Was ist die Datenschutzgrundverordnung (DSGVO)?
Im Kern geht es bei der DSGVO um den Schutz der personenbezogenen Daten natürlicher Personen, d. h. um die Gewährleistung eines angemessenen Datenschutzes, Governance und Datenverwaltung, um zu verhindern, dass diese Daten missbraucht werden oder in die falschen Hände geraten. Damit Ihr Unternehmen personenbezogene Daten sowie sensible Inhalte, die für die Einhaltung der Unternehmensrichtlinien relevant sind, wirksam schützen kann, müssen Sie entsprechende Lösungen und Prozesse implementieren, mit denen Ihr Unternehmen die wesentlichen Daten erkennen, klassifizieren, schützen und überwachen kann.
Die DSGVO betrifft die folgenden Arten von Daten:
- Personenbezogene Daten: Wenn sich Daten mit einer natürlichen Person in Verbindung bringen lassen, sodass diese identifizierbar ist, dann gelten diese Daten im Sinne der DSGVO als personenbezogen. Beispiele für personenbezogene Daten sind Namen, Adressen, Geburtsdaten, IP-Adressen, Handynummern, Bankverbindungen/Kontonummern usw. Die DSGVO betrachtet sogar verschlüsselte Informationen (auch bekannt als pseudonymisierte Informationen) als personenbezogene Daten, unabhängig davon, wie intransparent oder technologisch die Daten sind, wenn die Daten mit einer Person in Verbindung gebracht werden können.
- Sensible personenbezogene Daten: Dies sind Daten, die nähere Angaben zu personenbezogenen Daten enthalten. Beispiele dafür sind Religion, Gewerkschaftszugehörigkeit, ethnische Herkunft usw. Zu den sensiblen Daten gehören auch biometrische Daten und die DNA. Nach der DSGVO gelten für sensible Daten strengere Schutzvorschriften als für personenbezogene Daten.
Die Datenschutzgrundverordnung ist seit dem 25. Mai 2018 in Kraft. Unabhängig davon, wo Ihr Unternehmen seinen Sitz hat (EU oder nicht), müssen Sie die DSGVO einhalten, wenn Sie mit personenbezogenen Daten (Personally Identifiable Information PII) von EU-Bürgern arbeiten. In jedem EU-Land kann eine dafür benannte Behörde entscheiden, ob in ihrer Region ein Verstoß gegen die DSGVO-Vorschriften vorliegt und wie hoch die Geldbußen und Strafen ausfallen werden. Geldstrafen sollen wirksam, verhältnismäßig und abschreckend sein. Bußgelder und Strafen gemäß der DSGVO können bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres betragen, je nachdem, welcher Betrag höher ist.
Folglich ist die Einhaltung der DSGVO für jedes Unternehmen, das mit personenbezogenen Daten von EU-Bürgern arbeitet, von großer Bedeutung.
In 7 Schritten auf die DSGVO vorbereiten
- Schritt 1: Überprüfen Sie die von Ihnen erfassten personenbezogenen Daten und Ihr Datenerfassungsverfahren, den Zweck, zu dem Sie dies tun und auf welcher Rechtsgrundlage.
- Schritt 2: Informieren Sie Ihre Kunden, Mitarbeiter und andere Personen, wenn Sie deren personenbezogene Daten erfassen
- Schritt 3: Bewahren Sie PII-Daten nur so lange wie nötig auf
- Schritt 4: Schützen Sie die erfassten PII-Daten
- Schritt 5: Führen und pflegen Sie eine Dokumentation über Ihre Datenverarbeitungsaktivitäten
- Schritt 6: Stellen Sie sicher, dass Ihre Unterauftragnehmer die Richtlinien einhalten
- Schritt 7: Beaufsichtigen Sie den Schutz von PII-Daten
- Schlussfolgerung
Im Folgenden stellen wir Ihnen 7 Schritte vor, um DSGVO-konform zu werden. Die hier vorgestellten Tools und Ressourcen helfen Ihnen bei der Verwaltung und dem Schutz Ihrer PII-Daten, sind aber keine Garantie für die Einhaltung der DSGVO. Es liegt an Ihnen, Ihren eigenen Compliance-Status zu bewerten. Wenden Sie sich dafür an Ihren Rechtsberater oder an unsere professionellen Berater.
