Wir freuen uns Ihnen mitzuteilen, dass wir gemeinsam mit Dropbox, Inc. ein neues Kapitel aufschlagen werden. Dropbox erwirbt unsere IP-Technologie, um sie nativ in das Dropbox-Produkt einzubetten und damit Millionen von Geschäftskunden weltweit Ende-zu-Ende-Verschlüsselung mit Zero Knowledge bieten zu können. In unserem Blog erfahren Sie mehr!

So wird die neue Datenschutz-Grundverordnung bei Boxcryptor umgesetzt.
Andrea

Andrea Pfundmeier | CEO

@A_Pfund

Umsetzung der DSGVO bei Boxcryptor Teil 3: Interne Umsetzung und externe Datenschutzbeauftragte

Für Boxcryptor und alle anderen Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, gilt seit dem 25. Mai 2018 die neue Datenschutz-Grundverordnung. Das ist eine neue Verordnung der Europäischen Union, die den Umgang mit personenbezogenen Daten grundlegend neu regelt.
Aufgrund dieser Gesetzesänderung ergeben sich für viele Unternehmen weitreichende Änderungen. Viele Umfragen zeigen, dass das Thema DSGVO Sorgen bereitet verbreitet.
Bei Boxcryptor haben wir uns dazu entschieden, die DSGVO als Chance zu sehen. In einer mehrteiligen Artikelserie wird deshalb CEO Andrea Pfundmeier berichten, wie Sie die neue Europäische Datenschutz Grundverordnung bei Boxcryptor umsetzt.

Lesen Sie hier die vorangegangenen und weiteren Artikel der Serie:

DSGVO selbst umsetzen oder Hilfe holen?

Wie die vorangegangenen Artikel unserer Serie zeigen, betrifft die Datenschutz Grundverordnung beinahe jeden Geschäftsbereich und alle Organisationsebenen. Den Überblick zu behalten ist dabei eine der wichtigsten Aufgaben, die ich als CEO für mich sehe.
Das Thema DSGVO Konformität komplett von einem Audit-Dienstleister abwickeln zu lassen, kommt für mich aus zwei Gründen nicht in Frage.
Erstens bin am Ende doch ich, bzw. mein Geschäftspartner, für Fehler haftbar, sodass ich mich auch bei der Auslagerung der Aufgaben rund um die DSGVO dennoch mit jedem Teilbereich befassen müsste. Dazu kommt, dass so ein externes Auditing für ein vergleichsweise junges und kleines Unternehmen wie uns ein enormer Kostenaufwand ist.
Zweitens habe ich mich damit befasst, welches Knowhow bei uns im Unternehmen vorhanden ist. Natürlich haben wir als Anbieter für Verschlüsselungssoftware Experten rund um IT-Sicherheit an Board, was uns bei der Umsetzung mancher Anforderungen entgegenkommt. Als Wirtschaftsjuristin ist mir jedoch auch persönlich der Umgang mit Gesetzestexten vertraut. Die DSGVO war für mich dadurch verständlich, weshalb ich mich tatsächlich mit dem Originaltext auseinandergesetzt habe.
Auch die Aufbereitung der Informationen durch Branchenverbände, Fachjournalisten und Handelskammern sind sehr hilfreich. In meiner Wahrnehmung sind wir deshalb gut darauf vorbereitet einen Großteil der Themen, die durch die DSGVO auf uns zukommen selbst zu bearbeiten.
Übrigens: Bei einem gemeinsamen Vortrag zur DSGVO wies mein Co-Sprecher Wolfgang Schmid darauf hin, dass die Informationen, die es in Bezug auf bestimmte Branchen, Tools und Unternehmensgrößen gibt, immer detaillierter werden, je länger man damit wartet, sich zu informieren. Da beinahe täglich hilfreiche Veröffentlichungen erscheinen. Das entspricht auch meiner Wahrnehmung. Vor allem die Branchenverbände habe ich als wertvolle Informationsquelle wahrgenommen.

Warum wir möglichst viele Anforderungen der DSGVO selbst umsetzen

Ich habe mich dazu entschlossen, alle Prozesse, die durch die DSGVO auf uns zukommen, selbst zu betreuen und alles soweit wie möglich intern abzuwickeln.
Wir bilden dadurch ein umfassendes Knowhow, welches auch langfristig im Unternehmen bleibt. Denn auch wenn derzeit überall vom 25. Mai 2018 als Stichtag gesprochen wird, ist die Datenschutz Grundverordnung ja durchaus nichts, was danach in den Hintergrund tritt. Vielmehr müssen wir uns permanent fragen, ob alle Prozesse DSGVO-konform sind. Das geht natürlich am besten, wenn wir uns hier bei Boxcryptor auch gut mit DSGVO-Konformität auskennen.
Da Boxcryptor als geeignete „technische und organisatorische Maßnahme“ für den Schutz personenbezogener Daten (DSGVO Art. 32) einzuordnen ist, sind wir für unsere Kunden ein wichtiger Baustein für DSGVO Konformität. So ist es nur Verständlich, dass auch Fragen rund um die DSGVO an uns herangetragen werden. Deshalb ist das Thema auch in der Kommunikation mit Boxcryptor Nutzern stets präsent.
Mein persönliches Ziel ist es, die Datenschutz Grundverordnung als Teil der Unternehmenskultur zu etablieren – anstatt sie als lästiges Übel zu sehen. Denn wie eingangs erwähnt: Wir betrachten die DSGVO als Chance.

