Wie man die DSGVO einhält: 10 wesentliche Schritte

Die General Data Protection Regulation (GDPR) wurde entworfen, um die persönlichen Daten von EU-Bürgern zu schützen, indem sie regelt, wie diese Informationen gesammelt, gespeichert, verarbeitet und vernichtet werden. Das data security und Datenschutzgesetz gilt für alle Organisationen, die persönliche Daten von Bürgern der Europäischen Union sammeln, unabhängig von ihrem Standort. Die Strafen für Nichteinhaltung der GDPR-Anforderungen sind streng.

Viele Organisationen kämpfen damit, wie sie die DSGVO einhalten können. In diesem Artikel finden Sie 10 Schritte, die Ihrem Unternehmen helfen werden, die Einhaltung der DSGVO-Anforderungen zu erreichen, zu erhalten und nachzuweisen.

Wie man GDPR-konform wird

1. Ermitteln Sie, ob und wie das Gesetz auf Ihre Organisation anwendbar ist.

Unterliegt Ihre Organisation der DSGVO?

Zuerst müssen Sie feststellen, ob Sie die DSGVO einhalten müssen. Für einen einfachen Lackmustest überlegen Sie, ob Sie Nutzer oder Kunden haben, die in der EU leben. Wenn die Antwort ja lautet, müssen Sie Maßnahmen zur Einhaltung umsetzen.

Um genauer zu sein, hier sind einige Beispiele für häufige Umstände, die Ihre Organisation zur Einhaltung der DSGVO verpflichten würden:

• Sie sammeln oder verarbeiten die Daten von EU-Bürgern.
• Sie versenden in die EU, erwähnen die EU auf Ihrer Website oder akzeptieren Zahlungen in EU-Währung.
• Sie bieten Software an, wie ein Spiel oder eine App, die persönliche Daten im Rahmen des Registrierungsprozesses sammelt, und die Software ist in der EU verfügbar

Sind Sie ein Datenverarbeiter oder ein Datenverantwortlicher?

Wenn die DSGVO auf Sie zutrifft, ist Ihr nächster Schritt festzustellen, ob Sie Datenverarbeiter oder Datenverantwortlicher sind, da sie unterschiedliche Compliance-Verpflichtungen haben.

• Datenschutzbeauftragte sind verantwortlich für den Schutz von Daten, und ihre Pflichten umfassen:
  • Einholen der Zustimmung
  • Zugriffsverwaltung
  • Sicherstellung der Rechtmäßigkeit der Datenverarbeitung
  • Transparenz der Informationen
  • Genauigkeit schützen
  • Gewährleistung der Vertraulichkeit

• Data processors collect and manipulate data. In some cases, this may be the data controller, but it may also be a third party or another service that analyzes the data. Processors have less autonomy over the data they process, but they still have obligations, including:
  • Daten werden ausschließlich gemäß den Anweisungen des Datenverantwortlichen verarbeitet
  • Einen verbindlichen Vertrag mit dem Prozessor eingehen
  • Keine Beauftragung von Unterprozessoren ohne die Zustimmung des Verantwortlichen
  • Sicherstellung der Datensicherheit
  • Benachrichtigung des Controllers über data breaches
  • Den Rechenschaftspflicht-Richtlinien folgend
  • Gemäß internationalen Übertragungsprotokollen
  • Mit den Behörden zusammenarbeiten

Welche Daten müssen Sie schützen?

