So bereiten Sie sich auf die DSGVO vor | Mailjet

So bereiten Sie sich auf die DSGVO vor

 

Am 25. Mai 2018 endet die Übergangsfrist und die EU Datenschutz-Grundverordnung gilt verbindlich. Unabhängig davon ob ein Unternehmen innerhalb oder außerhalb der EU seinen Unternehmenssitz hat oder dieses im B2B oder B2C Bereich agiert, wer zu diesem Zeitpunkt die DSGVO Bestimmungen nicht erfüllt, dem drohen hohe Bußgelder (gemäß Art. 83 (5) DSGVO bis zu 20 Mio. € oder 4% des jährlichen weltweiten Umsatzes).

Doch wie können sich Unternehmen ausreichend vorbereiten? Welche Schritte sollten Sie ergreifen?

 

Maßnahmen zur Vorbereitung

 

  1. Alle Mitarbeiter für das Thema DSGVO sensibilisieren
  2. Datenstatus und Dokumentationen hinsichtlich Vereinbarkeit mit DSGVO prüfen
  3. Eigene Datenschutzerklärung and EU Datenschutz-Grundverordnung anpassen
  4. Rechte der betroffenen Personen
  5. Zustimmung der Betroffenen einholen
  6. Sicherstellen, dass Datenverletzungen erkannt werden
  7. Datenschutz durch Technikgestaltung, datenschutzfreundliche Voreinstellungen und Datenschutzerklärung
  8. Datenschutzbeauftragten festlegen
  9. Services von Drittanbieter überprüfen

 

Schritt 1: Alle Mitarbeiter für das Thema DSGVO sensibilisieren

Damit die neue EU Datenschutz-Grundverordnung im Unternehmen problemlos umgesetzt werden kann, müssen alle Parteien ausreichend involviert werden. Stellen Sie sicher, dass das gesamte Team inklusive die Geschäftsführung ausreichend Kenntnis über die DSGVO und dessen Auswirkung auf Ihr Unternehmen erhält.

Die Entscheider benötigen ausreichend Kenntnisse, um eine interne Absegnung zu garantieren. Mitarbeiter, die operative Tätigkeiten ausüben, wie E-Mail Kampagnen erstellen und versenden oder Opt-in Formulare einrichten, müssen über die rechtlichen Gegebenheiten ebenso Bescheid wissen, um ordnungsgemäß zu agieren.

 

Schritt 2: Datenstatus und Dokumentationen hinsichtlich Vereinbarkeit mit DSGVO prüfen

Überprüfen Sie Ihren aktuellen Datenstatus und Ihre Dokumente hinsichtlich folgender Fragestellungen:

1) Welche persönlichen Daten besitzen Sie bereits?
2) Woher haben Sie diese Daten und an wen haben Sie diese weitergegeben?
3) Wo sind Ihre Schwachstellen und wo können Sie haftbar gemacht werden?
4) Wo befinden sich Ihre Daten derzeit? Klassifizieren diese Informationen!
5) Wie lange sind diese Daten in Ihrem Systemen gespeichert und wann werden diese gelöscht?

 

Weitere Informationen zu Mailjet

 

Schritt 3: Eigene Datenschutzerklärung and EU Datenschutz-Grundverordnung anpassen

Überprüfen Sie Ihre derzeitige Datenschutzerklärung:

1) Inwiefern die eigene Datenschutzerklärung mit den DSGVO Regularien übereinstimmen und ob Aktualisierungen vorgenommen werden müssen,

2) Privatsphäre durch Design und Standards in alle Projekte einbetten (Sammeln Sie nicht mehr persönliche Daten als Sie benötigen, verwenden Sie Anonymisierung, Pseudonymisierung und Verschlüsselung).

 

Schritt 4: Rechte der betroffenen Personen

Die Datenschutz-Grundverordnung stärkt die Rechte für EU-Bürger hinsichtlich des Datenschutzes und vereinheitlicht dies in erheblichen Maße.

Überprüfen Sie Ihre aktuellen Verfahren, um sicherzustellen, dass Sie in der Lage sind, alle Rechte der betroffenen Personen gemäß Art. 12-23 DSGVO zu erfüllen. Hierzu gehen das Recht:

1) die betreffende Person über Änderungen hinsichtlich der eigenen personenbezogenen Daten in transparenter, verständlicher, präziser Weise ausreichend in einer klaren und einfachen Sprache zu informieren (Art. 12 DSGVO).

2) die betreffende Person bei der Erhebung von personenbezogene Daten zum Zeitpunkt der Erhebung dieser Daten, u.a folgende Informationen mit: a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters, b) ggf. die Kontaktdaten des Datenschutzbeauftragten, c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen sowie d) die Rechtsgrundlage für die Verarbeitung (Art 13 DSGVO).

