Die DSGVO ist ab dem 25.05.2018 wirksam.

Vieles was wir in letzter Zeit zu diesem Thema gelesen haben ist Unsinn, teilweise falsch, sehr häufig aus dem Zusammenhang gerissen, oder total unverständlich dargestellt. Manches war richtig.

Diese Zusammenfassung,  soll dem interessierten Geschäftsführer, oder kaufmännischen Leiter, zunächst aufzeigen:

Die Geschäftsleitung gibt die Verantwortung zur Umsetzung, beider Themen meist in die entsprechende Fachabteilung ab. Hier fällt ein geordneter Umgang, bedingt durch zu wenig Zeit - in Kombination mit zu geringem Budget - schnell vom Tisch. Andere Projekte haben Priorität, Personal fehlt, und in der Not hinzugezogene externen Beratern oder Systemhäusern fehlen oft die Kenntnisse.

Da es hier aber sowohl um die Existenz der Unternehmung, als auch um die persönliche Haftung der Geschäftsführung geht, müssen diese Themen Sache der Geschäftsleitung bleiben!

Es geht um den Schutz personenbezogener Daten.

Das ist jetzt im Grunde genommen nichts Neues, denn bereits heute sind Unternehmen durch diverse Gesetze und Verordnungen dem Datenschutz verpflichtet.

Die bisherigen Regelungen waren veraltet und in der EU sehr heterogen. So gab es in der EU Länder mit einem durchaus laxen Umgang in punkto Datenschutz. Einige  Länder sind da viel weiter, vor allen Dingen Deutschland; siehe Bundes Datenschutzgesetzt (BDSG), Telemediengesetzes (TMG).

Die Erhebung, Speicherung, Verarbeitung oder Weiterleitung personenbezogener Daten, werden jetzt europaweit einheitlich für alle Unternehmen und Behörden verbindlich geregelt.

Ziele:

 Betroffene sollen mehr Kontrolle über ihre personenbezogenen Daten erhalten

 ein wirksamer Schutz soll erreicht werden

 eine Verschärfung der Auflagen für die Verarbeitung personenbezogener Daten

 Standards für Meldepflichten bei Vorfällen sind zu schaffen

 einheitliche Regelung innerhalb der EU ist einzuführen

Am 25.5.2016 ist die EU DSGVO bereits in Kraft getreten! Es wurde eine Übergangsfrist von zwei Jahren eingeräumt. Durch das Ende dieser Übergangsfrist ist die DSGVO ab dem 25.5.2018 wirksam, ab dann kommt es also zur Anwendung.

Bei der DSGVO handelte es sich um eine Verordnung. Das bedeutet, dass diese sofort als geltendes Recht aller EU Mitgliedsstaaten gültig ist; sie ersetzt nationales Datenschutzrecht, juristisch spricht man von einer „Vollharmonisierung“.

Die DSGVO beinhaltet nationale Öffnungsklauseln, diese erlauben eine nationale Differenzierung (sofern diese den EU DSGVO nicht entgegenstehen).

Nationale, hier deutsche, Gesetze wie das UWG (Gesetz gegen den unlauteren Wettbewerb), dass TKG (Telemediengesetzes) bleiben voraussichtlich unangetastet. Dazu später mehr.

Sanktionen / Bußgelder 

Die in den vergangenen Jahren angedrohten Bußgelder waren offensichtlich nicht geeignet, um die Unternehmen zu einer wirksamen Umsetzung in Sachen Datensicherheit und Datenschutz zu bewegen.

Auf die Unternehmen kommen ab 25.5.2018 erweiterte Dokumentations- und Nachweispflichten zu, bereits deren Nichtbeachtung führen zu drastischen Bußgeldern.

Die EU DSGVO sieht Bußgelder von bis zu 20 Millionen €, oder 4 % des Jahresumsatzes vor, je nachdem welcher Betrag größer ist. 

Hinzu kommt, dass jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter hat (Art.82 DSGVO).

In Zukunft wird es also richtig teuer für die Unternehmen, daher ist es allerhöchste Zeit (wenn nicht schon erfolgt) sich mit diesem Thema auseinanderzusetzen!

Anders formuliert: Wo ist die DSGVO überall gültig.

Der Geltungsbereich wird nach dem Marktortprinzip festgelegt (Art 3 / Art. 27 EU DSGVO).

