Umsetzung der DS-GVO bei Boxcryptor Teil 2: Optimierung bestehender Prozesse

Für Boxcryptor und alle anderen Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, gilt seit dem 25. Mai 2018 die neue Datenschutz-Grundverordnung. Das ist eine neue Verordnung der Europäischen Union, die den Umgang mit personenbezogenen Daten grundlegend neu regelt.

Aufgrund dieser Gesetzesänderung ergeben sich für viele Unternehmen weitreichende Änderungen und Neustrukturierungen. Viele Umfragen zeigen, dass das Thema DS-GVO Angst und Schrecken verbreitet.

Bei Boxcryptor haben wir uns dazu entschieden, die DS-GVO als Chance zu sehen. In einer mehrteiligen Artikelserie wird deshalb CEO Andrea Pfundmeier berichten, wie Sie die neue Europäische Datenschutz Grundverordnung bei Boxcryptor umsetzt.

Lesen Sie hier weiter:

• Teil 1 unserer Artikelserie - Umsetzung der DS-GVO: Überblick verschaffen
• Teil 3 unserer Artikelserie - Umsetzung der DS-GVO: Interne Umsetzung und externe Datenschutzbeauftragte
• Teil 4 unserer Artikelserie - Umsetzung der DS-GVO: Drittanbieter
• Teil 5 unserer Artikelserie - Umsetzung der DS-GVO: Verschlüsselung
• Teil 6 unserer Artikelserie - Umsetzung der DS-GVO bei Boxcryptor Teil 6: Vor der DS-GVO ist nach der DS-GVO

Schritt 5: Dokumente auf DS-GVO-Konformität prüfen lassen

Obwohl ich mich sehr tief in die Europäische Datenschutz Grundverordnung eingelesen habe, bin ich bei einigen Themen auf die Zusammenarbeit mit einer Anwaltskanzlei angewiesen. So habe ich einige unserer Dokumente zusammengestellt, die nun von Fachleuten auf Aktualität und DS-GVO Konformität überprüft werden. Dazu gehören beispielsweise unsere Datenschutzerklärung, das Impressum unserer Webseite und die Allgemeinen Geschäftsbedingungen (AGB).

Was oft übersehen wird: Die DS-GVO betrifft den Umgang mit allen personenbezogenen Daten. Damit sind nicht nur Kundendaten, sondern auch die Daten der eigenen Mitarbeiter betroffen. In unseren Arbeitsverträgen ist das Thema Datenschutz schon immer ein eigener Punkt, aber auch dieser wird erneut von Anwälten überprüft.

Schritt 6: Überarbeitung bestehender Prozesse

Bei knapp 30 Mitarbeitern gibt es verschiedene Prozesse, die sich wiederholen. So haben wir uns zum Beispiel noch einmal genau angesehen, was passiert, wenn ein Mitarbeiter das Unternehmen verlässt. Diesen Ablauf haben wir mit der „Datenschutzbrille“ angesehen und Optimierungspotential definiert. So wurden zum Beispiel nochmal genau die Verantwortlichkeiten im Umgang mit Online-Diensten wie Salesforce, Mailchimp oder E-Mail festgelegt, aber auch der Umgang mit der verbleibenden Hardware wurde überarbeitet. Während bisher der Ablauf am letzten Arbeitstag eines Mitarbeiters eher frei gestaltet wurde, ist nun genau festgelegt zu welchem Zeitpunkt die Konten und Geräte gesperrt und gelöscht werden und wer dafür verantwortlich ist.

Schritt 7: Drittanbieter ausmisten

In meinem letzten Beitrag zur Implementierung der DS-GVO hatte ich erwähnt, dass sich die Prozessanalyse bereits für uns gelohnt hat, da wir ein paar veraltete oder überflüssige Dienste entdeckt haben. Nun, da wir einen vollständigen Überblick haben, konnten wir damit beginnen auszusortieren. So haben wir Dienste, Konten und Daten gelöscht, Lizenzen und Abos beendet. Ich persönlich finde das ja sehr befreiend und auch datenschutzrechtlich fällt mir so immer ein kleiner Stein vom Herzen.

Einen ausführlichen Bericht zum Umgang mit unseren Drittanbietern lesen Sie in Folge 4 dieser Artikelserie.

Tipp: Auf Mitarbeiter mit Fachwissen zurückgreifen

Als Anbieter von hochspezialisierter Verschlüsselungssoftware haben wir ein paar Datenschutz Experten im Haus, die sich mit den Schnittstellen zwischen den verschiedenen Systemen sehr gut auskennen. Hier wurden für die kommenden Wochen Meetings angesetzt, in denen geklärt wird, wie die verschiedenen Programme mit Informationen umgehen und an welchen Stellen personenbezogene Daten übergeben werden.

Unser Tech Team wird sich dabei ganz besonders mit dem Lösch-Management befassen, denn das Recht auf Vergessenwerden ist eine der wichtigen Neuerungen, mit denen wir uns durch das in Kraft treten der DS-GVO befassen müssen.

Schritt 8: Mitarbeiter sensibilisieren und schulen

Obwohl ich der festen Überzeugung bin, dass Datenschutz die Aufgabe der Geschäftsleitung ist, betrifft es natürlich alle Mitarbeiter. Und so haben wir bereits einen Termin für einen internen Workshop festgelegt. In dem Workshop werde ich nochmals genau erläutern warum das Thema wichtig ist, was personenbezogene Daten (siehe Infografik) sind und welche Regeln bei uns gelten.

Zu diesen Regeln gehört zum Beispiel, dass keine Kundendaten über unser internes Chatprogramm HipChat verschickt werden. Oder dass zu keinem Zeitpunkt Daten und Informationen von Mitarbeitern an Dritte weitergegeben werden. Eine Zusammenfassung dieser Schulung wird außerdem an unsere Onboarding-Dokumente hinzugefügt, dass neue Mitarbeiter gleich dafür sensibilisiert werden.

Die DS-GVO und Boxcryptor

Wir werden in den kommenden Monaten immer wieder über unseren Weg zur DG-GVO Konformität berichten. Wir gehen davon aus, dass es auch nach dem Stichtag am 25. Mai 2018 noch einige spannende Entwicklung bei der Einhaltung der Datenschutz-Grundverordnung geben wird, wenn die ersten Gerichtsurteile gesprochen werden. Wir halten Sie hier auf unserem Blog darüber auf dem Laufenden.

Lesen Sie hier weiter:

• Teil 1 unserer Artikelserie - Umsetzung der DS-GVO: Überblick verschaffen
• Teil 3 unserer Artikelserie - Umsetzung der DS-GVO: Interne Umsetzung und externe Datenschutzbeauftragte
• Teil 4 unserer Artikelserie - Umsetzung der DS-GVO: Drittanbieter
• Teil 5 unserer Artikelserie - Umsetzung der DS-GVO: Verschlüsselung