Schließlich bestimmen Sie, welche Daten nach der DSGVO geschützt werden müssen. Unter der DSGVO wird personenbezogene Daten definiert als „jede Information, die sich auf eine lebende, identifizierte oder identifizierbare natürliche Person bezieht.“ Dies umfasst alle Informationen, die zur Identifizierung einer Person verwendet werden könnten, wie zum Beispiel:

• Namen
• Standortdaten
• Online-Identifikatoren
• Rassische oder ethnische Herkunft
• Religiöse Überzeugungen
• Politische Meinungen
• Gesundheitsinformationen
• Sexleben
• Genetische Daten
• Biometrische Daten wie Fingerabdrücke oder Gesichtserkennung

2. Weisen Sie Rollen und Verantwortlichkeiten zu.

Einige der neuen Rollen, die Sie für die Einhaltung von Vorschriften benötigen könnten, umfassen:

• Compliance-Beauftragter
• Projektmanager
• Datenschutzbeauftragter (DPO) — Gemäß Artikel 37, müssen Sie einen DPO benennen, wenn Sie ein öffentliches Unternehmen sind, die Kernaktivitäten Ihres Unternehmens die Datenverarbeitung umfassen oder Ihr Unternehmen große Mengen personenbezogener Daten von EU-Bürgern verarbeitet und speichert.

Definieren Sie die Rollen und Verantwortlichkeiten, um zu sehen, welche durch aktuelles Personal besetzt werden können und für welche neue Einstellungen erforderlich sind.

Tipp: Investieren Sie Zeit, um Unterstützung von Ihrem Managementteam oder dem Vorstand zu erhalten, da diese Ressourcen bereitstellen müssen. Stellen Sie sicher, dass die Mitglieder die Risiken unzureichender Datenschutzmaßnahmen und die Vorteile der DSGVO-Konformität verstehen.

3. Wählen Sie ein oder mehrere Frameworks aus.

Die Einhaltung der DSGVO kann einfacher sein, wenn Sie einem Rahmenwerk folgen, das Ihnen hilft, Kernbest Practices zur Reduzierung von Datenschutz- und Privatsphärerisiken in Ihren Systemen und Diensten zu implementieren. Es gibt kein perfektes Rahmenwerk, aber es gibt verschiedene Rahmenwerke, die Ihnen helfen können, unterschiedliche Aspekte der DSGVO zu erfüllen. Sie umfassen:

• ISO 27001 — Ein Rahmenwerk für ein Informationssicherheits-Managementsystem (ISMS), das hilft, das Risiko eines Datenbruchs zu verringern
• ISO/IEC 27701:2019 — Eine Erweiterung zu ISO/IEC 27001 mit Fokus auf Datenschutz
• NIST Privacy Framework — Ein Rahmenwerk zur Identifizierung und Verwaltung von Datenschutzrisiken
• NIST 800-30 Risikobewertungsrahmen — Ein Leitfaden zur Durchführung von Risikobewertungen (welche unten diskutiert werden)
• NIST 800-53 Security and Privacy Controls for Information Systems and Organizations — Ein Katalog von Sicherheits- und Datenschutzkontrollen für Informationssysteme und Organisationen zum Schutz vor vielen verschiedenen Risikoarten
• BS 10012 Personal Information Management — Ein Rahmenwerk für das Management von persönlichen Informationen
• PCI DSS Framework— Ein Rahmenwerk zum Schutz der Zahlungskartendaten von Verbrauchern
• NIST Cybersecurity Framework — Ein Rahmenwerk, das Organisationen dabei unterstützt, die Reife ihrer Cybersicherheits- und Risikomanagementsysteme zu messen und Schritte zu deren Stärkung zu identifizieren

4. Führen Sie Risikobewertungen durch.

Durchführung von Risikobewertungen ist ein wesentlicher Bestandteil der Einhaltung von Artikel 32 und Artikel 35 der DSGVO.