Zusammenfassend kann man sagen, dass diese Verordnung für alle Unternehmen gilt, die auf dem EU Markt, Produkte oder Dienstleistungen anbieten (auch kostenlos). Ausländische Unternehmen, die auf dem EU Markt aktiv sind, müssen einen EU Vertreter schriftlich bestellen.

Achtung: Werden personenbezogene Daten von einem in der EU arbeitenden Unternehmen in einem Nicht EU Land verarbeitet, so unterliegt das Unternehmen dennoch dieser Verordnung. Dieser Hinweis ist besonders wichtig, da die Datenschutzbestimmungen in Ländern wie den USA, Lateinamerika oder exotischen Inselstaaten ggf. sehr rudimentär behandelt werden.

Die Verordnung gilt für alle Unternehmen in der EU.

Gegebenenfalls ist zu prüfen, ob ein Unternehmen einen Datenschutzbeauftragten (DSB) bestellen muss, dazu gilt: 

Ein DSB ist zu bestellen, wenn…

Zum Datenschutzbeauftragten kann ein interner Mitarbeiter benannt werden, sofern er dafür die Voraussetzungen erfüllt. Bitte informieren Sie sich darüber gesondert. Ersatzweise kann auch ein externer Dienstleister beauftragt werden.

Ab dem 25.03.2018 kommt die EU DSGVO in Deutschland für jedes Unternehmen, gleich welcher Form und Größe, zur Anwendung. Bis dahin geltende nationale Regelungen, Rechte und Pflichten werden gegebenenfalls angepasst. Jedes Unternehmen ist in der Pflicht, sich aktiv mit den Themen Sicherheit und Schutz von personenbezogenen Daten auseinanderzusetzen und die geforderten Massnahmen im Unternehmen bis dahin umzusetzen.

Erfüllen Unternehmen diese Anforderungen nicht, drohen empfindliche Bußgelder bis zu vier Prozent des weltweit erzielten Jahresumsatzes oder bis zu 20 Millionen Euro.

Grundsätzlich regelt die DSGVO , dass eine Verarbeitung personenbezogener Daten immer rechtmäßig und zweckgebunden ist. 

Die Daten müssen richtig bzw. aktuell sein. Falls nicht, sind sie unverzüglich zu berichtigen oder zu löschen. Sie unterliegen der Datenminimierung, das bedeutet, dass die gespeicherten Daten auf das notwendige Maß zu beschränken sind.

Zu beachten ist auch die Speicherbegrenzung. Daraus folgt, dass Daten nur so lange aufzubewahren sind, wie es der Zweck erforderlich macht.

Die Integrität und Vertraulichkeit ist sicherzustellen. Jedes Unternehmen hat einen ausreichenden Schutz, nach dem aktuellen Stand der Technik, zu implementieren. Es ist Vorsorge vor Schäden und unbefugtem Zugriff zu treffen.

Das Unternehmen unterlegt einer Rechenschaftspflicht. Es muss durch die Verantwortlichen nachgewiesen werden, dass alle erforderlichen Maßnahmen umgesetzt und eingehalten werden (DS Management System).

Achtung: Hier wird es zukünftig zu einer Beweislastumkehr kommen, genau das ist ein sehr wichtiger Punkt im Bereich der DSGVO: 

War früher (nach altem BDSG) die Beweislast beim Geschädigten, etwa „du Unternehmen, bist mit meinen Daten nicht sorgfältig umgegangen, es kam zu einem Verlust, woraus mir ein Schaden entstanden ist“; war der Geschädigte in der Situation Nachweise beizubringen, vor allen Dingen einen Schaden nachzuweisen.

Heute hingegen hat das Unternehmen nachzuweisen, dass der Datenschutz ordentlich umgesetzt wird. Dabei ist es egal, wo die Daten letztendlich verarbeitet werden. Hat das Unternehmen einen sogenannten Auftragsdatenverarbeiter beauftragt, so hat das beauftragende Unternehmen die Pflicht zu prüfen, ob auch dort die Richtlinien gemäß DSGVO ordentlich umgesetzt werden.

Hier kommen jetzt auf die Unternehmen in erster Linie Organisations- und Dokumentationspflichten zu. 

Vorsorglich: Es ist für ein Unternehmen absolut unmöglich mit diesen Pflichten erst dann zu beginnen, wenn sich die Aufsichtsbehörde, mit einem Vorlauf von wenigen Tagen bis maximal zwei Wochen, für eine Überprüfung angemeldet hat.

Gem. Art 6 der DSGVO gilt für Unternehmen zu beachten, dass eine Speicherung und Verarbeitung personenbezogener Daten grundsätzlich verboten ist.

