Wir und die DSGVO (Teil 2)
Ende Mai rückt näher und damit auch die DSGVO, die dann wirksam wird. Wir beschäftigen uns seit einiger Zeit mit ihren Auswirkungen auf uns – hier der aktuelle Status!
20.04.2018
In unserem ersten Artikel über die DSGVO und unsere Vorbereitungen, haben wir einen Überblick über das Thema gegeben (hier nachzulesen). Im speziellen sind wir auf die Rollen eingegangen, die in der Verordnung angegeben sind, und wie diese auf uns zutreffen.
Wir bleiben auch in diesem Artikel bei dieser hilfreichen Einteilung und sehen uns den Stand der Dinge an!
Rolle Verantwortlicher
Zur Erinnerung: Als Verantwortliche gelten "natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden." (siehe WKO-Website)
Diese Definition trifft uns bei den folgenden Daten:
- Daten unserer eigenen Kunden
- Daten unserer Lieferanten
- Daten unserer Mitarbeiter*innen
Verzeichnis der Verarbeitungstätigkeit
Wie in unserem letzten Artikel beschrieben, arbeiten wir in einem Team schon länger an dem Thema DSGVO. Zurzeit beschäftigen wir uns mit den Details in unserem Verarbeitungsverzeichniss, wie zum Beispiel Rechtsgrund für die Verarbeitung der Daten und Speicherfristen. Die Arbeit an diesem Verzeichnis hat den Vorteil, dass wir sozusagen jede Ecke unserer Verarbeitung personenbezogener Daten durchleuchten. Damit haben wir einen sehr guten Überblick über die Art und Weise der Verarbeitung sowie auch über Maßnahmen, die vielleicht noch notwendig sind.
Zurzeit arbeitet daran ein Zweierteam aus der Geschäftsführung und dem Marketing. Die Mitarbeit der Geschäftsführung ist sehr wichtig, denn am Ende ist sie verantwortlich – auch ein möglicherweise zu bestellender Datenschutzbeauftragter kann diese Verantwortung nicht abnehmen!
Unser Verarbeitungsverzeichnis basiert übrigens auf der sehr hilfreichen Vorlage der WKO, zu finden auf der WKO-Website!
Etablierung von Prozessen
Eine Aufstellung im Form eines Verarbeitungsverzeichnisses ist ein Muss. Es reicht aber nicht, dieses dann einmal im Jahr aus der Schublade zu holen, zu aktualisieren und wieder zu verstauen.
Es müssen im Unternehmen auch Prozesse definiert und etabliert werden, die dafür sorgen, dass laufend sorgsam und richtig mit personenbezogenen Daten umgegangen wird. Sei es zum Beispiel, um genau zu wissen, wie mit einer Anfrage zur Löschung von Daten umgegangen wird. Oder um festzulegen, wie sichergestellt wird, dass die Daten von Newsletter-Empfänger endgültig gelöscht werden, wenn sie sich abmelden.
Technische Umsetzung
Es liegt in unserer Verantwortung, dafür zu sorgen, dass die Daten in den (von uns verwendeten) IT-Systemen DSGVO-konform verarbeitet und geschützt werden. Als Software-Firma haben wir schon immer Wert darauf gelegt, dass unsere technischen Sicherheitsmaßnahmen dem Stand der Technik entsprechen – von Firewalls über Daten-Verschlüsselung bis hin zu Büro-Alarmanlagen.
Die Verarbeitung der Daten in den Systemen sehen wir uns gerade im Zuge der Erstellung des Verarbeitungsverzeichnisses im Detail an.
Rolle Auftragsverarbeiter
Auch hier zur Auffrischung: "[Der Auftragsverarbeiter] wird definiert als eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet." (siehe WKO-Website)
Um unseren Kunden die Sicherheit zu geben, arbeiten wir in Zukunft im Bereich der Wartung auf Basis eines Vertrags bzw. Zusatzes zu bestehenden Verträgen. Mit unseren Wartungs-Kunden sind wir daher in Kontakt und arbeiten gemeinsam an diesen zusätzlichen Verträgen.
Rolle Sub-Auftragsverarbeiter
Unsere Sub-Auftragsverarbeiter – in unserem Fall Hoster – wurden und werden von uns nur nach schriftlicher Genehmigung durch den Kunden (in der Rolle als Verantwortlicher) beauftragt. Und natürlich achten wir bei der Wahl unserer Partner darauf, dass alle organisatorischen und technischen Maßnahmen unserer Partner auf dem Stand der Technik und DSGVO-konform sind.
Der 25te ist erst der Anfang
Auch wenn jetzt alle auf den 25. Mai fokussieren, also dem Tag an dem die DSGVO wirksam wird, – die Dinge, die jetzt in Gang gesetzt werden, werden unseren Umgang mit personenbezogenen Daten über die kommenden Jahre hinweg bestimmen. Daher ist es wichtig, über den Stichtag hinauszudenken und Maßnahmen zu setzen und Prozesse anzustoßen, die nachhaltig für mehr Umsicht und Sicherheit sorgen. Denn der Schutz eines Menschen bei der Verarbeitung seiner persönlichen Daten ist ein Grundrecht ist und dieses Recht und seine Einhaltung kommen jedem und jeder von uns zugute!