3) Recht vergessen zu werden sowie Daten gelöscht zu bekommen sowie bei Bedarf eine Kopie der personenbezogenen Daten zu erhalten (innerhalb eines Monats kostenlos). Damit ist gemeint, dass der Verantwortlichen die personenbezogenen Daten unverzüglich zu löschen hat, sofern u.a. die erhobenen Daten nicht mehr notwendig sind (Art. 17 Abs. 1a DSGVO), die Personen die Einwilligung widerruft (Art. 17. Abs. 1b+c DSGVO), die Daten unrechtmäßig erhoben wurden (Art. 17 Abs. 1d DSGVO). Ausnahmen hiervon regelt Art. 17 Abs. 3 DSGVO.

4) auf Datenportabilität und damit die erhobenen personenbezogenen Daten elektronisch in einem strukturierten, gängigen und maschinenlesbaren Format ohne Behinderung durch den Verantwortlichen zu erhalten (Art. 20 DSGVO).

5) auf automatisierte Entscheidungen und der Verhinderung von Profiling (Art. 22 DSGVO).

 

 
 

Schritt 5: Zustimmung der Betroffenen einholen

Werten Sie aus wie, Sie nach Zustimmung suchen, diese erreichen und aufzeichnen:

1) Sind Ihre Aufzeichnungen vollständig, aktuell und sicher?
2) Haben Sie eine eindeutige, ausdrückliche Zustimmung zur Verarbeitung aller personenbezogenen Daten?
3) Brauchen Sie die Zustimmung von einer Person, die elterliche Verantwortung hat? (Kinder können ihre eigene Zustimmung ab 16 Jahren geben, dieses Mindestalter kann in Großbritannien auf 13 Jahre gesenkt werden)

 

Schritt 6: Sicherstellen, dass Datenverletzungen erkannt werden

Stellen Sie sicher, dass Sie über geeignete Verfahren verfügen, um Datenverletzungen zu erkennen, darüber zu berichten und zu untersuchen.

 

Schritt 7: Datenschutz durch Technikgestaltung, datenschutzfreundliche Voreinstellungen und Datenschutzerklärung

Machen Sie sich mit der Datenschutzerklärung und den datenschutzfreundlichen Voreinstellungen vertraut und erarbeiten Sie, wann und wie Sie diese in Ihrer Organisation implementieren (Hinweis: Freistellungen für kleine Unternehmen und geringe Datennutzung).

1) Bestimmen Sie, ob Sie einen Datenschutzbeauftragten ernennen / vergeben müssen, der für die Einhaltung der Daten verantwortlich ist, unabhängig handelt und der Führungsetage berichtet.

2) Vergewissern Sie sich, dass Ihre Verträge mit Dritten die neuen Bestimmungen enthalten.

 

Schritt 8: Datenschutzbeauftragten festlegen

Der Datenschutzbeauftragte ist eine Person, entweder ein Angestellter oder ein externer Berater – er hat die formale Verantwortung für die Einhaltung der Datenschutzerklärung innerhalb eines Unternehmens. Ein Datenschutzbeauftragter muss gemäß Art. 37 DSGVO benannt werden, wenn eine dieser Bedingungen zutrifft:

1) Die relevanten Datenverarbeitungsaktivitäten werden von einer Behörde oder Stelle durchgeführt (sofern die Definition von „Behörde oder Körperschaft“ von jedem EU-Mitgliedstaat bestimmt wird);

2) Die Kernaktivitäten des jeweiligen Geschäftsbereichs beinhalten eine regelmäßige und systematische Überwachung des Einzelnen, in großem Maßstab; oder

3) Die Kernaktivitäten des jeweiligen Geschäfts sind die Verarbeitung sensibler personenbezogener Daten oder Daten über strafrechtliche Verurteilungen und Straftaten in großem Maßstab.
Sofern der Datenschutzbeauftragte in Ihrem Unternehmen arbeitet, müssen Sie als Arbeitgeber:

1) Bereitstellung von notwendigen Ressourcen, um seine Aufgaben zu erfüllen und sein Fachwissen zu pflegen;
2) Zugang zu persönlichen Daten und Verarbeitungsvorgängen ermöglichen;
3) Dafür sorgen, dass er / sie in allen Fragen des Schutzes personenbezogener Daten involviert ist;
4) Ihre Kontaktdaten der Öffentlichkeit und der Aufsichtsbehörde zur Verfügung stellen.

 

Schritt 9: Services von Drittanbieter überprüfen

Weitere Informationen erhalten Sie hier.

 

Weitere Informationen zu Mailjet

 

Weiterführende Informationen zur DSGVO