Betroffene können gegen die Speicherung und Verarbeitung widersprechen. Dazu sind konkrete Gründe zu nennen, keine diffusen Ängste etwa in der Art „ich möchte nicht, dass von mir Daten gespeichert werden“. Auch hier kommen auf die Unternehmen zukünftig die Überprüfung oder sogar die Änderung interner Prozesse zu. Die DSGVO stärkt die Rechte der Betroffenen und verpflichtet die Unternehmen mit - wie zuvor bereits ausgeführten, drastischen Sanktionen - entsprechende Prozesse zu implementieren: Wohin wendet sich der Betroffene? Sind die Mitarbeiter informiert? Wo werden überall Daten gespeichert oder verarbeitet? Kann man diese Daten an Betroffene herausgeben oder diese löschen? usw. usw.

Meldet sich ein Betroffener bei einem Unternehmen, so hat dieses innerhalb von vier Wochen schriftlich zu reagieren. 

Zunächst ist festzuhalten, dass die Einwilligung im Rahmen der DSGVO über das vorherige Niveau des BDSG hinausgeht! Daraus folgt, dass bereits gegebene Einwilligungen, eventuell unwirksam sind. Daher gehe ich an dieser Stelle etwas ausführlicher auf das Thema ein.

Eine Einwilligung ist dann wirksam, also gültig, wenn diese:

o Ist die Einwilligung dokumentiert? Wo?

o Wurde der Betroffene über sein Widerspruchsrecht informiert?

o Wurde über den Zweck der Datenverarbeitung informiert?

o wer ist der Verantwortliche?

 

Tipp: Double opt-in-Verfahren anwenden

Bei diesem Verfahren meldet sich der Betroffene, zum Beispiel beim Unternehmen über eine Webseite, und hakt selbstständig ein Kästchen an „ja, ich möchte Informationen, Angebote etc… erhalten“. Daraufhin sendet das Unternehmen dem Betroffenen ein Formular und klärt über die Widerspruchsmöglichkeiten auf. In dem Formular befindet sich ein Link, erst nach Klicken auf den Link bestätigt der Betroffene, dass er von seinem Widerspruch keinen Gebrauch macht, und die gewünschten Informationen auch tatsächlich erhalten möchte. Für das Unternehmen ist es jetzt noch wichtig, diese Bestätigungen nachweisbar zu speichern.

Tipp: eingesammelte Visitenkarten

wurde einem Mitarbeiter einer Unternehmung bei einem persönlichen Besuch, oder auf einer Messe eine Visitenkarte übergeben, so ist zunächst davon auszugehen, dass der Interessent mit der Speicherung und Verarbeitung seiner Daten, sowie einer Kontaktaufnahme einverstanden ist. Der Jurist spricht hier von konkludentem Verhalten. Damit das Unternehmen, gegebenenfalls in ferner Zukunft, nachweisen kann, dieser Einwilligung auch erhalten zu haben, empfehle ich eine kurze Bestätigungsmail an den Interessenten, in Kombination mit einer Notiz im Verfahrensverzeichnis.

Ersatzweise ein Feld im CRM im System, oder die Archivierung der Bestätigungsmail.

Tipp: bestehende Einwilligungen

Im Rahmen des „berechtigten Interesses“, wird ein Unternehmen seinen Kunden in der Vergangenheit, Informationen oder Angebote zugesendet haben. Bitte beachten Sie, auch den §7 UWG (Gesetz gegen den unerlaubten Wettbewerb).

https://www.gesetze-im-internet.de/uwg_2004/__7.html

Gegebenenfalls hat dazu der Kunde auch schon einmal zugestimmt. Auch ein Widerspruch ist bisher nicht eingegangen. Daher werden die meisten Unternehmen jetzt davon ausgehen, eine Einwilligung für die Speicherung der Daten und die Zusendung der Informationen erhalten zu haben. 

An dieser Stelle ist vor allem problematisch, dass genau daß das Unternehmen im Zweifel nicht nachweisen kann. Auch könnte fraglich sein, ob die damals gegebene Einwilligung unter heutigen Gesichtspunkten noch rechtmäßig ist.

Hierzu wird empfohlen, diesen Bestandskunden eine Information (zBsp. per Mail) zuzusenden, in der er über das Widerspruchsrecht aufgeklärt wird und über einen Bestätigungslink, die weitere Verarbeitung und Versendung von Informationen fortgesetzt (erlaubt) wird.

