Personen bei der Datenverarbeitung zu gewährleisten.

Regelmäßige Schulung aller Mitarbeiter

Alle Mitarbeiter, die mit der Verarbeitung personenbezogener Daten zu tun haben, müssen laufend entsprechend geschult werden. Da du in deinem Unternehmen allerdings darauf achten musst, dass an keinem Arbeitsplatz der Datenschutz verletzt wird, ist es wichtig, alle Mitarbeiter gleichermaßen dafür zu sensibilisieren.

Das hilft dir auch, wenn du kurzfristig Mitarbeiter umsetzen musst. Dann kannst du es dir nicht erlauben, dass die Vertretung noch nie etwas von diesem Thema gehört hat. Übrigens ist die laufende Fortbildung und Schulung von Mitarbeitern ohnehin unerlässlich für dein Unternehmen, nicht nur im Rahmen der DSGVO.

Die Schulungen werden meist vom Datenschutzbeauftragten organisiert, auch wenn er diese nicht selbst erteilen muss. Dafür gibt es Spezialisten, die vor Ort diese Schulungen durchführen. Aber du kannst auch Onlineschulungen oder Angebote der örtlichen Industrie- und Handelskammer nutzen.

Die Teilnahme an diesen Schulungen musst du anschließend im Rahmen der Nachweis- und Rechenschaftspflicht (Art. 5 DSGVO) dokumentieren.

Durchführung eines Audits nach Artikel 42 DSGVO

Um deinen Kunden und Lieferanten gegenüber nachzuweisen, dass bei dir die Daten in guten Händen sind, weil du verantwortungsvoll mit ihnen umgehst und die Vorschriften der DSGVO einhältst, ist es gut, wenn du eine Zertifizierung vorweisen kannst. Diese wird nach den Vorschriften des Artikel 42 DSGVO von einer akkreditierten Zertifizierungsstelle (Art. 43 DSGVO) durchgeführt.

Die Zertifizierung muss freiwillig und über ein transparentes Verfahren zugänglich sein und entbindet dich dabei nicht von der Verantwortung für die Einhaltung der DSGVO. Für diese Audits musst du den Zertifizierungsstellen alle notwendigen Informationen zur Verfügung stellen. Das Zertifikat gilt dann für 3 Jahre und kann verlängert werden, wenn du die Vorschriften auch weiterhin erfüllst.  (Weitere Infos zur Zertifizierung findest du in unserem Artikel „Pflichterfüllung durch Beachtung der Verhaltensregeln und Zertifizierung“.)

Diese Audits sind grundsätzlich nicht neu, denn sie wurden schon unter dem Namen „Datenschutzaudit“ durchgeführt, um die Konformität des Unternehmens mit dem Bundesdatenschutzgesetz zu überprüfen und nachzuweisen. Das Verfahren läuft auch heute ähnlich ab: Im Rahmen eines Fragenkatalogs werden die Abläufe in deinem Unternehmen auf Herz und Nieren geprüft.

Beispielsweise wie deine Organisation strukturiert ist und wie dein Datenschutzkonzept aussieht. Aber auch die Zutrittskontrolle für Unbefugte oder die Zugangs- und Zugriffskontrolle auf PCs wird unter die Lupe genommen. Und natürlich wird geprüft, ob du verpflichtet bist, einen Datenschutzbeauftragten im Unternehmen zu haben und ob dieser tatsächlich vorhanden ist.

Wie kannst du den Überblick behalten?

Die Umsetzung der DSGVO in den Unternehmen war ein großer Kraftaufwand für Chefs und Mitarbeiter. Die regelmäßige Überprüfung und Kontrolle stellt alle vor neue Herausforderungen. Schließlich will man nicht versehentlich ein hohes Bußgeld riskieren, weil etwas nicht beachtet wurde – bis es zu spät ist.

Datenschutz-Audio um den Überblick zu behalten

Dafür bietet es sich an, professionelle Hilfe in Anspruch zu nehmen. Denn wir mit unserem Expertenteam stellen uns jeder Herausforderung. Unsere freundlichen und kompetenten Mitarbeiter sind jederzeit erreichbar und helfen dir bei der Analyse deiner Prozesse, notwendigen Anpassungen und den erforderlichen Schulungen deiner Mitarbeiter. Gerne beraten wir dich über unser komplettes Dienstleistungspaket.