Externen Rat einholen

Ich habe mir gezielt für bestimmte Themen einen Berater gesucht. Eine Anwaltskanzlei hier vor Ort hat uns dabei gute Dienste geleistet. Vor allem für „einmalige“ Themen war ich auf Unterstützung angewiesen. Konkret waren das die
Prüfung und Überarbeitung der Datenschutzerklärung

  • Prüfung und Überarbeitung des Impressums auf unserer Webseite
  • Prüfung und Überarbeitung der Allgemeinen Geschäftsbedingungen (AGB)
  • Prüfung der Arbeitsverträge

Externe Datenschutzbeauftragte bestellen

Wir sind wir laut Art 37 DSGVO dazu verpflichtet, einen externen Datenschutzbeauftragten zu bestellen. Dieser wird demnächst seine Arbeit bei uns aufnehmen. Nach einer Kontrolle der bisher erfolgten Datenschutzmaßnahmen wird unser Dienstleister uns als Unternehmen fortlaufend beraten und Schulungen durchführen, um das Bewusstsein für die Datenschutz Grundverordnung bei allen Mitarbeitern aufrecht zu erhalten.
Darüber hinaus stellt der externe Datenschutzbeauftragte einerseits die Schnittstelle zur Aufsichtsbehörde dar, welche in unserem Fall die bayerische Landesdatenschutzbehörde ist. Andererseits wird er aber auch tätig, wenn Beschwerden von Kunden an uns als Unternehmen herangetragen werden, unterrichtet mich als Geschäftsführerin über den Sachverhalt und bereitet die Stellungnahme gegenüber dem Beschwerdeführer vor.

Zeitaufwand für die Umsetzung der DSGVO bei Boxcryptor

Wie auch in den vorangegangenen Texten dieser Artikelserie berichte ich hier aus ganz persönlicher Sicht meinen Weg zur DSGVO-Konformität. Ich versuche deshalb bei der Zeitschätzung auch detaillierte Informationen zu geben, damit jeder Leser selbst beurteilen kann, ober er für sich selbst an manchen Punkten mehr oder weniger Aufwand schätzt.
Ich habe mir folgende Zeiten notiert:

  • Recherche zur DSGVO und Festlegen der Vorgehensweise: ca. 5 Arbeitstage
  • Dokumentation der Drittanbieter (Sammlung, Kontaktaufnahme, Rechtliche Dokumentation): ca. 5 Arbeitstage
  • Mitarbeiterinformation und Besprechungen: Laufend, ca. 3-5 Stunden/Monat für mich als CEO, den Zeitaufwand für die Mitarbeiter muss man dann je nach Teamgröße noch dazu rechnen
  • Rücksprache mit dem Anwalt, Aufbereitung der erforderlichen Dokumente, Implementierung der Änderungen: ca. 2 Arbeitstage
  • Technische Implementierung der veränderten Prozesse in den Abteilungen: 5-10 Arbeitstage für mich als CEO, den Zeitaufwand für die Mitarbeiter muss man dann je nach Teamgröße noch dazu rechnen

Somit komme ich persönlich bisher auf einen Zeitaufwand von 25 Arbeitstagen für die DSGVO-Konformität. 3-5 Stunden fallen vorraussichtlich ab sofort monatlich an.

Teilen Sie diesen Artikel

Weitere Artikel zum Thema

graphics

Unser neues Kapitel mit Dropbox: Das bedeutet es für Boxcryptor Nutzer

Bereits letzte Woche haben wir verkündet, dass wir wichtige Technologie-Assets an Dropbox verkauft haben. Was unsere Kund*innen nun wissen müssen, erklären wir hier im Detail.

graphics

Ein Brief von unseren Gründern: Wir schließen uns Dropbox an

Wir freuen uns, Ihnen mitteilen zu können, dass wir zusammen mit Dropbox, Inc. ein neues Kapitel aufschlagen werden.

Dummies Buchcover und Rücken

BEENDET Gewinnspiel: Wir feiern unsere Buch-Veröffentlichung

Wir haben unser erstes Buch geschrieben, um noch mehr Menschen für die Cloud und Datensicherheit zu begeistern. Zum offiziellen Start können Sie im Gewinnspiel Taschenbücher und Boxcryptor-Lizenzen gewinnen. Alle Infos gibt es im Beitrag.