Diese Bestätigungsmail lässt sich dann einfach archivieren, womit ein Nachweis gelingen würde.

Auch wenn eine Einwilligung des Betroffenen vorliegt oder wirksam gegeben wurde (also rechtmäßig ist), kann ein Unternehmen jetzt mit den Daten nicht „machen was es will“!

Hierzu verweise ich ausdrücklich auf den Art. 5 DSGVO, nachdem die Datenschutzgrundsätze zu prüfen und einzuhalten sind. Hier ist geregelt, dass die Verarbeitung nach Treu und Glauben zweckgebunden zu erfolgen hat.

Darüber hinaus auf das notwendige Maß zu beschränken sind, Stichwort „Datenminimierung“.

Die Daten müssen sachlich richtig sein, falls nicht, sind sie unverzüglich zu berichtigen oder zu löschen, Stichwort“ Richtigkeit“.

Tipp: an dieser Stelle wird ein Unternehmen unmöglich ohne ein Verfahrensverzeichnis zurechtkommen. In dieses Verfahrensverzeichnis lassen sich dann auch Fristen zur Prüfung hineinschreiben. 

Fehlende oder falsche Verzeichnisse können bereits zu einem Bußgeld führen!

Dem Schutz von personenbezogenen Daten kommt im Rahmen der DSGVO (siehe Art 32 ff.) zukünftig eine besondere Bedeutung zu. 

Hier wird dem Unternehmen auferlegt, unter Berücksichtigung des Standes der Technik… geeignete technische und organisatorische Maßnahmen zu ergreifen, um Angriffe auf Daten / die Infrastruktur zu erkennen und zu verhindern.

Dieses ist ganz klar eine Management Aufgabe. 

Die Geschäftsleitung steht in der Verantwortung geeignete Maßnahmen auf den Weg zu bringen und deren Umsetzung (dauerhaft) zu überprüfen. Die Mitarbeiter der Unternehmung sind einzubinden.

In der DSGVO wird nicht explizit darauf eingegangen, welche technischen oder organisatorischen Maßnahmen jetzt genau umzusetzen sind. Dieses ist sicher auch nicht möglich, denn die Entwicklung schreitet hier ständig voran.

Im Artikel 32 DSGVO heist` es:

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung, sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen, treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten…

Unternehmen tun gut daran, sich an bewährten Verfahren wie der ISO 27001, oder den Empfehlungen des BSI (IT-Grundschutz) zu orientieren, und in einem Verfahrensverzeichnis oder einem Sicherheitskonzept zu dokumentieren.

Kommt es - trotz aller implementierten Vorsichtsmaßnahmen – dennoch zu einem Vorfall, so ist die Aufsichtsbehörde binnen 72 Stunden darüber zu informieren! Diese, extrem kurze Frist, macht im Vorfeld einen strukturierten Prozess im Unternehmen unabdingbar.

Tipp: sollte ein Unternehmen heute nicht über ein fortlaufend geführtes Sicherheitskonzept inklusive Verfahrensverzeichnis und Notfallplan verfügen, so sollte dringend sofort mit der Umsetzung begonnen werden. Es ist davon auszugehen, dass die IT-Abteilung, oder der IT Verantwortliche ein solches Konzept jetzt nicht mehr in der Kürze der Zeit“ nebenbei“ erstellen kann.

Am Markt gibt es diverse IT Systemhäuser, die sich auf dieses Thema spezialisiert haben, es wird jedoch eine Herausforderung sein, ein geeignetes Systemhaus zu finden. Gerne helfen wir da weiter.

Wie bereits zuvor ausgeführt, stärkt die neue EU DSGVO die Rechte betroffener Personen. Siehe hier Kapitel 3, besonders Art. 15ff.

Das Unternehmen hat eine Auskunftspflicht über Art und Umfang der gespeicherten personenbezogenen Daten. Darüber hinaus werden der betroffenen Person weitere Rechte zugebilligt:

Neu ist, dass der Betroffene einen Anspruch darauf hat das ein Unternehmen innerhalb eines Monats tätig wird. Sollte es einem Unternehmen nicht möglich sein, innerhalb eines Monats tätig zu werden, so ist dennoch innerhalb dieser Frist schriftlich zu antworten und der Grund anzugeben.

An dieser Stelle kommen jetzt auf die Unternehmen gegebenenfalls neue, auf jeden Fall jedoch umfangreiche, Herausforderungen zu: 

Es ist zu prüfen, ob gegebenenfalls die aktuellen aGB zu überarbeiten sind.

