Wie kann man DSGVO-konform sein?

Wenn Sie ein Unternehmen oder eine Organisation sind, die personenbezogene Daten sammelt, ist es schwierig zu wissen, wie Sie mit der Einhaltung der Vorschriften beginnen können. Unwissenheit wird jedoch keine brauchbare Verteidigung sein. Aus diesem Grund haben wir eine vollständige 9-Schritte-Checkliste zusammengestellt, die Ihnen hilft, DSGVO-konform zu werden.

1. Welche Daten erheben Sie?

Das ist die grundsätzliche Frage. Informieren Sie sich, welche Daten Sie benötigen, um den angegebenen Service bereitzustellen. Denken Sie jedoch daran, dass Sie gemäß der DSGVO nur personenbezogene Daten erheben sollten, die für den angegebenen Zweck unerlässlich sind.

Bevor Sie diese Daten erheben, sollten Sie die ausdrückliche Zustimmung der betroffenen Person einholen. Das kann eine schriftliche Zustimmung sein oder das Ankreuzen eines Kästchens. Sie müssen jedoch nachweisen können, dass die Einwilligung erteilt wurde.

Darüber hinaus sollte die Einwilligung nur für einen bestimmten Zweck erteilt werden. Wenn Daten für mehrere Zwecke verwendet werden sollen, sollte für jeden eine informierte, ausdrückliche Zustimmung erteilt werden. Sie sollten auch die verschiedenen Zwecke klar angeben. Transparenz ist einer der Grundsätze der DSGVO.

2. Wie lange werden die Daten gespeichert?

Entscheiden Sie, wie lange die Informationen benötigt werden. Nach der DSGVO dürfen Daten nicht länger als nötig aufbewahrt werden. Definieren Sie daher klar, zu welchem Zeitpunkt die Daten wie und warum entsorgt werden.

Sie müssen auch einen Mechanismus bereitstellen, mit dem eine betroffene Person ihre Einwilligung widerrufen kann. Das bedeutet, dass Sie ihre personenbezogenen Daten löschen müssen.

3. Wie werden die Daten gespeichert?

Eines der grundlegenden Ziele der DSGVO ist die Begrenzung von Datenschutzverletzungen. Das bedeutet, dass Sie sich viele Gedanken darüber machen müssen, wie Daten gespeichert werden, um sicherzustellen, dass Sie ihre Integrität und Vertraulichkeit wahren.

Darüber hinaus sind Sie gemäß Artikel 33 verpflichtet, die Datenschutzvereinigung innerhalb von 72 Stunden zu informieren, wenn eine Datenschutzverletzung auftritt. Sie müssen auch die betroffene Person über die Datenschutzverletzung informieren und angeben, welche personenbezogenen Daten offengelegt wurden.

4. Wie alt ist die einwilligende Person?

Nach der DSGVO dürfen nur Personen, die mindestens 16 Jahre alt sind, in die Erhebung personenbezogener Daten einwilligen. Wenn Sie also personenbezogene Daten über jüngere Nutzer sammeln, sind Sie DSGVO-konform und die Einwilligung ist ungültig.

5. Ernennung eines Datenschutzbeauftragten (DSB)

Gemäß der DSGVO muss eine Organisation einen Datenschutzbeauftragten für einen der folgenden Punkte ernennen:

– Wenn Daten von einer Behörde verarbeitet werden
– Wenn die erhobenen Daten systematisch überwacht werden
– Wenn die erhobenen Daten in großem Umfang verarbeitet werden

Hier gibt es eindeutig Unklarheiten – da die DSGVO nicht definiert, wie groß ein Umfang ist. Daher ist es oft sinnvoll, einen Datenschutzbeauftragten zu ernennen, der Ihre Datenschutzstrategie überwacht, unabhängig vom Umfang Ihrer personenbezogenen Datenerhebung.

6. Führen Sie ein DSGVO-Tagebuch

Hier wäre es am besten, wenn Sie dokumentieren, wie Ihr Unternehmen die Einhaltung der DSGVO praktiziert. Dazu gehört die Zuordnung der Datenflüsse durch Ihr Unternehmen, aller Datenquellen und die Art und Weise, wie Sie das Risiko von Datenschutzverletzungen mindern.

Es bietet auch Schutz für den Fall, dass Ihr Unternehmen während der Implementierung seines Compliance-Frameworks eine Datenschutzverletzung erleidet.

7. Double-Opt-in für neue E-Mail-Listen-Anmeldungen

Ja. Für jeden, der sich für Ihre E-Mail-Liste anmeldet, fügen Sie einen Double-Opt-in-Prozess hinzu. Das bedeutet, dass sie ihre Zustimmung zweimal bestätigen müssen. Die erste tritt auf, wenn das Anmeldeformular ausgefüllt ist. Die zweite Einwilligung erfolgt, indem der Benutzer auf den Bestätigungslink klickt, der nach dem Ausfüllen des Anmeldeformulars automatisch gesendet wird.

Die DSGVO schreibt zwar keine obligatorischen Double-Opt-in-Anmeldungen vor, ist aber der derzeit hohe Standard für Datenschutz und Einwilligung.

8. Schreiben oder aktualisieren Sie Ihre Datenschutzerklärung

In einer Datenschutzerklärung sollte eine Organisation klar angeben, welche personenbezogenen Daten gesammelt und wie sie verwendet werden. Es muss immer auf dem neuesten Stand und auf der Website der Organisation verfügbar sein.

9. Bewerten Sie routinemäßig Risiken von Drittanbietern

DSGVO-konform zu sein bedeutet nicht nur, Ihr Haus in Ordnung zu halten. Sie bezieht sich auch auf das Datenrisiko, das von Dritten ausgeht. Hier können Daten zwischen Organisationen ausgetauscht werden. Dies erfordert ein kontinuierliches Bewusstsein für die Sicherheitsrisiken und Abhilfemaßnahmen.

Obwohl kein System zu 100 % risikofrei sein kann, ist die routinemäßige Bewertung potenzieller Sicherheitsrisiken von entscheidender Bedeutung. Sie sollten Ihre Erkenntnisse und Maßnahmen im DSGVO-Tagebuch festhalten.