Dies wird mit einer Data Protection Impact Assessment (DPIA) erreicht, einer Methode zur Analyse, Identifizierung und Minimierung der Datenschutzrisiken eines Projekts. Sie müssen eine DPIA durchführen, bevor Sie mit der Datenverarbeitung beginnen, die voraussichtlich ein hohes Risiko für personenbezogene Daten darstellt. Beispiele für Prozesse mit hohem Risiko umfassen:

• Neue Technologien nutzen oder bestehende Technologien auf neue Weise einsetzen
• Automatisierte Entscheidungen, die zu einer Verweigerung von Diensten führen könnten
• Großflächige Überwachung öffentlicher Orte oder anderes Profiling in großem Maßstab
• Verarbeitung biometrischer Daten zur Identifizierung einer Person
• Die Verarbeitung genetischer Daten, es sei denn, sie erfolgt durch einen individuellen Gesundheitsdienstleister für die Betreuung der betroffenen Person
• Abgleich oder Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen
• Verarbeitung von Daten, die nicht vom Betroffenen stammen
• Das Verfolgen des Geostandorts oder Verhaltens einer Person, online und offline
• Verarbeitung von Kinderdaten für Marketing, Profiling, automatisierte Entscheidungsfindung oder Dienstleistungsangebote
• Verarbeitung von Daten, die zu physischem Schaden einer Person führen könnten, wenn sie durchsickern würden

Diese Liste ist nicht abschließend; es liegt an Ihnen zu entscheiden, ob für Prozesse, die in Artikel 35 nicht speziell erwähnt werden, eine Datenschutz-Folgenabschätzung (DPIA) durchgeführt werden soll. Wenn Sie Zweifel haben, ist es besser, eine durchzuführen. Idealerweise wird eine DPIA während der Planungsphase eines Projekts durchgeführt und hilft Ihnen zu entscheiden, ob ein Risiko besteht und wie dieses gemindert werden kann.

Eine DPIA sollte Folgendes umfassen:

• Ermitteln Sie den Bedarf an einer DPIA, indem Sie das Ziel Ihres Projekts und die Art der Verarbeitung erläutern
• Beschreiben Sie die Verarbeitung, einschließlich ihrer Art, ihres Umfangs, Kontexts und Zwecks
• Beteiligen Sie die relevanten Stakeholder oder erklären Sie, warum dies nicht notwendig ist
• Bewerten Sie Notwendigkeit und Verhältnismäßigkeit, einschließlich Rechtmäßigkeit und Datenminimierung
• Identifizieren und bewerten Sie Risiken
• Identifizieren Sie Maßnahmen zur Risikominderung
• Schließen Sie Abzeichnungen ein und dokumentieren Sie die Ergebnisse

Nach Abschluss einer DPIA sollten Sie die identifizierten Maßnahmen in Ihr Projekt implementieren und diese während des gesamten Projekts weiterhin überprüfen. Für weitere Informationen zur Durchführung einer DPIA lesen Sie diesen Artikel.

5. Etablieren Sie Data Governance.

Daten-Governance betrifft die Richtlinien und Prozesse rund um die angemessene Verwendung personenbezogener Daten, wenn diese in Ihre Organisation ein- und ausgehen. Verfahren der Daten-Governance stellen sicher, dass hohe Standards während des gesamten Lebenszyklus Ihrer Daten aufrechterhalten werden. Ihr Daten-Governance-Prozess muss auch die Anforderungen des Artikels 30 erfüllen, die sich auf die Aufzeichnungen der Verarbeitungstätigkeit beziehen.

Ihre data governance strategy sollte Folgendes umfassen:

• Ein Dateninventar, das einen Überblick über alle Datenquellen Ihres Unternehmens bietet, welche Daten erfasst und wie sie erfasst werden, sowie was damit geschieht
• Netwrix Data Classification, welches Daten nach Typen gruppiert, damit sie entsprechend ihres Wertes und ihrer Sensibilität geschützt werden können
• Strategien, um sicherzustellen, dass Ihre Datenerfassungsprozesse rechtmäßig, fair und transparent sind
• Methoden zur Aktualisierung der Aufzeichnungen der Verarbeitung personenbezogener Daten
• Verfahren zur Durchführung einer DPIA, wenn Ihre Datenverarbeitung wahrscheinlich ein hohes Risiko darstellt, wie oben beschrieben
• Aufzeichnungen, die in schriftlicher Form vorliegen, einschließlich elektronischer Form
• Aufzeichnungen, die den Aufsichtsbehörden auf Anfrage zur Verfügung stehen