Auch Nutzungsbedingungen, Webseiten oder sonstige Texte die der Geschäftsanbahnung dienlich sind, sollten gegebenenfalls von einem Rechtsanwalt überprüft werden, ob sie den Forderungen der EU DSGVO standhalten.

Beachten Sie, dass bei der Weitergabe von Daten zu einem Auftrags-Datenverarbeiter, der Auftraggeber (also SIE) prüfen muss, ob auch dort die Regelungen der DSGVO eingehalten werden. Bei Nichteinhaltung haftet der Auftraggeber, hier haftet der Geschäftsführer auch persönlich!

Achtung: Abmahnungen drohen.

Tipp: Cloud Anwendungen von / bei US Unternehmen: Laut Anfrage an die EU-Kommission, erfüllt das privacy shild die Anforderungen der EU DSGVO. Ein entsprechendes Zertifikat finden Sie hier: https://www.privacyshield.gov/list

Ersatzweise können Sie sich natürlich auch einen Auftrags-Datenverarbeiter suchen, der Server ausschließlich in der EU bzw. Deutschland betreibt.

Seit einigen Jahren gibt es in Deutschland bereits das Bundesdatenschutzgesetz, aber auch das ist mitunter nur ein stumpfes Schwert gewesen, um die Unternehmen zur dauerhaften Umsetzung geeigneter Datenschutzmaßnahmen zu bewegen. Die für Verstöße angedrohten Bußgelder waren nicht besonders hoch, und wurden selten in voller Höhe ausgeschöpft. Hinzu kommt, dass geeignetes Personal zur Überprüfung fehlt.

Als sehr viel wirksamer erwiesen haben sich da schon Presseberichte über Sicherheitsvorfälle bei einigen Unternehmen, die zu einem - mitunter dramatischen- Reputationsverlust geführt haben.

Mit Wirksamwerden der DSGVO ergibt sich dieser Nutzen:

Link zum Bundesdatenschutz…

https://www.bfdi.bund.de/DE/Datenschutz/Ueberblick/MeineRechte/MeineRechte_node.html;jsessionid=850BCBF24B6AE4F1B6ABAD4E5621C76B.2_cid319

https://www.bfdi.bund.de/DE/Datenschutz/datenschutz-node.html

Wie schon so oft in diesem Artikel erwähnt: Nichts tun und abwarten ist keinesfalls eine Lösung! Sofern es nicht bei Ihnen im Unternehmen bereits erfolgt ist, haben sich die folgenden Maßnahmen bzw. deren Umsetzung bewährt.

Zunächst: Machen Sie das Projekt zur Chef Sache

Die Umsetzung, und dauerhafte Kontrolle der Einhaltung der DSGVO ist Sache der Geschäftsführung.

Holen Sie auch alle betroffenen Entscheider mit ins Boot.

Bilden Sie ein Projektteam, je nach Art und Umfang ihrer Unternehmung sollten darin mitarbeiten:

Die IT-Abteilung, betroffene Fachabteilungen, ggf. der Betriebsrat, ggf. der Datenschutzbeauftragte.

Als sehr hilfreich haben sich auch neutrale externe Berater erwiesen. Die haben zum einen nicht „die Betriebsbrille auf“ und (fast wichtiger) gehen auf Grund der Erfahrung i.d.R. deutlich pragmatischer an so ein Projekt heran. 

Sofern nicht in der Unternehmung vorhanden: Ziehen Sie ggf. einen Rechtsanwalt hinzu, der sich mit IT Recht auskennt.

Sollten Sie noch keinen schriftlich bestellt / ernannt haben, dann prüfen Sie, ob Sie einen benötigen.

Wenn ja, dann können Sie einen internen DSB bestellen, oder das Mandat auch extern vergeben. Für letzteres gibt es durchaus gute Argumente, die ich an dieser Stelle aber nicht erörtern werde. Gerne stehen wir hier für eine Beratung zur Seite.

Sollten Sie, entgegen einer Verpflichtung, keinen DSB bestellt haben, haften Sie. 

Daran hat sich nichts geändert, nur dass es ab dem 25.5.2018 deutlich teurer wird.

Egal wie auch immer hier die Bezeichnung lautet, ein guter Anfang ist immer eine Infrastrukturanalyse, bevorzugt durchgeführt durch externe Kräfte, damit die „Kontrolle nicht durch sich selber erfolgt“. Außerdem haben externe Systemhäuser, wenn sie gut sind, Erfahrung und Hilfsmittel (Tools). 