Als Einstieg in die DSGVO sollten Sie darauf achten, dass Sie bei der Erhebung personenbezogener Daten die folgenden Grundprinzipien beachten:
- Erfassen Sie personenbezogene Daten für einen klar definierten Zweck und verwenden Sie sie ausschließlich dafür. Wenn Sie etwa Ihre Kunden auffordern, Ihnen ihre E-Mail-Adressen mitzuteilen, um ihnen neuen Angebote oder Werbung zu unterbreiten, dürfen Sie ihre E-Mail-Adressen nur für diesen speziellen Zweck verwenden.
- Sammeln Sie nur so viele Daten, wie Sie benötigen. Wenn Ihr Betrieb beispielsweise eine Postanschrift benötigt, um Waren auszuliefern, dann benötigen Sie die Adresse und den Namen des Kunden, aber nicht den Familienstand der Person.
Schritt 1: Überprüfen Sie die von Ihnen erfassten personenbezogenen Daten und Ihr Datenerfassungsverfahren, den Zweck, zu dem Sie dies tun und auf welcher Rechtsgrundlage.
Einer der ersten Schritte, die Sie unternehmen sollten, ist eine Bestandsaufnahme der personenbezogenen Daten, die Sie in Ihrem Unternehmen erheben und verwenden, und der Gründe, für die diese Daten benötigt werden. Dazu gehören auch Daten über Ihre Mitarbeiter und Ihre Kunden.
Beispielsweise benötigen Sie die personenbezogenen Daten Ihres Mitarbeiters auf der Grundlage des Arbeitsvertrags und aus rechtlichen Gründen (z. B. für die Meldung von Steuern an die Steuerbehörde).
Oder Sie können Listen mit einzelnen Kunden verwalten, um ihnen Benachrichtigungen über Sonderangebote zu schicken, wenn diese dem zugestimmt haben.
Welches Microsoft-365-Tool hilft Ihnen dabei, sensible Informationen zu entdecken, zu klassifizieren und zu schützen?
Mittels Microsoft Purview Information Protection können Sie sensible Informationen in Ihrem Unternehmen entdecken, klassifizieren und schützen. Anhand trainierbarer Klassifizierer lassen sich Dokumententypen, die personenbezogene Daten enthalten, identifizieren und kennzeichnen. Klassifizierer sind ein Feature von Microsoft 365 E5 und E5 Compliance. Sie erfahren mehr über trainierbare Klassifizierer bei Microsoft oder wenden sich an einen unserer Berater.
Schritt 2: Informieren Sie Ihre Kunden, Mitarbeiter und andere Personen, wenn Sie deren personenbezogene Daten erfassen
Betroffene Personen müssen wissen, dass Sie ihre personenbezogenen Daten verarbeiten und zu welchem Zweck. Allerdings besteht keine Notwendigkeit, Personen zu informieren, wenn diese bereits wissen, wie Sie die Daten verwenden werden, z. B. wenn ein Kunde Sie um eine Lieferung nach Hause bittet.
Darüber hinaus müssen Sie Personen auf Anfrage über die von Ihnen gespeicherten personenbezogenen Daten informieren und ihnen Zugang zu diesen Daten gewähren. Achten Sie also darauf, dass Ihre Daten in Ordnung sind, sodass Sie, wenn Sie z. B. von einem Mitarbeiter gefragt werden, welche persönlichen Daten Sie gespeichert haben, diese leicht und ohne zusätzlichen Aufwand bereitstellen können.
Schritt 3: Bewahren Sie PII-Daten nur so lange wie nötig auf
Mitarbeiterdaten: Bewahren Sie sie auf, solange das Arbeitsverhältnis besteht und zur Erfüllung der damit verbundenen gesetzlichen Verpflichtungen.
Kundendaten: Bewahren Sie sie auf, solange die Kundenbeziehung anhält und für damit verbundene gesetzliche Verpflichtungen (z. B. Steuerzwecke).