6. Implementieren Sie geeignete Kontrollen.

Die DSGVO gibt nicht die für die Einhaltung erforderlichen Kontrollen an, legt jedoch dar, dass Sie Maßnahmen zur Adressierung der „Sicherheit der Verarbeitung“ umsetzen müssen:

• Verwenden Sie die aktuellsten Software-Tools, um Kundendaten zu sichern.
• Dokumentieren Sie die Art, den Zweck und den Umfang der Datenverarbeitung.
• Segregieren Sie Daten und wenden Sie Sicherheitsmaßnahmen an, die dem Risiko angemessen sind.
• Verschlüsseln und pseudonymisieren Sie Daten, wenn möglich.
• Stellen Sie dem Betroffenen die Daten zur Verfügung.
• Schützen Sie persönliche Daten davor, von unbefugten Benutzern gelesen oder manipuliert zu werden.
• Testen und bewerten Sie regelmäßig die Wirksamkeit Ihrer Kontrollen.
• Berücksichtigen Sie alle Risiken, wenn Sie Daten verarbeiten oder damit umgehen.

Das Verwalten von Sicherheitskontrollen, wie die meisten anderen Aspekte der DSGVO-Konformität, ist ein fortlaufender Prozess. Sobald Sie Ihre Kontrollen implementiert haben, müssen Sie Ihre Datenverarbeitungsaktivitäten und Sicherheitskontrollen regelmäßig prüfen. Suchen Sie nach einer software solution, die das Management so vieler Sicherheitskontrollen wie möglich automatisiert.

7. Wahren Sie die Rechte der betroffenen Personen.

Sie benötigen auch Richtlinien, um die Rechte der betroffenen Personen – der Menschen, deren Daten Sie sammeln – zu wahren. Insbesondere benötigen Sie einen Plan dafür, wie Sie mit Folgendem umgehen werden:

• Erfassung und Überprüfung von Datenzugriffsanfragen (DSARs)
• Innerhalb eines Monats auf DSARs reagieren, um kostspielige Strafen zu vermeiden
• Richtlinien für das Einwilligungsmanagement, die Datenerfassung, -speicherung und -löschung umfassen
• Ihre Cookie-Richtlinie, einschließlich Einwilligungsformularen und Methoden zur Änderung der Cookie-Einstellungen
• Richtlinien und Verfahren für den Umgang mit Verpflichtungen bei Datenschutzverletzungen, einschließlich der Erkennung, Meldung und Untersuchung von Verstößen

8. Erstellen und pflegen Sie die erforderlichen Dokumente.

Eine Reihe von Artikeln der DSGVO verlangen von Ihnen, eine Dokumentation zu erstellen, die darlegt, wie Sie Daten speichern und verarbeiten. Die DSGVO schreibt nicht vor, wie Sie Ihre Dokumente benennen sollen, daher können Sie andere Titel als die unten gezeigten wählen. Zusätzlich können einige Dokumente zusammengefasst werden, wenn dies angemessen ist. Hier ist eine Liste der Dokumente, die Sie benötigen werden:

• Richtlinie zum Schutz personenbezogener Daten (Artikel 24) — Beschreibt, wie der Datenschutz in Ihrem Unternehmen gehandhabt wird
• Datenschutzhinweis (Artikel 12,13,14) — Beschreibt, wie personenbezogene Daten verarbeitet werden
• Mitarbeiter-Datenschutzhinweis (Artikel 12, 13 und 14) — Erläutert die Verarbeitung personenbezogener Daten von Mitarbeitern
• Datenaufbewahrungsrichtlinie (Artikel 5, 13, 17 und 30) – Beschreibt den Prozess der Entscheidung, wie lange Daten aufbewahrt und wie sie vernichtet werden
• Datenaufbewahrungsplan (Artikel 30) — Listet regulierte Daten auf und erklärt, wie lange jeder Datentyp aufbewahrt wird
• Datenflussdiagramme (Artikel 30, 25, 6, 28, 35) — Abbildung des Informationsflusses
• Einwilligungsformular für betroffene Personen (Artikel 6, 7 und 9) — Wird verwendet, um die Zustimmung zur Verarbeitung personenbezogener Daten einzuholen
• Vereinbarung zur Datenverarbeitung durch Lieferanten (Artikel 28, 32 und 82) — Legt die von Verarbeitern und anderen Lieferanten erforderlichen Datenschutzmaßnahmen fest
• DPIA-Register (Artikel 35) — Dokumentiert die Ergebnisse von DPIAs
• Verfahren zur Reaktion auf und Benachrichtigung bei Datenpannen (Artikel 4, 33 und 34) – Beschreibt die Verfahren, die vor, während und nach einer Datenpanne durchgeführt werden müssen
• Verzeichnis von Datenschutzverletzungen (Artikel 33) — Erfasst alle Datenschutzverletzungen
• Benachrichtigungsformular über Datenpannen an die Aufsichtsbehörde (Artikel 33) — Das Formular, das Sie verwenden, um die Aufsichtsbehörde über eine Datenpanne zu informieren
• Benachrichtigungsformular über Datenpannen an betroffene Personen (Artikel 34) — Das Formular, das Sie verwenden, um betroffene Personen über eine Verletzung ihrer privaten Informationen zu informieren
• Inventar der Verarbeitungstätigkeiten (Artikel 30) — Ein Inventar, das vom Verantwortlichen geführt werden muss
• Stellenbeschreibung des Datenschutzbeauftragten (Artikel 37, 38 und 39) — Beschreibt die Verantwortlichkeiten Ihres DPO (nur erforderlich, wenn Sie einen DPO haben müssen)

Erstellen und veröffentlichen Sie öffentliche Dokumente.

Die DSGVO verlangt von Organisationen, die folgenden Informationen in klarer, leicht verständlicher Sprache öffentlich zugänglich zu machen:

• Datenschutzrichtlinie
• Datenaufbewahrungsrichtlinie
• Bedingungen für die Datenübertragung in andere Länder
• Datenschutzrichtlinie
• Kontaktinformationen, einschließlich der Vorgehensweise zur Kontaktaufnahme mit Ihrem DPO, falls vorhanden
• Nutzungsbedingungen
• Zahlungsrichtlinie & Cookie-Richtlinie

9. Schulen Sie Ihre Mitarbeiter.

Die Schulung Ihrer Mitarbeiter ist eine grundlegende Regel der DSGVO-Konformität. Die Einhaltung der Vorschriften ist nicht nur eine IT-Angelegenheit. Sie benötigen eine umfassende Kommunikations- und Schulungsstrategie, die jeden aus jeder Ebene des Unternehmens einbezieht.

Außerdem sollte Training nicht als einmalige Angelegenheit betrachtet werden. Es sollte an der Spitze des Unternehmens beginnen, mit einem Fokus auf die Schaffung einer Kultur der Compliance. Online-Schulungen sollten durch spezifische, rollenbasierte Bildungsmaßnahmen ergänzt werden, die auf die Verantwortlichkeiten und Risikobereiche jeder Abteilung abzielen.

10. Führen Sie regelmäßig eine Lückenanalyse und Behebung durch.

A gap analysis will assess your current measures compared to compliance standards. It will give you a deeper understanding of the steps you need to take to implement the processes, controls and other measures required to ensure compliance.

Eine GDPR compliance checklist kann einen Anfangspunkt bieten. Eine andere Möglichkeit, Einblicke in Bereiche zu gewinnen, die in Ihrer Organisation möglicherweise nicht konform sind, besteht darin, zu überwachen, warum andere Unternehmen wegen Nichteinhaltung Geldstrafen erhalten.

