So wird die neue Datenschutz-Grundverordnung bei Boxcryptor umgesetzt.
Andrea Pfundmeier, CEO und Co-Founder bei Boxcryptor
Andrea Pfundmeier | CEO
@A_Pfund
2018 M03 16, Fri

Umsetzung der DS-GVO bei Boxcryptor Teil 3: Interne Umsetzung und externe Datenschutzbeauftragte

Für Boxcryptor und alle anderen Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, gilt seit dem 25. Mai 2018 die neue Datenschutz-Grundverordnung. Das ist eine neue Verordnung der Europäischen Union, die den Umgang mit personenbezogenen Daten grundlegend neu regelt. Aufgrund dieser Gesetzesänderung ergeben sich für viele Unternehmen weitreichende Änderungen. Viele Umfragen zeigen, dass das Thema DS-GVO Sorgen bereitet verbreitet. Bei Boxcryptor haben wir uns dazu entschieden, die DS-GVO als Chance zu sehen. In einer mehrteiligen Artikelserie wird deshalb CEO Andrea Pfundmeier berichten, wie Sie die neue Europäische Datenschutz Grundverordnung bei Boxcryptor umsetzt.

Lesen Sie hier die vorangegangenen und weiteren Artikel der Serie:

DS-GVO selbst umsetzen oder Hilfe holen?

Wie die vorangegangenen Artikel unserer Serie zeigen, betrifft die Datenschutz Grundverordnung beinahe jeden Geschäftsbereich und alle Organisationsebenen. Den Überblick zu behalten ist dabei eine der wichtigsten Aufgaben, die ich als CEO für mich sehe. Das Thema DS-GVO Konformität komplett von einem Audit-Dienstleister abwickeln zu lassen, kommt für mich aus zwei Gründen nicht in Frage. Erstens bin am Ende doch ich, bzw. mein Geschäftspartner, für Fehler haftbar, sodass ich mich auch bei der Auslagerung der Aufgaben rund um die DS-GVO dennoch mit jedem Teilbereich befassen müsste. Dazu kommt, dass so ein externes Auditing für ein vergleichsweise junges und kleines Unternehmen wie uns ein enormer Kostenaufwand ist. Zweitens habe ich mich damit befasst, welches Knowhow bei uns im Unternehmen vorhanden ist. Natürlich haben wir als Anbieter für Verschlüsselungssoftware Experten rund um IT-Sicherheit an Board, was uns bei der Umsetzung mancher Anforderungen entgegenkommt. Als Wirtschaftsjuristin ist mir jedoch auch persönlich der Umgang mit Gesetzestexten vertraut. Die DS-GVO war für mich dadurch verständlich, weshalb ich mich tatsächlich mit dem Originaltext auseinandergesetzt habe. Auch die Aufbereitung der Informationen durch Branchenverbände, Fachjournalisten und Handelskammern sind sehr hilfreich. In meiner Wahrnehmung sind wir deshalb gut darauf vorbereitet einen Großteil der Themen, die durch die DS-GVO auf uns zukommen selbst zu bearbeiten. Übrigens: Bei einem gemeinsamen Vortrag zur DS-GVO wies mein Co-Sprecher Wolfgang Schmid darauf hin, dass die Informationen, die es in Bezug auf bestimmte Branchen, Tools und Unternehmensgrößen gibt, immer detaillierter werden, je länger man damit wartet, sich zu informieren. Da beinahe täglich hilfreiche Veröffentlichungen erscheinen. Das entspricht auch meiner Wahrnehmung. Vor allem die Branchenverbände habe ich als wertvolle Informationsquelle wahrgenommen.

Warum wir möglichst viele Anforderungen der DS-GVO selbst umsetzen

Ich habe mich dazu entschlossen, alle Prozesse, die durch die DS-GVO auf uns zukommen, selbst zu betreuen und alles soweit wie möglich intern abzuwickeln. Wir bilden dadurch ein umfassendes Knowhow, welches auch langfristig im Unternehmen bleibt. Denn auch wenn derzeit überall vom 25. Mai 2018 als Stichtag gesprochen wird, ist die Datenschutz Grundverordnung ja durchaus nichts, was danach in den Hintergrund tritt. Vielmehr müssen wir uns permanent fragen, ob alle Prozesse DS-GVO konform sind. Das geht natürlich am besten, wenn wir uns hier bei Boxcryptor auch gut mit DS-GVO-Konformität auskennen. Da Boxcryptor als geeignete „technische und organisatorische Maßnahme“ für den Schutz personenbezogener Daten (DS-GVO Art. 32) einzuordnen ist, sind wir für unsere Kunden ein wichtiger Baustein für DS-GVO Konformität. So ist es nur Verständlich, dass auch Fragen rund um die DS-GVO an uns herangetragen werden. Deshalb ist das Thema auch in der Kommunikation mit Boxcryptor Nutzern stets präsent. Mein persönliches Ziel ist es, die Datenschutz Grundverordnung als Teil der Unternehmenskultur zu etablieren – anstatt sie als lästiges Übel zu sehen. Denn wie eingangs erwähnt: Wir betrachten die DS-GVO als Chance.