Löschen Sie die Daten, wenn sie für die Zwecke, für die Sie sie erhoben haben, nicht mehr benötigt werden!
Welches Microsoft-365-Tool hilft Ihnen bei der Erstellung von Aufbewahrungsrichtlinien und Bezeichnungen für persönliche Daten?
Aufbewahrungsrichtlinien und Bezeichnungen können Ihnen dabei helfen, personenbezogene Daten für eine bestimmte Zeit aufzubewahren und sie zu löschen, wenn sie nicht mehr benötigt werden. Dazu später mehr, doch wenn Sie mehr erfahren möchten, lesen Sie bitte diesen Microsoft-Artikel über Aufbewahrungsrichtlinien und Aufbewahrungsbezeichnungen.
Schritt 4: Schützen Sie die erfassten PII-Daten
Wenn Sie personenbezogene Daten auf einem IT-System speichern, schränken Sie den Zugriff auf die entsprechenden Dateien ein, z. B. durch ein starkes Passwort. Aktualisieren Sie regelmäßig die Sicherheitseinstellungen Ihres Systems.
Wenn Sie physische Dokumente mit personenbezogenen Daten aufbewahren, stellen Sie sicher, dass diese nicht von Unbefugten eingesehen werden können. Schließen Sie sie in einen Safe oder einen Schrank ein.
Mit welchem Microsoft-365-Tool lassen sich personenbezogene Daten speichern?
Wenn Sie sich dafür entscheiden, personenbezogene Daten in der Cloud zu speichern, etwa über Microsoft 365, stehen Ihnen Sicherheitsfunktionen wie die Verwaltung von Berechtigungen für Dateien und Ordner, zentralisierte sichere Speicherorte für Ihre Dateien (OneDrive oder SharePoint Online) und Datenverschlüsselung beim Senden oder Abrufen Ihrer Dateien zur Verfügung.
Sie können zudem Compliance-Funktionen nutzen, um die sensiblen Daten Ihres Unternehmens zu schützen. Mit dem Compliance Manager können Sie direkt beginnen! So können Sie beispielsweise eine DLP-Richtlinie erstellen, die die DSGVO-Vorlage verwendet.
Schritt 5: Führen und pflegen Sie eine Dokumentation über Ihre Datenverarbeitungsaktivitäten
Erstellen Sie ein Dokument, in dem Sie erklären, welche personenbezogenen Daten Sie besitzen und aus welchen Gründen. Gegebenenfalls müssen Sie diese Unterlagen Ihrer nationalen Datenschutzbehörde auf Verlangen zur Verfügung stellen.
Ein solches Dokument sollte z. B. die folgenden Informationen enthalten
Informationen | Beispiele |
Zweck der Datenverarbeitung | Benachrichtigung der Kunden über Sonderangebote / Hauszustellung; Bezahlung von Lieferanten; Gehalt und soziale Absicherung der Mitarbeiter |
Arten personenbezogener Daten | Kontaktdaten von Kunden, Kontaktdaten von Lieferanten, Daten von Mitarbeitern |
Kategorien betroffener Personen | Mitarbeiter; Kunden; Lieferanten |
Kategorien von Empfängern | Arbeitsbehörden; Steuerbehörden |
Aufbewahrungsfristen | Personenbezogene Daten von Mitarbeitern bis zur Beendigung des Arbeitsvertrags (und der damit verbundenen rechtlichen Verpflichtungen); personenbezogene Daten von Kunden bis zur Beendigung der Kunden-/Vertragsbeziehung |
Technische und organisatorische Sicherheitsmaßnahmen zum Schutz personenbezogener Daten | IT-Systemlösungen regelmäßig aktualisiert; abgeschlossener Schrank/Safe |
Ob personenbezogene Daten an Empfänger außerhalb der EU übermittelt werden | Nutzung eines Auftragsverarbeiters außerhalb der EU (z. B. für die Speicherung in der Cloud) |
Welches Microsoft-365-Tool hilft Ihnen bei Ihren Datenschutzaktivitäten?
