9 nützliche Tipps zur EU-Datenschutz-Grundverordnung

Seit dem 25. Mai 2018 ist jedes Unternehmen dazu verpflichtet, die EU-Datenschutz-Grundverordnung (EU-DSGVO) umgesetzt zu haben. 

Höchste Zeit also, so schnell wie möglich alle Erfordernisse für einen gesetzeskonformen Datenschutz umzusetzen. Ansonsten drohen Abmahnungen und im schlimmsten Fall drastische Bußgelder.

Die neue Datenschutz-Grundverordnung betrifft alle, die personenbezogene Daten verarbeiten. Und somit alle GaLaBau-Betriebe. Denn sie beschäftigen Mitarbeiter, speichern Kundeninformationen in einer Datenbank, stellen Bilder von Baustellen und Projekten auf ihre Webseite oder auf Facebook und erlauben ihren Mitarbeitern die private Nutzung von Firmenhandys. 

So können Sie einige wichtige Punkte anpacken:
 

Tipp 1: Klären Sie, ob Sie einen Datenschutzbeauftragten benennen müssen

Sie müssen einen Datenschutzbeauftragten benennen, wenn in Ihrem Unternehmen mindestens 10 Personen ständig mit personenbezogenen Daten arbeiten, z.B. in digitalen Kundendateien. Auch Personen, die an mobilen Arbeitsplätzen oder mit Smartphones arbeiten, müssen berücksichtigt werden.

Sie können selbst entscheiden, ob Sie einen externen Datenschutzbeauftragten benennen oder einen internen Mitarbeiter.
 

Tipp 2: Überprüfen Sie die Sicherheit Ihrer Büroräume

Sie sind dafür verantwortlich, dass die personenbezogenen Daten gegen unbefugten Zugriff und Verlust geschützt sind. Überprüfen Sie, ob Ihre Büroräume hinreichend gegen Einbruch geschützt sind und ob alle Schränke, in denen Personal- und Kundenakten aufbewahrt werden, abschließbar und nur für autorisierte Personen zugänglich sind.
 

Tipp 3: Überprüfen Sie die Sicherheit Ihres IT-Systems

Überprüfen Sie mit Unterstützung Ihres Hardwarebetreuers, ob Ihr IT-System hinreichend gegen unbefugten Zugriff und Datenverlust geschützt ist. Zum Beispiel benötigen Sie eine Firewall, aktuelle Virenscanner, eine regelmäßige Datensicherung und eine Absicherung gegen Stromausfall.
 

Tipp 4: Überprüfen Sie den Zugang zu personenbezogenen Daten im IT-System

Sorgen Sie dafür, dass beim Starten der Rechner für Windows persönliche Nutzerkonten eingerichtet und mit persönlichen Passwörtern geschützt sind. Bildschirm und Tastatur sollten nach einer gewissen Wartezeit automatisch gesperrt und erst nach erneuter Passworteingabe wieder freigegeben werden.

Sind im Dateisystem (z.B. Windows-Explorer) die Ordner mit personenbezogenen Kunden- oder Mitarbeiterdaten nur für die zuständigen Mitarbeiter zugänglich? Sperren Sie diese Verzeichnisse für alle anderen Mitarbeiter.

Sind genutzte Softwarelösungen bzw. deren Programmbereiche mit personenbezogenen Daten nur für zuständige Mitarbeiter zugänglich? Überprüfen Sie die persönlichen Nutzerkonten, Benutzerrechte und den Passwortschutz.
 

Tipp 5: Legen Sie Regeln für Passwörter fest

Häufig werden persönliche Passwörter jahrelang nicht geändert, sind anderen Mitarbeitern bekannt oder werden auf Notizzetteln direkt am Arbeitsplatz hinterlegt. Legen Sie schriftlich fest, in welchen Abständen die Passwörter geändert werden müssen und welche Regeln dafür gelten.

Hier finden Sie Tipps für sichere Passwörter.
 

Tipp 6: Verpflichten Sie Ihre Mitarbeiter schriftlich auf das Datengeheimnis

Das ist zwar keine verbindliche Vorschrift der EU-DSGVO, aber Sie können damit nachweisen, dass Sie Ihre Mitarbeiter informiert und angewiesen haben.

Hier können Sie eine aktuelle Vorlage herunterladen.
 

Tipp 7: Schließen Sie einen AV-Vertrag mit Ihren Soft- und Hardwarebetreuern ab

Dazu sind Sie verpflichtet, weil diese beim Online-Support oder Vor-Ort-Service Zugang zu Ihren personenbezogenen Daten, z.B. von Kunden oder Mitarbeitern erhalten könnten. Ein AV-Vertrag (Vereinbarung zur Verarbeitung von Daten im Auftrag) verpflichtet die Firmen, die in Ihrem Auftrag Ihre Daten verarbeiten, zur Einhaltung der EU-DSGVO. Prüfen Sie, ob Sie mit weiteren Dienstleistern zusammenarbeiten, die unter diese Regelung fallen (z.B. in den Bereichen Lohn- und Finanzbuchhaltung, Cloud-Dienste, Versand von Werbebriefen, Datenträgerentsorgung).

Hier erhalten Sie weitere Informationen rund um den AV-Vertrag.

 

Tipp 8: Erstellen Sie eine Liste mit allen Tätigkeiten, bei denen personenbezogene Daten verarbeitet werden

Laut EU-DSGVO müssen Sie eine Liste mit allen Tätigkeiten, bei denen personenbezogene Daten verarbeitet werden, erstellen und auf Anfrage der Aufsichtsbehörde vorlegen. Gut, wenn Sie darauf vorbereitet sind. Typische Tätigkeiten sind die Führung der Personalakten, Lohnabrechnung, Finanzbuchhaltung,  Arbeitszeiterfassung, Urlaubsdatei, Bewerbungsverfahren und die Kunden- bzw. Lieferantendatei.

Hier finden Sie Hinweise und eine Musterliste. Das Bayerische Landesamt für Datenschutzaufsicht stellt auf seiner Website ein Beispiel für das Verarbeitungsverzeichnis eines Handwerksbetriebes zur Verfügung.
 

Tipp 9: Kostenloser Online-Test zur EU-DSGVO

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) stellt einen kostenlosen Online-Test zur Verfügung „Weg zur DSGVO – Selbsteinschätzung“. Nach der Beantwortung von 28 Fragen rund um den Datenschutz erhalten Sie eine detaillierte Auswertung Ihrer Antworten und können festlegen, wo im Betrieb noch Anpassungsbedarf besteht.

Hier kommen Sie zum Online-Test.


Wichtiger Hinweis: Diese Tipps decken nur Teile der EU-DSGVO ab und ersetzen keine Rechtsberatung.

 

Teilen:

  

Mehr GaLaBau-Tipps?

Tipps abonnieren

Datenschutz für Ihre Website

Datenschutz für Ihre Website

Unsere 7 Sofortmaßnahmen helfen Ihnen dabei!

Zu den Maßnahmen

Das müssen Sie noch wissen!

Das müssen Sie noch wissen!

Ein AV-Vertrag mit Ihren Soft- und Hardwarebetreuern ist Pflicht!

Lesen Sie mehr