header GDPR journey part 6
Andrea Pfundmeier, CEO und Co-Founder bei Boxcryptor
Andrea Pfundmeier | CEO
@A_Pfund
2018 M06 7, Thu

Umsetzung der DS-GVO bei Boxcryptor Teil 6: Vor der DS-GVO ist nach der DS-GVO

Für Boxcryptor und alle anderen Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, gilt seit 25. Mai 2018 die neue Datenschutz-Grundverordnung. Das ist eine neue Verordnung der Europäischen Union, die den Umgang mit personenbezogenen Daten grundlegend neu regelt. Aufgrund dieser Gesetzesänderung ergeben sich für viele Unternehmen weitreichende Änderungen und Neustrukturierungen. Viele Umfragen zeigen, dass das Thema DS-GVO Angst und Schrecken verbreitet. Bei Boxcryptor haben wir uns dazu entschieden, die DS-GVO als Chance zu sehen. In einer mehrteiligen Artikelserie wird deshalb CEO Andrea Pfundmeier berichten, wie Sie die neue Europäische Datenschutz Grundverordnung bei Boxcryptor umsetzt.

Lesen Sie hier die vorangegangenen Artikel:

Teil 1 – Überblick verschaffen (Schritte 1-4) Teil 2 – Optimierung bestehender Prozesse (Schritte 5-8) Teil 3 – Interne Umsetzung und externe Datenschutzbeauftragte Teil 4 – Umgang mit Drittanbietern (Schritt 9) Teil 5 – So setzen wir Verschlüsselung bei Boxcryptor ein

Schritt 10 – Am Ball bleiben

Nun haben wir uns zwei Jahre lang auf den 25. Mai als Stichtag für das Inkrafttreten der Datenschutz Grundverordnung konzentriert. Jetzt geht es darum, auch künftig am Thema DS-GVO Konformität dranzubleiben. Es gibt bestimmte Bereiche der EU-Verordnung, die nicht so klar formuliert sind, wie man sich das eigentlich wünscht – als jemand, der für die Einhaltung der DS-GVO zuständig ist. Deshalb werden in der nächsten Zeit die ersten Gerichtsurteile erwartet, durch die dann klarer wird, wie bestimmte Datenschutzregeln im Detail gestaltet sein müssen. Während wir auf die Gerichtsurteile nur warten können, gibt es andere Teilbereiche, in den CEOs, Datenschutzbeauftragte (interne oder externe) und Mitarbeiter auch jetzt schon aktiv werden sollten.

Verfahrensverzeichnis

Achten Sie darauf, dass das Verfahrensverzeichnis immer aktuell ist. Das funktioniert gut, wenn man sich sofort Notizen macht, sobald ein neues Tool zum Einsatz kommt. Natürlich müssen auch die Mitarbeiter entsprechend geschult werden. Alternativ kann man sich einfach einen wiederkehrenden Termin in den Kalender setzen, und das Verfahrensverzeichnis regelmäßig, z.b. alle 2 Monate auf Aktualität prüfen.
Es ist zwingend notwendig, dass die Datenschutz Grundsätze der DS-GVO auch für Schnittstellen, Programme und Prozesse beachtet und eingehalten werden, die erst nach dem 25. Mai 2018 zum Einsatz kommen.

TOMs überprüfen

Nur weil eine technische Maßnahme am 25. Mai 2018 als „geeignet“ erschien, bedeutet das nicht, dass sie das ein halbes Jahr, zwei Jahre oder 5 Jahre danach immer noch ist. Im Gegenteil – bei vielen Diensten und Anwendungen dürfte das gerade nicht der Falls sein. Informationstechnologie ist ein schnelllebiger Bereich, Software selbst „verrottet“ jedoch, wie ein Programmierer es letztens recht anschaulich formulierte. Ständig gibt es Updates, Aktualisierungen, Neuentdeckungen und Änderungen. Es ist mühsam aber unerlässlich, dass darauf geachtet wird, alle Maßnahmen stets auf dem aktuellen Stand zu halten. Dabei ist es natürlich insbesondere wichtig, das Entwicklungsteam, also die IT-Abteilung bzw. Programmierer, mit ins Boot zu holen. Denn diese MitarbeiterInnen bekommen als erstes mit, wenn eine Technologie veraltet und sollten so eine Information dann direkt weitergeben.

Neue Mitarbeiter schulen

Als wachsendes Startup haben wir ständig neue Teammitglieder, die wir in das Unternehmen integrieren. Ich habe deshalb einen „Onboarding Prozess“ entwickelt, bei dem neue Mitarbeiter über alle wichtigen Themen informiert werden. Neben den Regeln zum Verhalten im Büro, dem Umgang mit Krankheiten und der Einteilung des Küchendienstes habe ich in diesen Prozess nun auch die Basisinformationen zum Umgang mit personenbezogenen Daten aufgenommen. Das – in Kombination mit den ohnehin stattfindenden Schulungen - bereitet unsere neuen Teammitglieder gut auf die Anforderungen der DS-GVO vor.

Kontrolle der Prozesse

Basierend auf dem Verfahrensverzeichnis, das ich in Schritt 1 erstellt habe, überprüfe ich in regelmäßigen Abständen alle Prozesse auf DS-GVO Konformität. Dabei achte ich auf folgende Aspekte • Wurde der Prozess seit der letzten Prüfung verändert? • Wurden neue Schritte in den Prozess aufgenommen, die neue Tools benötigen und ergibt sich daraus Handlungsnotwendigkeit im Sinne der Drittanbieterregelung? • Ist der Prozess weggefallen und kann deshalb aus dem Verfahrensverzeichnis gelöscht werden? • Sind alle beteiligen Mitarbeiter darüber informiert, wie der Prozess korrekt abzulaufen hat und halten sie sich auch daran?

Automatisierung

Möglicherweise haben Sie bereits festgestellt, dass einige Prozesse nun häufiger durchgeführt werden müssen als vor Inkrafttreten der DS-GVO. Als Beispiel möchte ich hier das Recht auf Datenlöschung nennen, das EU-Bürger seit dem 25. Mai 2018 haben. Sollte dieses Recht Ihnen, bzw. Ihrem Unternehmen gegenüber häufig geltend gemacht werden, dann ist jetzt der Moment, in dem über Automatisierung nachgedacht werden sollte. Wir haben bereits die notwendigen Vorarbeiten bzw. das „Vordenken“ für eine Automatisierung gemeinsam mit dem Entwicklungsteam durchgeführt. Ob und wann wir das aber dann tatsächlich umsetzen werden, hängt von der Anzahl der Anfragen ab.

Beitrag teilen

Holen Sie sich Ihr kostenloses Whitepaper über die DS-GVO

Sie möchten noch mehr darüber erfahren, welche Aspekte der DS-GVO besonders wichtig sind? Unser Whitepaper fasst alles Nötige verständlich und kurz zusammen. Ihr Unternehmen ist bereit für die Industrie 4.0 und Sie möchten voller Tatendrang die Chancen nutzen die sich Ihrem Unternehmen bieten? Dann holen Sie sich jetzt unser exklusives, kostenloses Whitepaper.

Durch Angabe meiner E-Mail-Adresse erkläre ich mich damit einverstanden, dass die Secomba GmbH mir Informationen per E-Mail zuschickt. Meine Einwilligung kann ich jederzeit widerrufen.