So wird die neue Datenschutz-Grundverordnung bei Boxcryptor umgesetzt.
Andrea

Andrea Pfundmeier | CEO

@A_Pfund

Umsetzung der DSGVO bei Boxcryptor Teil 3: Interne Umsetzung und externe Datenschutzbeauftragte

Für Boxcryptor und alle anderen Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, gilt seit dem 25. Mai 2018 die neue Datenschutz-Grundverordnung. Das ist eine neue Verordnung der Europäischen Union, die den Umgang mit personenbezogenen Daten grundlegend neu regelt.
Aufgrund dieser Gesetzesänderung ergeben sich für viele Unternehmen weitreichende Änderungen. Viele Umfragen zeigen, dass das Thema DSGVO Sorgen bereitet verbreitet.
Bei Boxcryptor haben wir uns dazu entschieden, die DSGVO als Chance zu sehen. In einer mehrteiligen Artikelserie wird deshalb CEO Andrea Pfundmeier berichten, wie Sie die neue Europäische Datenschutz Grundverordnung bei Boxcryptor umsetzt.

Lesen Sie hier die vorangegangenen und weiteren Artikel der Serie:

DSGVO selbst umsetzen oder Hilfe holen?

Wie die vorangegangenen Artikel unserer Serie zeigen, betrifft die Datenschutz Grundverordnung beinahe jeden Geschäftsbereich und alle Organisationsebenen. Den Überblick zu behalten ist dabei eine der wichtigsten Aufgaben, die ich als CEO für mich sehe.
Das Thema DSGVO Konformität komplett von einem Audit-Dienstleister abwickeln zu lassen, kommt für mich aus zwei Gründen nicht in Frage.
Erstens bin am Ende doch ich, bzw. mein Geschäftspartner, für Fehler haftbar, sodass ich mich auch bei der Auslagerung der Aufgaben rund um die DSGVO dennoch mit jedem Teilbereich befassen müsste. Dazu kommt, dass so ein externes Auditing für ein vergleichsweise junges und kleines Unternehmen wie uns ein enormer Kostenaufwand ist.
Zweitens habe ich mich damit befasst, welches Knowhow bei uns im Unternehmen vorhanden ist. Natürlich haben wir als Anbieter für Verschlüsselungssoftware Experten rund um IT-Sicherheit an Board, was uns bei der Umsetzung mancher Anforderungen entgegenkommt. Als Wirtschaftsjuristin ist mir jedoch auch persönlich der Umgang mit Gesetzestexten vertraut. Die DSGVO war für mich dadurch verständlich, weshalb ich mich tatsächlich mit dem Originaltext auseinandergesetzt habe.
Auch die Aufbereitung der Informationen durch Branchenverbände, Fachjournalisten und Handelskammern sind sehr hilfreich. In meiner Wahrnehmung sind wir deshalb gut darauf vorbereitet einen Großteil der Themen, die durch die DSGVO auf uns zukommen selbst zu bearbeiten.
Übrigens: Bei einem gemeinsamen Vortrag zur DSGVO wies mein Co-Sprecher Wolfgang Schmid darauf hin, dass die Informationen, die es in Bezug auf bestimmte Branchen, Tools und Unternehmensgrößen gibt, immer detaillierter werden, je länger man damit wartet, sich zu informieren. Da beinahe täglich hilfreiche Veröffentlichungen erscheinen. Das entspricht auch meiner Wahrnehmung. Vor allem die Branchenverbände habe ich als wertvolle Informationsquelle wahrgenommen.

Warum wir möglichst viele Anforderungen der DSGVO selbst umsetzen

Ich habe mich dazu entschlossen, alle Prozesse, die durch die DSGVO auf uns zukommen, selbst zu betreuen und alles soweit wie möglich intern abzuwickeln.
Wir bilden dadurch ein umfassendes Knowhow, welches auch langfristig im Unternehmen bleibt. Denn auch wenn derzeit überall vom 25. Mai 2018 als Stichtag gesprochen wird, ist die Datenschutz Grundverordnung ja durchaus nichts, was danach in den Hintergrund tritt. Vielmehr müssen wir uns permanent fragen, ob alle Prozesse DSGVO-konform sind. Das geht natürlich am besten, wenn wir uns hier bei Boxcryptor auch gut mit DSGVO-Konformität auskennen.
Da Boxcryptor als geeignete „technische und organisatorische Maßnahme“ für den Schutz personenbezogener Daten (DSGVO Art. 32) einzuordnen ist, sind wir für unsere Kunden ein wichtiger Baustein für DSGVO Konformität. So ist es nur Verständlich, dass auch Fragen rund um die DSGVO an uns herangetragen werden. Deshalb ist das Thema auch in der Kommunikation mit Boxcryptor Nutzern stets präsent.
Mein persönliches Ziel ist es, die Datenschutz Grundverordnung als Teil der Unternehmenskultur zu etablieren – anstatt sie als lästiges Übel zu sehen. Denn wie eingangs erwähnt: Wir betrachten die DSGVO als Chance.

