GDPR-Regeln, die jeder kennen sollte
Die GDPR-Regeln können für kleine und mittelständische Unternehmen ohne einen eigenen Juristen schwer zu verstehen sein. Aus diesem Grund haben wir eine einfache Übersicht erstellt, die unserer Meinung nach die wichtigsten Regeln in der GDPR abdeckt.
1. Behalten Sie den Überblick darüber, welche personenbezogenen Daten Sie verarbeiten.
Gemäß Artikel 30 der GDPR müssen alle, die personenbezogene Daten verarbeiten, die Verarbeitung in einem Protokoll, oft auch als verarbeitungsverzeichnis bezeichnet, dokumentieren. Es gibt eine Ausnahme von der Verpflichtung, für bestimmte Arten von Verarbeitungen bei Unternehmen mit weniger als 250 Mitarbeitern ein Protokoll zu führen. Diese Ausnahme ist jedoch eng begrenzt, und wir empfehlen dennoch allen, den Überblick darüber zu behalten, welche personenbezogenen Daten sie jederzeit verarbeiten.
2. Stellen Sie sicher, dass Sie Daten rechtmäßig verarbeiten.
Um personenbezogene Daten verarbeiten zu können, benötigen Sie eine Rechtsgrundlage oder eine rechtliche Grundlage. Artikel 6 der DSGVO definiert sechs gültige Verarbeitungsgründe, und einer von ihnen muss erfüllt sein, damit die Verarbeitung rechtmäßig ist. Einige gängige Verarbeitungsgründe sind "notwendig zur Erfüllung eines Vertrags", Einwilligung und berechtigtes Interesse.
3. Stellen Sie sicher, dass die Daten ausreichend gesichert sind.
Die Systeme, die personenbezogene Daten speichern und verarbeiten, müssen über gute Sicherheitsmechanismen verfügen. Unsere Erfahrung zeigt, dass die technische Sicherheit in der Regel gut ist und dies kein großes Problem darstellt. In der Praxis sind die meisten Probleme im Zusammenhang mit der Sicherung personenbezogener Daten mit der Zugangskontrolle verbunden, dh zu viele Personen haben zu viele Zugriffe. Achten Sie daher darauf, dass die Mitarbeiter nur Zugriff auf das haben, was sie für ihre Arbeit benötigen. Geben Sie niemals Zugriff, falls jemand in Zukunft darauf zugreifen müssen könnte. Eine der häufigsten Ursachen für Bußgelder der Datenschutzbehörden sind Unternehmen, die Personen ohne gültigen Grund kreditprüfen. In vielen dieser Fälle hat sich gezeigt, dass die Kreditprüfung von einem Mitarbeiter durchgeführt wurde, der auf eigene Faust die Systeme des Unternehmens genutzt hat, um seine Neugier zu befriedigen.
4. Informieren Sie die Benutzer über die von Ihnen durchgeführten Verarbeitungen
Alle registrierten Benutzer haben Anspruch auf Informationen darüber, wie ihre personenbezogenen Daten verarbeitet werden. Dies wird in einer Datenschutzerklärung mitgeteilt. Eine Datenschutzerklärung sollte alle Informationen darüber enthalten, welche personenbezogenen Daten Sie verarbeiten, welche Verarbeitungen Sie durchführen und zu welchem Zweck. Sie sollten auch angeben, welche Rechtsgrundlage Sie nutzen. Verwenden Sie gerne unsere datenschutzerklärungsvorlage als Ausgangspunkt für das Schreiben Ihrer eigenen.
5. Stellen Sie sicher, dass Sie die Kontrolle über Subunternehmer haben
Als Verantwortlicher für die Verarbeitung sind Sie dafür verantwortlich, dass personenbezogene Daten gemäß der Datenschutz-Grundverordnung verarbeitet werden. Die meisten Unternehmen nutzen viele Unterauftragnehmer, um personenbezogene Daten zu speichern und zu verarbeiten. Dies können Infrastrukturanbieter sein, die Server oder andere Infrastruktur liefern, oder Zahlungslösungen, E-Mail-Systeme, Analyse-Lösungen usw. Um die Kontrolle darüber zu haben, wie Ihre Unterauftragnehmer personenbezogene Daten in Ihrem Namen verarbeiten, benötigen Sie einen Auftragsverarbeitungsvertrag. Es ist wichtig, dass Sie diese Verträge lesen und verstehen, was darin steht, denn letztendlich ist es Ihr Unternehmen, das für die rechtmäßige Verarbeitung personenbezogener Daten verantwortlich ist.
6. Löschen Sie Daten, die Sie nicht nutzen
Unsere Erfahrung zeigt, dass viele Unternehmen bei Aufbewahrungsfristen und Löschverfahren nachlässig sind. Das ist aus verschiedenen Gründen gefährlich. Erstens ist es illegal, aber es birgt auch ein großes finanzielles Risiko für das Unternehmen. Wenn es zu einem Datenleck kommt und personenbezogene Daten offengelegt werden, wird die Strafe allein wegen der nicht gelöschten Daten höchstwahrscheinlich höher ausfallen. Die von einem Datenleck betroffenen Personen können auch Schadensersatzansprüche geltend machen, und dieses Risiko wird natürlich größer, wenn ein Unternehmen keine Daten von alten Kunden gelöscht hat.