Externen Rat einholen

Ich habe mir gezielt für bestimmte Themen einen Berater gesucht. Eine Anwaltskanzlei hier vor Ort hat uns dabei gute Dienste geleistet. Vor allem für „einmalige“ Themen war ich auf Unterstützung angewiesen. Konkret waren das die Prüfung und Überarbeitung der Datenschutzerklärung

  • Prüfung und Überarbeitung des Impressums auf unserer Webseite
  • Prüfung und Überarbeitung der Allgemeinen Geschäftsbedingungen (AGB)
  • Prüfung der Arbeitsverträge

Externe Datenschutzbeauftragte bestellen

Wir sind wir laut Art 37 DS-GVO dazu verpflichtet, einen externen Datenschutzbeauftragten zu bestellen. Dieser wird demnächst seine Arbeit bei uns aufnehmen. Nach einer Kontrolle der bisher erfolgten Datenschutzmaßnahmen wird unser Dienstleister uns als Unternehmen fortlaufend beraten und Schulungen durchführen, um das Bewusstsein für die Datenschutz Grundverordnung bei allen Mitarbeitern aufrecht zu erhalten. Darüber hinaus stellt der externe Datenschutzbeauftragte einerseits die Schnittstelle zur Aufsichtsbehörde dar, welche in unserem Fall die bayerische Landesdatenschutzbehörde ist. Andererseits wird er aber auch tätig, wenn Beschwerden von Kunden an uns als Unternehmen herangetragen werden, unterrichtet mich als Geschäftsführerin über den Sachverhalt und bereitet die Stellungnahme gegenüber dem Beschwerdeführer vor.

Zeitaufwand für die Umsetzung der DS-GVO bei Boxcryptor

Wie auch in den vorangegangenen Texten dieser Artikelserie berichte ich hier aus ganz persönlicher Sicht meinen Weg zur DS-GVO Konformität. Ich versuche deshalb bei der Zeitschätzung auch detaillierte Informationen zu geben, damit jeder Leser selbst beurteilen kann, ober er für sich selbst an manchen Punkten mehr oder weniger Aufwand schätzt. Ich habe mir folgende Zeiten notiert:

  • Recherche zur DS-GVO und Festlegen der Vorgehensweise: ca. 5 Arbeitstage
  • Dokumentation der Drittanbieter (Sammlung, Kontaktaufnahme, Rechtliche Dokumentation): ca. 5 Arbeitstage
  • Mitarbeiterinformation und Besprechungen: Laufend, ca. 3-5 Stunden/Monat für mich als CEO, den Zeitaufwand für die Mitarbeiter muss man dann je nach Teamgröße noch dazu rechnen
  • Rücksprache mit dem Anwalt, Aufbereitung der erforderlichen Dokumente, Implementierung der Änderungen: ca. 2 Arbeitstage
  • Technische Implementierung der veränderten Prozesse in den Abteilungen: 5-10 Arbeitstage für mich als CEO, den Zeitaufwand für die Mitarbeiter muss man dann je nach Teamgröße noch dazu rechnen

Somit komme ich persönlich bisher auf einen Zeitaufwand von 25 Arbeitstagen für die DS-GVO Konformität. 3-5 Stunden fallen vorraussichtlich ab sofort monatlich an.

Beitrag teilen

Holen Sie sich Ihr kostenloses Whitepaper über die DS-GVO

Sie möchten noch mehr darüber erfahren, welche Aspekte der DS-GVO besonders wichtig sind? Unser Whitepaper fasst alles Nötige verständlich und kurz zusammen. Ihr Unternehmen ist bereit für die Industrie 4.0 und Sie möchten voller Tatendrang die Chancen nutzen die sich Ihrem Unternehmen bieten? Dann holen Sie sich jetzt unser exklusives, kostenloses Whitepaper.

Durch Angabe meiner E-Mail-Adresse erkläre ich mich damit einverstanden, dass die Secomba GmbH mir Informationen per E-Mail zuschickt. Meine Einwilligung kann ich jederzeit widerrufen.