Das Microsoft Online Services Data Protection Addendum, das die Datenschutz- und Sicherheitsverpflichtungen von Microsoft, die Datenverarbeitungsbedingungen und die DSGVO-Bedingungen für von Microsoft gehostete Dienste enthält, die Kunden im Rahmen eines Volumenlizenzvertrags abonnieren.
Schritt 6: Stellen Sie sicher, dass Ihre Unterauftragnehmer die Richtlinien einhalten
Wenn Sie einen Unterauftragnehmer für die Verarbeitung von PII-Daten eines anderen Unternehmens einsetzen, verwenden Sie nur solche Dienstleister, die garantieren, dass die Verarbeitung in Übereinstimmung mit den Anforderungen der DSGVO erfolgt (z. B. Sicherheitsmaßnahmen). Bevor Sie einen Vertrag unterschreiben, sollten Sie prüfen, ob der Provider bereits die DSGVO umgesetzt hat. Schreiben Sie es in den Vertrag.
Schritt 7: Beaufsichtigen Sie den Schutz von PII-Daten
Um personenbezogene Daten besser zu schützen, müssen Organisationen möglicherweise einen Datenschutzbeauftragten (DSB) ernennen. Wenn die Verarbeitung personenbezogener Daten jedoch nicht zu den Kernaufgaben Ihres Unternehmens gehört oder Ihr Unternehmen klein ist, können Sie auf die Ernennung eines Datenschutzbeauftragten gegebenenfalls verzichten. Falls Ihr Unternehmen beispielsweise nur Kundendaten für die Postzustellung erfasst, sollten Sie eigentlich keinen Datenschutzbeauftragten bestellen müssen. Falls Sie einen Datenschutzbeauftragten benötigen, können diese Aufgaben auch von einem bestehenden Mitarbeiter zusätzlich zu dessen anderen Aufgaben übernommen werden. Bei Bedarf können Sie auch einen externen Berater mit dieser Aufgabe betrauen.
In der Regel müssen Sie keine Datenschutz-Folgenabschätzung durchführen. Dies ist Unternehmen vorbehalten, die ein höheres Risiko in Bezug auf personenbezogene Daten bergen (z. B. wenn sie in großem Umfang einen öffentlichen Bereich überwachen, wie etwa bei der Videoüberwachung).
Als kleines Unternehmen, das die Löhne seiner Mitarbeiter und eine Liste von Kunden verwaltet, ist normalerweise keine Datenschutz-Folgenabschätzung erforderlich.
Schlussfolgerung
Wenn Ihr Unternehmen mit personenbezogenen Daten (PII) zu tun hat und Sie einen schlechten Ruf, mangelndes Kundenvertrauen und Strafen vermeiden wollen, dann sollten Sie etwas Zeit und Mühe in die Einhaltung der Datenschutzgrundverordnung investieren. Falls Sie hierfür einen vertrauensvollen Partner suchen, der Sie auf diesem Weg von Anfang bis Ende begleitet, wenden Sie sich bitte an Impactory. Wir helfen Ihnen!
Zusätzliche Quellen
- Sie möchten wissen, ob SharePoint für Sie geeignet ist? Lesen Sie unsere Expertenmeinung
- Sie migrieren zu SharePoint Online? Hilfreiche Tipps finden Sie in unserem ausführlichen Blogbeitrag.
- Einstieg in die SharePoint- (und Intranet-) Integration: Werfen Sie einen Blick auf unsere Prozess-Infografik.
blog
Neues von Impactory
Informieren Sie sich über das Neueste aus unserem Unternehmen und bleiben Sie auf dem neuesten Stand mit allem Wissenswerten über unsere intelligenten Lösungen und Dienstleistungen aus der vielfältigen Microsoft-Office-Welt.
IMPACTORY
Ihr zuverlässiger und performancestarker Partner
Bei uns erhalten Sie ein breites Service- und Beratungsangebot rund um Planung, Einführung und Umsetzung von SharePoint, Microsoft 365 oder Hybrid-Anwendungen. Profitieren Sie dabei von unserer langjährigen Branchenerfahrung