DSGVO-DATENSCHUTZPROGRAMM. WO SOLL MAN ANFANGEN?

Erster Schritt

Ein Projekt zur Einhaltung der DSGVO von Grund auf zu beginnen, ist eine entmutigende Aufgabe. Als Projektleiter müssen Sie viele Dinge tun, sie im Auge behalten, organisieren – und alles gleichzeitig tun. Und das Änderungsmanagement ist äußerst anspruchsvoll: An einem Tag bilden Sie die Prozesse ab, und am nächsten Tag beschließt Ihr Marketingteam, eine neue Veranstaltung zu starten und schafft neue Datenverarbeitungsaktivitäten, die beworben und verwaltet werden müssen!

Mit ein wenig Hilfe und der Bereitschaft, schnell zu arbeiten, ist es jedoch machbar. Aber die wichtigste Frage bleibt: Wo soll man anfangen?

Wir würden ein internes Audit vorschlagen. Beginnen Sie mit einer einfachen Kundenreise. Betrachten Sie dann jeden Datenverarbeitungspunkt und fragen Sie sich: Gibt diese Abteilung Daten an andere weiter? Welche Daten und wofür? Wer könnte die Daten noch von ihnen erhalten?

Nutzen Sie für den Anfang unseren Leitfaden.

Leitfaden

Ihr „-tech“-Geschäftsmodell umfasst in der Regel die folgenden Datenverarbeitungspunkte:

Webseite: Cookies, Registrierungsformulare (Log-in), Newsletter-Formulare, Chat-Widgets, usw;
Anwendung: SDKs, Datenbanken, in denen die Informationen von der Webseite und der Anwendung gespeichert werden, APIs, usw.;
Physische Kontaktpunkte: Videoüberwachung, Gesichtskontrolle, Papierformulare, Telefongespräche, tragbare Ausweise usw.;
Beschäftigung: Angebot, Sozialversicherung, Versicherung, disziplinarische Untersuchungen, Zugangskontrolle;
Informationssicherheit: Zugang zu Kundenprofilen, Verwendung personenbezogener Kundendaten außerhalb des Büros (z. B. im Rahmen von Pet-Projekten), usw;
Marketing: soziale Medien, Mailinglisten, Cookies und Analysen, physisches Marketing (Versand von Geschenken, Gutscheinen und Coupons), Testimonials, die auf den Websites platziert werden, usw;
Vertrieb: Kaltakquise und Anrufe, Kauf von Kontaktdatenbanken, Daten potenzieller und aktueller Kunden, usw;
Softwareentwicklung: Datenbankeinstellungen (sanftes oder hartes Löschen), Einstellungen für die Behandlung von Datenanfragen, Datenschutz durch Design und Standardeinstellungen, eingebettete PETs usw;
Recht und Finanzen: KYC-Verfahren, AML-Verfahren, Umgang mit Verträgen und Rechnungen, Verwendung von Daten für Rechtsstreitigkeiten und Verwaltungsverfahren usw.;
Arbeitsplatz: Werkzeuge für die Produktion von Waren und die Erbringung von Dienstleistungen, Cloud-Speicher, Messaging-Apps, technische Unterstützungskarten, KI-Tools, Dienstleistungsanbieter usw.
Die meisten Unternehmen werden diese Berührungspunkte mit personenbezogenen Daten haben.

Versuchen Sie, alle gefundenen Informationen zu dokumentieren: Man weiß nie, wo die Daten letztendlich gespeichert werden. Sie werden überrascht sein, wie viele Speicherorte Sie finden werden!

Interessenvertreter und Verantwortliche

Sie können sich mit der Frage an die oberste Leitung wenden, um die Genehmigung zu erhalten, und dann direkt zu den Vorgesetzten gehen und von unten nach oben und von innen nach außen arbeiten.

Stellen Sie sich vor, dass Ihr Unternehmen ein Analyselabor ist. Normalerweise sind es die niedrigsten Positionen, die am meisten über den Prozess der Datenerfassung wissen.

