Werden Sie Experte für Ihre Daten
Organisationen mit Sitz in der EU, die personenbezogene Daten von in der EU ansässigen Personen verarbeiten, müssen sich ab dem 25. Mai 2018 in nahezu allen Fällen an die Datenschutz-Grundverordnung (DSGVO) halten. Zusätzlich gilt die DSGVO nun auch für Organisationen, die ihren Sitz außerhalb der EU haben, z. B. solche, die in der EU ansässigen Personen Waren oder Dienstleistungen anbieten oder das Verhalten von in der EU ansässigen Personen beobachten. Falls Ihre Organisation in eine dieser Kategorien fällt, sollten Sie sich unbedingt einen Überblick über Ihre Daten verschaffen, um die DSGVO erfolgreich umzusetzen.
Aktuelle Studien haben gezeigt, dass nur relativ wenige Unternehmen wirklich vorbereitet sind: Mit einer im Juni 2017 veröffentlichten YouGov-Untersuchung wurde herausgefunden, dass weniger als ein Jahr vor Wirksamwerden der DSGVO 62 % der Verantwortlichen in britischen Betrieben angaben, noch nicht einmal von der DSGVO gehört zu haben. Um die Einhaltung der DSGVO sicherstellen zu können, muss Ihre Organisation wissen, welche personenbezogenen Daten sie verarbeitet, wo und von wem sie verarbeitet werden und vor allem, wie sie geschützt werden.
Bevor Sie sich allerdings um den Schutz von Daten Gedanken machen, müssen Sie erst einmal wissen, welche Daten bei Ihnen überhaupt verarbeitet werden. Die DSGVO gilt für personenbezogene Daten, also jegliche Informationen, die sich auf identifizierte oder identifizierbare natürliche Personen beziehen. Diese Informationen sind in weitere Unterkategorien aufgeteilt, für die spezifische Regeln gelten. Angaben zu besonderen Arten personenbezogener Daten, wie z. B. zur rassischen oder ethnischen Herkunft oder religiöse Überzeugungen von Personen dürfen beispielsweise nur unter strengeren Auflagen verarbeitet werden. Für Ihre Organisation ist es wichtig zu verstehen, welche Arten von personenbezogenen Daten Sie erheben und ob diese unter die speziellen Arten personenbezogener Daten nach der DSGVO fallen.
Sobald Sie festgestellt haben, welche personenbezogenen Daten Ihr Unternehmen speichert und verarbeitet, sollten Sie überprüfen, wo die Daten gespeichert und verarbeitet werden. Besonders wichtig ist dabei, ob die Datenverarbeitung innerhalb der Organisation erfolgt oder an Dritte ausgelagert wird. Falls Dienstleister oder andere außenstehende Dritte diese Aufgabe für Ihre Organisation übernehmen, sind Sie dafür verantwortlich, dass diese die Daten entsprechend den mit Ihnen geschlossenen Verträgen schützen und ab Mai 2018 auch die dann gültigen Regelungen der DSGVO einhalten. Beachten Sie dabei: Selbst wenn die geschützten personenbezogenen Daten außerhalb der EU gespeichert werden, beispielsweise in einem amerikanischen Datencenter, gelten für diese Daten dennoch die Regelungen der DSGVO. Wie auch unter bereits geltendem Recht sind für die Übertragung personenbezogener Daten von der Europäischen Union in die Vereinigten Staaten rechtlich definierte Datentransfermechanismen wie Standardvertragsklauseln oder Zertifizierungen gemäß EU-US-Datenschutzschild (Privacy Shield) notwendig.
Nach diesen beiden ersten Schritten können Sie dann detaillierter untersuchen, wer Zugang zu den von Ihrer oder für Ihre Organisation verarbeiteten personenbezogenen Daten hat. Je nach Aufgabenbereich kann es notwendig sein, dass verschiedene Mitarbeiter auf unterschiedliche Arten von Datensätzen zugreifen müssen. Auch davon wird es abhängen, wie Sie die Daten verwalten und schützen. Sicher wird Ihr Unternehmen versuchen, besonders bei sensiblen personenbezogenen Daten den Kreis von zugangsberechtigten Personen so klein wie möglich zu halten. Sowohl innerhalb Ihrer eigenen Organisation als auch bei externen Vertragspartnern sollten Sie jederzeit wissen, wer Zugriff auf welche Daten hat. Außerdem ist es hilfreich, wenn Sie diese Zugriffsrechte leicht erteilen und aufheben können.
Ein weiterer wichtiger Punkt beim Schutz der von Ihrer Organisation verwalteten Daten sind natürlich die Sicherheitsmaßnahmen. Nehmen Sie die DSGVO zum Anlass, die bestehenden Sicherheitsmaßnahmen für Ihren Datenbestand zu überprüfen und zu kontrollieren, ob sie den Anforderungen immer noch entsprechen. Das schwächste Glied in der Kette ist häufig der Mensch; einfach umzusetzende Maßnahmen wie Zwei-Faktor-Authentifizierung oder Sicherheitstrainings zum Erkennen der üblichen Phishing-Versuche können daher sehr effektiv sein. Nachdem Sie nun ein Experte für die Daten sind, die Ihr Unternehmen verarbeitet, überprüfen Sie Ihre Datenschutzrichtlinien, um festzulegen, was im Fall einer Datenschutzverletzung zu tun ist, um Ihre Daten bestmöglich zu schützen.
Die Umsetzung der neuen DSGVO lässt sich nicht über eine für alle Organisationen einheitliche Checkliste reduzieren. Jede Organisation muss ihre individuellen Verfahren auf DSGVO-Konformität überprüfen und entsprechend anpassen. Die Fragen, wer wo welche Daten verarbeitet, und ein grundlegendes Verständnis der bereits bestehenden Sicherheitsmaßnahmen Ihres Unternehmens sind ein essenzieller Schritt auf dem Weg zur Implementierung und Einhaltung der DSGVO.
Weitere Tipps zur Vorbereitung auf die DSGVO und Informationen darüber, wie Dropbox Ihnen bei der Verwaltung und dem Schutz Ihrer Daten helfen kann, finden Sie hier.