Praktisch keine Unternehmung kam in den vergangenen Jahren ohne eine EDV Lösung aus. Diese Lösung ist immer vor einigen Jahren installiert worden, und wurde dann aufgrund von unterschiedlichen Entwicklungen erweitert, ergänzt, teilweise erneuert usw. Somit hat sich eine sehr heterogene EDV-Landschaft entwickelt.

Jetzt kann die Chance genutzt werden, sich über diese Bestandsaufnahme Klarheit über die aktuelle IT- und Sicherheitsausstattung zu verschaffen. 

Anmerkung: In den vergangenen gut 25 Jahren habe ich eine hohe Anzahl von solchen Analysen bei mittelständischen Unternehmungen durchgeführt. Es haben sich bisher jedes Mal diese Ergebnisse gezeigt:

Die Umsetzung dieser Forderung ist nun wirklich nicht neu, und sollte von jeder Unternehmung nicht nur erfüllt sein, sondern auch fortgeschrieben werden. 

Unabhängig von dem aktuellen DSGVO Hype, betrachte ich das Fehlen solcher Pläne für eine Unternehmung mittlerweile als Existenzbedrohung.

Wer heute eine IT Anlage, ohne die anerkannten Sicherheits-Maßnahmen betreibt, handelt mindestens grob fahrlässig. An dieser Stelle kann ich nicht auf alle Maßnahmen auf der Grundlage eines Sicherheitskonzeptes eingehen, zumal sich diese aus der Grundlage der Geschäftstätigkeit / der Bedrohung und der Sensibilität ergeben.

So hat eine medizinische Praxis sicher andere Vorkehrungen zu treffen als der Betrieb eines Blumengeschäftes….

Im Rahmen der DSGVO kommen auf die Unternehmungen erweiterte Dokumentations- und Auskunftspflichten bis hin zur Löschung von gespeicherten Daten zu. 

Die Umsetzung der Rechte der Betroffenen lässt sich ohne ein geeignetes Verfahrensverzeichnis niemals realisieren. 

Erstellen Sie ein Verfahrensverzeichnis (wo sind welche Daten, wie gespeichert…) und benennen Sie eine verantwortliche Stelle und beziehen Sie alle Mitarbeiter mit ein. Nur dann kann sichergestellt werden, dass in ihrer Unternehmung ein strukturierter Prozess in Gang gesetzt wird und eine Reaktion auf die Anforderung eines Betroffenen in der vorgeschriebenen Zeit auch zu einem Ergebnis führt.

Bitte beachten Sie, dass ein solches Verzeichnis ggf. von einer offiziellen Stelle geprüft wird.

Die Einführung solchen Maßnahmen sollte bereits heute in jeder Unternehmung umgesetzt und dauerhaft im Betrieb sein. 

Wurde in der Vergangenheit von den Unternehmungen das Augenmerk vor allen Dingen auf den störungsfreien / unterbrechungsfreien Betrieb gelegt, so werden Sie zukünftig in die Pflicht genommen nachzuweisen (!), dass Sie die erforderlichen Sicherheitsmaßnahmen nicht nur umgesetzt haben, sondern die Umsetzung auch dauerhaft überwachen. 

Die Schaffung von IT Sicherheit kann niemals eine Summe von einmaligen Einzelmaßnahmen sein, sondern ist immer ein Prozess, der dauerhaft umzusetzen und - meines Erachtens - deren Umsetzung auch zu überwachen ist. 

Prüfung an wen Sie Daten weiter geben, dann : Arbeiten Ihre Lieferanten DSGVU konform.

Lassen Sie sich das schriftlich bestätigen und nehmen Sie das Ergebnis in Ihr Verfahrensverzeichnis auf.

Wo hosten / speicher oder verarbeiten Sie Daten?

Auch hier gilt es die selbe Prüfung durch zu führen.

Dieses White Paper sollte Ihnen zunächst einen Einblick verschaffen, dass es nicht nur möglich, sondern im Hinblick auf den Datenschutz und die Sicherheit, EU DSGVU konform zu arbeiten, von großem Nutzen ist.

Es stellt keinesfalls eine vollumfängliche Beratung zur Umsetzung dar. Das ist auch nicht möglich, denn hierzu sind individuelle Projekte erforderlich.

Und wie gesagt: … nichts tun ist keine Option!

Sprechen Sie uns gerne an, wenn Sie das Thema vertiefen möchten oder an der ein oder anderen Stelle Hilfe benötigen.

.