DSGVO Checkliste

Sind Sie DSGVO-ready?

  • 1. February 2018

Sind Sie für die DSGVO bereit? Beantworten Sie diese 10 Fragen um es herauszufinden.

Die allgemeine Datenschutzverordnung (DSGVO) wird bis zum 25. Mai 2018 ratifiziert und wird die Verwendung personenbezogener Daten von EU-Bürgern in der EU und im Ausland massiv einschränken. Die DSGVO ist eine extraterritoriale Verordnung und gilt somit innerhalb und ausserhalb der EU für personenbezogene Daten von EU-Bürgern. Die DSGVO behandelt nicht alle Daten, sondern nur die persönlichen Daten einer Person. Die DSGVO stellt persönliche Daten klar und umfasst IP, E-Mail-Adressen sowie Name, Geschlecht, politisches Verständnis und Religion. Obwohl die DSGVO Unternehmen merklich einschränkt, erhöht sie die Rechte jedes Bürgers auf personenbezogene Daten, i.e. auf die eigenen Daten. Die Datenschutzgrundverordnung enthält die Grundsätze der Privatsphäre und des Datenschutzes, aber auch das Recht zu vergessen. So müssen personenbezogene Daten geschützt, für eine verständliche Nutzung gesammelt und nach der Nutzung gelöscht werden.

1. Wissen Sie, wie und warum personenbezogene Daten verwendet werden?

Personenbezogene Daten im Rahmen der Datenschutz-Grundverordnung müssen einem Produkt, einer Dienstleistung oder einem Geschäftsprozess zugewiesen werden, und die Verwendung muss der Person, zu der die Daten gehören, deutlich gemacht werden. Ein einfaches “Bitte lesen Sie unserer Datenschutzbestimmungen” wird nicht mehr ausreichen. Darüber hinaus erklärt die Datenschutz-Grundverordnung, dass Datenschutzrichtlinien in einer klaren und prägnanten Weise formuliert werden müssen, die für eine durchschnittliche Person verständlich ist.

2. Haben Sie Ihre Datenquellen bewertet?

Datenquellen sind entscheidend dafür, ob die DSGVO anwendbar ist oder nicht. Auch in der Schweiz stützt sich die DSGVO auf Datenquellen, die von EU-Bürgern stammen müssen, damit die Verordnung anwendbar ist. Eine Bewertung dieser Daten könnte daher sinnvoll sein, um zu verstehen, wie und in welchem ​​Umfang die DSGVO für Ihr Unternehmen gilt.

3. Haben Sie Ihre Datennutzung bewertet?

Datenhandhabung und -nutzung sind der Schlüssel für eine gute Einhaltung der Datenschutzbestimmungen. Geschäftsprozesse, die mit personenbezogenen Daten zu tun haben, sind auf dem Radar der DSGVO und sollten nach dem “Wie” und “Warum” der Datenerhebung und -verarbeitung beurteilt werden. Darüber hinaus könnte es ratsam sein, die Handhabung und Verwendung von Daten im Rahmen eines Risikomanagements zu bewerten, um mögliche Risiken zu verstehen und sie zu mitigieren oder zu kontrollieren.

4. Verbieten Ihre Prozesse die gemeinsame Nutzung personenbezogener Daten?

Haben Sie Geschäftsprozesse, die sich mit personenbezogenen Daten von EU-Bürgern befassen, und teilen Sie Daten zwischen Standorten? Dies könnte ein sehr wichtiger Schwerpunkt bei der Bewertung von Lücken zu DSGVO-konformen Prozessen sein. Die gemeinsame Nutzung von Daten birgt ein erhöhtes Risiko für Datenverlust. Darüber hinaus können Schnittstellen dazu neigen, die Daten unvollständig weiter zu geben oder keine geeigneten Befehle und Anleitungen im Falle von Änderungen der Daten zu erhalten.

5. Gibt es einen Prozess, wie personenbezogene Daten zu behandeln sind?

Die DSGVO verlangt einen Prozess, der in Ihrem Unternehmen beschreibt, wie personenbezogene Daten behandelt werden und für welchen Zweck oder welche Verwendung dies erhoben werden. Ein solcher Prozess sollte die Produkte, Dienstleistungen und Geschäftsprozesse des Unternehmens widerspiegeln, um alle erfassten Daten zu kennen.