Externen Rat einholen

Ich habe mir gezielt für bestimmte Themen einen Berater gesucht. Eine Anwaltskanzlei hier vor Ort hat uns dabei gute Dienste geleistet. Vor allem für „einmalige“ Themen war ich auf Unterstützung angewiesen. Konkret waren das die
Prüfung und Überarbeitung der Datenschutzerklärung

  • Prüfung und Überarbeitung des Impressums auf unserer Webseite
  • Prüfung und Überarbeitung der Allgemeinen Geschäftsbedingungen (AGB)
  • Prüfung der Arbeitsverträge

Externe Datenschutzbeauftragte bestellen

Wir sind wir laut Art 37 DSGVO dazu verpflichtet, einen externen Datenschutzbeauftragten zu bestellen. Dieser wird demnächst seine Arbeit bei uns aufnehmen. Nach einer Kontrolle der bisher erfolgten Datenschutzmaßnahmen wird unser Dienstleister uns als Unternehmen fortlaufend beraten und Schulungen durchführen, um das Bewusstsein für die Datenschutz Grundverordnung bei allen Mitarbeitern aufrecht zu erhalten.
Darüber hinaus stellt der externe Datenschutzbeauftragte einerseits die Schnittstelle zur Aufsichtsbehörde dar, welche in unserem Fall die bayerische Landesdatenschutzbehörde ist. Andererseits wird er aber auch tätig, wenn Beschwerden von Kunden an uns als Unternehmen herangetragen werden, unterrichtet mich als Geschäftsführerin über den Sachverhalt und bereitet die Stellungnahme gegenüber dem Beschwerdeführer vor.

Zeitaufwand für die Umsetzung der DSGVO bei Boxcryptor

Wie auch in den vorangegangenen Texten dieser Artikelserie berichte ich hier aus ganz persönlicher Sicht meinen Weg zur DSGVO-Konformität. Ich versuche deshalb bei der Zeitschätzung auch detaillierte Informationen zu geben, damit jeder Leser selbst beurteilen kann, ober er für sich selbst an manchen Punkten mehr oder weniger Aufwand schätzt.
Ich habe mir folgende Zeiten notiert:

  • Recherche zur DSGVO und Festlegen der Vorgehensweise: ca. 5 Arbeitstage
  • Dokumentation der Drittanbieter (Sammlung, Kontaktaufnahme, Rechtliche Dokumentation): ca. 5 Arbeitstage
  • Mitarbeiterinformation und Besprechungen: Laufend, ca. 3-5 Stunden/Monat für mich als CEO, den Zeitaufwand für die Mitarbeiter muss man dann je nach Teamgröße noch dazu rechnen
  • Rücksprache mit dem Anwalt, Aufbereitung der erforderlichen Dokumente, Implementierung der Änderungen: ca. 2 Arbeitstage
  • Technische Implementierung der veränderten Prozesse in den Abteilungen: 5-10 Arbeitstage für mich als CEO, den Zeitaufwand für die Mitarbeiter muss man dann je nach Teamgröße noch dazu rechnen

Somit komme ich persönlich bisher auf einen Zeitaufwand von 25 Arbeitstagen für die DSGVO-Konformität. 3-5 Stunden fallen vorraussichtlich ab sofort monatlich an.

Teilen Sie diesen Artikel

Weitere Artikel zum Thema

Ransomware 2

Die jüngsten Datenlecks bei Uber und Rockstar Games' GTA6

Eine weitere Serie von Cyberangriffen auf große Unternehmen hat im September für Aufsehen gesorgt. Lesen Sie weiter, um zu erfahren, was schief gelaufen ist und was Sie aus den Fehlern dieser Unternehmen lernen können.

Das neue Boxcryptor für macOS

Die neue Boxcryptor-App für macOS ist da

Das neue Boxcryptor für macOS ist endlich da – und es hat sich eine Menge getan! Lesen Sie über unsere Beweggründe, die Vorteile dieser neuen Version und warum sie Boxcryptor in eine hervorragende Position für die Zukunft bringt.

Microsoft 365 Checker

Microsoft 365 – behalten Sie die Kontrolle!

Für Betriebsräte: Automatischer Check der TOMs zum Schutz personenbezogener Daten durch den Microsoft 365 Checker von Konverion. Jetzt kostenlos 30 Tage lang testen.