Bußgelder für GDPR-Verstöße

Nichteinhaltung der DSGVO kann zu hohen Bußgeldern führen: bis zu 24,1 Millionen Dollar oder 4 Prozent des weltweiten Jahresumsatzes des Unternehmens, je nachdem, welcher Wert höher ist.

Es gibt sowohl mildernde als auch verschärfende Umstände, die die Höhe der Geldstrafe beeinflussen. Vorsätzliche Verstöße werden härter bestraft als fahrlässige. Die Meldung von Verstößen so schnell wie möglich und die Zusammenarbeit mit den Behörden sind mildernde Umstände. Schwerwiegendere Verstöße, wie solche, die die Rechte und die Einwilligung der betroffenen Personen betreffen, unterliegen höheren Geldstrafen.

Hier sind einige der bisher höchsten verhängten Geldstrafen:

• H&M Clothing— Dieses schwedische Unternehmen wurde mit einer Geldstrafe von 41 Millionen Dollar belegt, weil es Mitarbeiterbesprechungen aufgezeichnet und die Aufnahmen mehr als 50 Managern zugänglich gemacht hat. Die sensiblen Daten aus diesen Aufzeichnungen wurden verwendet, um die Leistung der Mitarbeiter zu bewerten und andere Personalentscheidungen zu treffen.
• Google— Google wurde mit einer Geldstrafe von 56,6 Millionen US-Dollar belegt wegen Verstößen im Zusammenhang damit, wie sie Datenschutzhinweise bereitstellten und wie sie die Zustimmung zur Verwendung persönlicher Daten für personalisierte Werbung und andere Datenverarbeitungen einholten. Diese Strafe hätte vermieden werden können, wenn Google mehr Informationen bereitgestellt und den betroffenen Personen mehr Kontrolle darüber gegeben hätte, wie ihre Informationen verwendet wurden. Googles Berufung war erfolglos.
• Amazon — Amazons Strafe von 877 Millionen Dollar ist die bisher höchste, um das Fünfzehnfache. Der Verstoß hing mit der Einwilligung zu Cookies zusammen, und es war nicht das erste Mal, dass Amazon dafür bestraft wurde, was wahrscheinlich einer der Gründe für die Höhe der Strafe war. Der beste Weg, um Strafen im Zusammenhang mit Cookies zu vermeiden, besteht darin, eine freiwillige, informierte und eindeutige Zustimmung zu erhalten, bevor irgendwelche Cookies auf dem Gerät eines Benutzers installiert werden.

Wie kann Netwrix helfen?

Mit Netwrix Lösungen können Sie GDPR compliance heute mit weniger Aufwand und Kosten erreichen, aufrechterhalten und nachweisen. Netwrix Produkte:

• Automatisieren Sie Änderungs-, Zugriffs- und Konfigurationsüberwachung.
• Stellen Sie eine genaue Entdeckung und Klassifizierung von regulierten Daten sicher.
• Stellen Sie handlungsrelevante Erkenntnisse für die Sicherheit Ihrer Daten und Infrastruktur bereit.
• Optimieren Sie data subject requests durch Automatisierung des Datensammlungsprozesses — ein entscheidender und ressourcenintensiver Schritt.

Häufig gestellte Fragen

1. Was wird für die Einhaltung der DSGVO benötigt?

Die DSGVO verlangt von Unternehmen, Maßnahmen zum Schutz der Privatsphäre der personenbezogenen Daten von EU-Bürgern zu ergreifen.

2. Wie weisen Sie nach, dass Sie DSGVO-konform sind?

Sie müssen spezifische Dokumente vorlegen, die belegen, dass Sie sich an die Datenschutzgrundsätze halten, bei Bedarf DPIAs durchführen, die notwendigen Arbeitsrollen zugewiesen haben, bereit sind, Sicherheitsverletzungen umgehend zu melden, und so weiter.