Umsetzung der DSGVO bei Boxcryptor Teil 3: Interne Umsetzung und externe Datenschutzbeauftragte
Für Boxcryptor und alle anderen Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, gilt seit dem 25. Mai 2018 die neue Datenschutz-Grundverordnung. Das ist eine neue Verordnung der Europäischen Union, die den Umgang mit personenbezogenen Daten grundlegend neu regelt.
Aufgrund dieser Gesetzesänderung ergeben sich für viele Unternehmen weitreichende Änderungen. Viele Umfragen zeigen, dass das Thema DSGVO Sorgen bereitet verbreitet.
Bei Boxcryptor haben wir uns dazu entschieden, die DSGVO als Chance zu sehen. In einer mehrteiligen Artikelserie wird deshalb CEO Andrea Pfundmeier berichten, wie Sie die neue Europäische Datenschutz Grundverordnung bei Boxcryptor umsetzt.
Lesen Sie hier die vorangegangenen und weiteren Artikel der Serie:
- Teil 1 – Überblick verschaffen (Schritte 1-4)
- Teil 2 – Optimierung bestehender Prozesse (Schritte 5-8)
- Teil 4 - Drittanbieter (Schritt 9)
- Teil 5 - Verschlüsselung
- Teil 6 - Vor der DSGVO ist nach der DSGVO
DSGVO selbst umsetzen oder Hilfe holen?
Wie die vorangegangenen Artikel unserer Serie zeigen, betrifft die Datenschutz Grundverordnung beinahe jeden Geschäftsbereich und alle Organisationsebenen. Den Überblick zu behalten ist dabei eine der wichtigsten Aufgaben, die ich als CEO für mich sehe.
Das Thema DSGVO Konformität komplett von einem Audit-Dienstleister abwickeln zu lassen, kommt für mich aus zwei Gründen nicht in Frage.
Erstens bin am Ende doch ich, bzw. mein Geschäftspartner, für Fehler haftbar, sodass ich mich auch bei der Auslagerung der Aufgaben rund um die DSGVO dennoch mit jedem Teilbereich befassen müsste. Dazu kommt, dass so ein externes Auditing für ein vergleichsweise junges und kleines Unternehmen wie uns ein enormer Kostenaufwand ist.
Zweitens habe ich mich damit befasst, welches Knowhow bei uns im Unternehmen vorhanden ist. Natürlich haben wir als Anbieter für Verschlüsselungssoftware Experten rund um IT-Sicherheit an Board, was uns bei der Umsetzung mancher Anforderungen entgegenkommt. Als Wirtschaftsjuristin ist mir jedoch auch persönlich der Umgang mit Gesetzestexten vertraut. Die DSGVO war für mich dadurch verständlich, weshalb ich mich tatsächlich mit dem Originaltext auseinandergesetzt habe.
Auch die Aufbereitung der Informationen durch Branchenverbände, Fachjournalisten und Handelskammern sind sehr hilfreich. In meiner Wahrnehmung sind wir deshalb gut darauf vorbereitet einen Großteil der Themen, die durch die DSGVO auf uns zukommen selbst zu bearbeiten.
Übrigens: Bei einem gemeinsamen Vortrag zur DSGVO wies mein Co-Sprecher Wolfgang Schmid darauf hin, dass die Informationen, die es in Bezug auf bestimmte Branchen, Tools und Unternehmensgrößen gibt, immer detaillierter werden, je länger man damit wartet, sich zu informieren. Da beinahe täglich hilfreiche Veröffentlichungen erscheinen. Das entspricht auch meiner Wahrnehmung. Vor allem die Branchenverbände habe ich als wertvolle Informationsquelle wahrgenommen.
Warum wir möglichst viele Anforderungen der DSGVO selbst umsetzen
Ich habe mich dazu entschlossen, alle Prozesse, die durch die DSGVO auf uns zukommen, selbst zu betreuen und alles soweit wie möglich intern abzuwickeln.
Wir bilden dadurch ein umfassendes Knowhow, welches auch langfristig im Unternehmen bleibt. Denn auch wenn derzeit überall vom 25. Mai 2018 als Stichtag gesprochen wird, ist die Datenschutz Grundverordnung ja durchaus nichts, was danach in den Hintergrund tritt. Vielmehr müssen wir uns permanent fragen, ob alle Prozesse DSGVO-konform sind. Das geht natürlich am besten, wenn wir uns hier bei Boxcryptor auch gut mit DSGVO-Konformität auskennen.