6. Verwenden alle Ihre Prozesse, Produkte und Dienstleistungen nur das Minimum an persönlichen Daten?

Datenschutz wird standardmässig unter der DSGVO so verstanden, dass beim Kauf eines Produkts oder einer Dienstleistung nur die unbedingt notwendigen personenbezogenen Daten angefordert werden. Innerhalb von Geschäftsprozessen sollten nur diese persönlichen Daten angefordert werden, die für den Prozess notwendig sind. Daher sollte zum Beispiel für eine Newsletter-Anmeldung nur eine E-Mail-Adresse benötigt werden, nicht jedoch der Name oder sogar die Adresse der Person.

7. Sind Ihre Prozesse so ausgelegt, dass persönliche Daten möglichst weggelassen werden können?

Privacy by Design wird im Rahmen der DSGVO so verstanden, dass Produkte, Dienstleistungen und Geschäftsprozesse so gestaltet sind, dass nur wenige oder gar keine personenbezogenen Daten benötigt werden, um das Produkt, die Dienstleistung oder den Geschäftsprozess erfolgreich zu nutzen. Ist Ihr Produkt oder Ihre Dienstleistung noch funktionsfähig und erfüllt sie den beabsichtigten Zweck, wenn personenbezogene Daten durch anonymisierte Daten ersetzt werden?

8. Ihr Unternehmen wendet kein Profiling an, richtig?

Profiling, der Begriff, der unter der DSGVO als “eine Zusammenstellung von Daten, die eine Bewertung der wichtigsten Aspekte der Persönlichkeit einer Person ermöglicht” definiert ist, wird manchmal verwendet, um Menschen für bestimmte Interessen zu gruppieren. Ein solches Profil könnte für spezifische Werbung, massgeschneiderte Dienste oder massgeschneiderte Newsletter verwendet werden.

9. Sie erlauben das Löschen von Daten, richtig?

Der in Ihrem Unternehmen implementierte Prozess erlaubt und fordert, dass personenbezogene Daten, die nicht mehr für den ursprünglich vorgesehenen Verwendungszweck eines Produktes, einer Dienstleistung oder eines Geschäftsprozesses verwendet werden, gelöscht werden. Die DSGVO ruft zum “Recht auf Vergessen” auf und fordert, dass personenbezogene Daten gelöscht werden müssen, wenn eine Person ein Produkt, eine Dienstleistung oder einen Prozess ausser Acht lässt oder einen Newsletter-Dienst abbestellt. Dasselbe gilt für Mitarbeiter, die personenbezogene Daten an die Personalabteilung übermittelt haben, aber das Unternehmen verlassen haben.

10. Datenschutz ist ein wichtiger Aspekt Ihrer Geschäftsprozesse, richtig?

Datenschutz und die sichere Speicherung personenbezogener Daten ist ein zentraler Punkt in allen Geschäftsprozessen und sollte nach Möglichkeit angewendet werden. Nun könnte es lokale, widersprüchliche Regelungen geben, die verlangen, dass personenbezogene Daten für einen bestimmten Zeitraum gespeichert oder archiviert werden, obwohl ein Mitarbeiter gekündigt hat, ein Kunde den Vertrag gekündigt hat oder ähnliches. Die Einbettung der DSGVO in einem bestehenden Qualitätsmanagementsystem und in Geschäftsprozessen erfordert strategisches Denken.

Die meisten Fragen mit Nein beantwortet?

Falls Sie die meisten Fragen mit NEIN beantwortet haben, sollten Sie schnell handeln und sofortige Hilfe zur Prüfung Ihrer Produkte, Dienstleistungen und Geschäftsprozesse anfordern, um einen DSGVO-konformen Prozess zu implementieren und die Datenschutzbestimmungen vor dem 25. Mai 2018 einzuhalten.

Nur eine oder zwei Fragen mit Nein beantwortet?

Sie möchten vielleicht immer noch nach einem Experten fragen, der Sie bei der Umsetzung aller geforderten Aspekte der DSGVO unterstützt. Auch wenn Sie sich nicht mehr durch schlaflose Nächte quälen weil Sie über die DSGVO nachdenken, gibt es vor dem Fälligkeitstermin immer noch Lücken zu schliessen.