1. Wir beginnen mit dem Termin des Besuchs. Wer erhält die Informationen vom Hausarzt? Wie wird damit gearbeitet und wie werden sie verarbeitet?
2. Dann kommt der Patient ins Labor. Wer ist für die Entgegennahme des Anmeldeformulars vom Patienten zuständig? Wie geht es mit dem Formular weiter?
3. Wird das Formular aufbewahrt oder vernichtet? Wann und wie? In welchem System werden die Informationen des Formulars gespeichert? Wer hat Zugang zu diesem System?
4. Der Labormitarbeiter arbeitet mit dem Patienten zusammen. Wo gibt der Labormitarbeiter die persönlichen Daten ein? Kennen sie den Namen und andere personenbezogene Daten? Verwenden sie irgendeine Art von Pseudonymisierung?

Kann er das ausgedruckte Patientenprofil mit nach Hause nehmen? Können sie eine Kopie des Profils an ihre persönliche E-Mail senden? Werden Informationen über den Zugriff auf das Profil protokolliert?

Der Patient erhält das Ergebnis der Analyse. Wo wird das Ergebnis gespeichert? Wie kann der Patient auf sichere Weise darauf zugreifen? Wie sieht das Identifizierungsverfahren aus, und auf welche persönlichen Daten stützt es sich?

Dies sind nur eine Handvoll Schritte und Fragen, die gestellt werden. Sobald Sie diesen „externen“ Teil der Verarbeitung (aus der Sicht des Kunden) sehen, sollten Sie tiefer gehen: Wie verarbeiten Ihre Kollegen die Daten? Verwenden sie persönliche Messaging-Apps für die Arbeit? Löschen sie die E-Mails mit Kundendaten oft genug?

Beauftragen Sie die Manager (und Manager von Managern) schließlich damit, die einzelnen Stufen des Datenflusses in Ihrem Unternehmen aufzuschichten und zu erfahren, wo sie stehen. Seien Sie so neugierig wie möglich, und Sie werden die seltensten und exotischsten Datenverarbeitungsverfahren finden, die ein Eingreifen und eine Überprüfung der Einhaltung der Vorschriften dringend erforderlich machen können. Es ist besser, das Risiko zu erkennen und es zu mindern, lange bevor es als Datenschutzverletzung angesehen werden kann.

Überwachung und Überprüfung

Sobald Sie alle Prozesse dokumentiert und die übermäßige Datenerfassung abgeschafft haben, müssen Sie einen Zeitplan für die Überprüfung und die Zuweisung von Verantwortlichkeiten erstellen. Verfolgen Sie die Verabschiedung, Änderung und Aufhebung von Datenschutzgesetzen und die Herausgabe neuer staatlicher Richtlinien.

Sobald die Zertifizierungsprogramme zur Verfügung stehen, sollten Sie darüber nachdenken, sich zertifizieren zu lassen. Wenn Ihr Überprüfungssystem reibungslos funktioniert, können Sie sich schneller und mit weniger Aufwand zertifizieren lassen.

Sie können daran denken, einen Datenschutzbeauftragten zu benennen. Wählen Sie dann einen Beauftragten, der über die notwendigen Fähigkeiten und Erfahrungen verfügt, um das Datenschutzprogramm, die Dokumente, die auf der Website veröffentlichten und den Kunden ausgehändigten Mitteilungen, neue Ansätze und bewährte Verfahren sowie die Anfragen der betroffenen Personen zu überwachen.

Und vergessen Sie nicht die Risikobewertungen:, Datenschutz-Folgenabschätzung, Transfer-Folgenabschätzung und Bewertung des berechtigten Interesses, um nur einige zu nennen. Wenn alle Risiken dokumentiert und die Strategien zur Risikominderung fertiggestellt sind, können Sie an der Feinabstimmung der Prozesse arbeiten. Aber Vorsicht: Ihr Unternehmen verändert sich täglich, und Sie müssen in der Lage sein, ein mögliches Datenschutzrisiko zu erkennen und proaktiv darauf zu reagieren.