Da Boxcryptor als geeignete „technische und organisatorische Maßnahme“ für den Schutz personenbezogener Daten (DSGVO Art. 32) einzuordnen ist, sind wir für unsere Kunden ein wichtiger Baustein für DSGVO Konformität. So ist es nur Verständlich, dass auch Fragen rund um die DSGVO an uns herangetragen werden. Deshalb ist das Thema auch in der Kommunikation mit Boxcryptor Nutzern stets präsent.
Mein persönliches Ziel ist es, die Datenschutz Grundverordnung als Teil der Unternehmenskultur zu etablieren – anstatt sie als lästiges Übel zu sehen. Denn wie eingangs erwähnt: Wir betrachten die DSGVO als Chance.
Externen Rat einholen
Ich habe mir gezielt für bestimmte Themen einen Berater gesucht. Eine Anwaltskanzlei hier vor Ort hat uns dabei gute Dienste geleistet. Vor allem für „einmalige“ Themen war ich auf Unterstützung angewiesen. Konkret waren das die
Prüfung und Überarbeitung der Datenschutzerklärung
- Prüfung und Überarbeitung des Impressums auf unserer Webseite
- Prüfung und Überarbeitung der Allgemeinen Geschäftsbedingungen (AGB)
- Prüfung der Arbeitsverträge
Externe Datenschutzbeauftragte bestellen
Wir sind wir laut Art 37 DSGVO dazu verpflichtet, einen externen Datenschutzbeauftragten zu bestellen. Dieser wird demnächst seine Arbeit bei uns aufnehmen. Nach einer Kontrolle der bisher erfolgten Datenschutzmaßnahmen wird unser Dienstleister uns als Unternehmen fortlaufend beraten und Schulungen durchführen, um das Bewusstsein für die Datenschutz Grundverordnung bei allen Mitarbeitern aufrecht zu erhalten.
Darüber hinaus stellt der externe Datenschutzbeauftragte einerseits die Schnittstelle zur Aufsichtsbehörde dar, welche in unserem Fall die bayerische Landesdatenschutzbehörde ist. Andererseits wird er aber auch tätig, wenn Beschwerden von Kunden an uns als Unternehmen herangetragen werden, unterrichtet mich als Geschäftsführerin über den Sachverhalt und bereitet die Stellungnahme gegenüber dem Beschwerdeführer vor.
Zeitaufwand für die Umsetzung der DSGVO bei Boxcryptor
Wie auch in den vorangegangenen Texten dieser Artikelserie berichte ich hier aus ganz persönlicher Sicht meinen Weg zur DSGVO-Konformität. Ich versuche deshalb bei der Zeitschätzung auch detaillierte Informationen zu geben, damit jeder Leser selbst beurteilen kann, ober er für sich selbst an manchen Punkten mehr oder weniger Aufwand schätzt.
Ich habe mir folgende Zeiten notiert:
- Recherche zur DSGVO und Festlegen der Vorgehensweise: ca. 5 Arbeitstage
- Dokumentation der Drittanbieter (Sammlung, Kontaktaufnahme, Rechtliche Dokumentation): ca. 5 Arbeitstage
- Mitarbeiterinformation und Besprechungen: Laufend, ca. 3-5 Stunden/Monat für mich als CEO, den Zeitaufwand für die Mitarbeiter muss man dann je nach Teamgröße noch dazu rechnen
- Rücksprache mit dem Anwalt, Aufbereitung der erforderlichen Dokumente, Implementierung der Änderungen: ca. 2 Arbeitstage
- Technische Implementierung der veränderten Prozesse in den Abteilungen: 5-10 Arbeitstage für mich als CEO, den Zeitaufwand für die Mitarbeiter muss man dann je nach Teamgröße noch dazu rechnen
Somit komme ich persönlich bisher auf einen Zeitaufwand von 25 Arbeitstagen für die DSGVO-Konformität. 3-5 Stunden fallen vorraussichtlich ab sofort monatlich an.