So wird die neue Datenschutz-Grundverordnung bei Boxcryptor umgesetzt.
Andrea

Andrea Pfundmeier | CEO

@A_Pfund

Umsetzung der DS-GVO bei Boxcryptor Teil 2: Optimierung bestehender Prozesse

Für Boxcryptor und alle anderen Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, gilt seit dem 25. Mai 2018 die neue Datenschutz-Grundverordnung. Das ist eine neue Verordnung der Europäischen Union, die den Umgang mit personenbezogenen Daten grundlegend neu regelt.

Aufgrund dieser Gesetzesänderung ergeben sich für viele Unternehmen weitreichende Änderungen und Neustrukturierungen. Viele Umfragen zeigen, dass das Thema DS-GVO Angst und Schrecken verbreitet.

Bei Boxcryptor haben wir uns dazu entschieden, die DS-GVO als Chance zu sehen. In einer mehrteiligen Artikelserie wird deshalb CEO Andrea Pfundmeier berichten, wie Sie die neue Europäische Datenschutz Grundverordnung bei Boxcryptor umsetzt.

Lesen Sie hier weiter:

Schritt 5: Dokumente auf DS-GVO-Konformität prüfen lassen

Obwohl ich mich sehr tief in die Europäische Datenschutz Grundverordnung eingelesen habe, bin ich bei einigen Themen auf die Zusammenarbeit mit einer Anwaltskanzlei angewiesen. So habe ich einige unserer Dokumente zusammengestellt, die nun von Fachleuten auf Aktualität und DS-GVO Konformität überprüft werden. Dazu gehören beispielsweise unsere Datenschutzerklärung, das Impressum unserer Webseite und die Allgemeinen Geschäftsbedingungen (AGB).

Was oft übersehen wird: Die DS-GVO betrifft den Umgang mit allen personenbezogenen Daten. Damit sind nicht nur Kundendaten, sondern auch die Daten der eigenen Mitarbeiter betroffen. In unseren Arbeitsverträgen ist das Thema Datenschutz schon immer ein eigener Punkt, aber auch dieser wird erneut von Anwälten überprüft.

Schritt 6: Überarbeitung bestehender Prozesse

Bei knapp 30 Mitarbeitern gibt es verschiedene Prozesse, die sich wiederholen. So haben wir uns zum Beispiel noch einmal genau angesehen, was passiert, wenn ein Mitarbeiter das Unternehmen verlässt. Diesen Ablauf haben wir mit der „Datenschutzbrille“ angesehen und Optimierungspotential definiert. So wurden zum Beispiel nochmal genau die Verantwortlichkeiten im Umgang mit Online-Diensten wie Salesforce, Mailchimp oder E-Mail festgelegt, aber auch der Umgang mit der verbleibenden Hardware wurde überarbeitet. Während bisher der Ablauf am letzten Arbeitstag eines Mitarbeiters eher frei gestaltet wurde, ist nun genau festgelegt zu welchem Zeitpunkt die Konten und Geräte gesperrt und gelöscht werden und wer dafür verantwortlich ist.

Schritt 7: Drittanbieter ausmisten

In meinem letzten Beitrag zur Implementierung der DS-GVO hatte ich erwähnt, dass sich die Prozessanalyse bereits für uns gelohnt hat, da wir ein paar veraltete oder überflüssige Dienste entdeckt haben. Nun, da wir einen vollständigen Überblick haben, konnten wir damit beginnen auszusortieren. So haben wir Dienste, Konten und Daten gelöscht, Lizenzen und Abos beendet. Ich persönlich finde das ja sehr befreiend und auch datenschutzrechtlich fällt mir so immer ein kleiner Stein vom Herzen.

Einen ausführlichen Bericht zum Umgang mit unseren Drittanbietern lesen Sie in Folge 4 dieser Artikelserie.

Tipp: Auf Mitarbeiter mit Fachwissen zurückgreifen

Als Anbieter von hochspezialisierter Verschlüsselungssoftware haben wir ein paar Datenschutz Experten im Haus, die sich mit den Schnittstellen zwischen den verschiedenen Systemen sehr gut auskennen. Hier wurden für die kommenden Wochen Meetings angesetzt, in denen geklärt wird, wie die verschiedenen Programme mit Informationen umgehen und an welchen Stellen personenbezogene Daten übergeben werden.

Unser Tech Team wird sich dabei ganz besonders mit dem Lösch-Management befassen, denn das Recht auf Vergessenwerden ist eine der wichtigen Neuerungen, mit denen wir uns durch das in Kraft treten der DS-GVO befassen müssen.

Schritt 8: Mitarbeiter sensibilisieren und schulen

Obwohl ich der festen Überzeugung bin, dass Datenschutz die Aufgabe der Geschäftsleitung ist, betrifft es natürlich alle Mitarbeiter. Und so haben wir bereits einen Termin für einen internen Workshop festgelegt. In dem Workshop werde ich nochmals genau erläutern warum das Thema wichtig ist, was personenbezogene Daten (siehe Infografik) sind und welche Regeln bei uns gelten.

Zu diesen Regeln gehört zum Beispiel, dass keine Kundendaten über unser internes Chatprogramm HipChat verschickt werden. Oder dass zu keinem Zeitpunkt Daten und Informationen von Mitarbeitern an Dritte weitergegeben werden. Eine Zusammenfassung dieser Schulung wird außerdem an unsere Onboarding-Dokumente hinzugefügt, dass neue Mitarbeiter gleich dafür sensibilisiert werden.

Die DS-GVO und Boxcryptor

Wir werden in den kommenden Monaten immer wieder über unseren Weg zur DG-GVO Konformität berichten. Wir gehen davon aus, dass es auch nach dem Stichtag am 25. Mai 2018 noch einige spannende Entwicklung bei der Einhaltung der Datenschutz-Grundverordnung geben wird, wenn die ersten Gerichtsurteile gesprochen werden. Wir halten Sie hier auf unserem Blog darüber auf dem Laufenden.

Lesen Sie hier weiter:

Teilen Sie diesen Artikel

Weitere Artikel zum Thema

Ransomware 2

Die jüngsten Datenlecks bei Uber und Rockstar Games' GTA6

Eine weitere Serie von Cyberangriffen auf große Unternehmen hat im September für Aufsehen gesorgt. Lesen Sie weiter, um zu erfahren, was schief gelaufen ist und was Sie aus den Fehlern dieser Unternehmen lernen können.

Das neue Boxcryptor für macOS

Die neue Boxcryptor-App für macOS ist da

Das neue Boxcryptor für macOS ist endlich da – und es hat sich eine Menge getan! Lesen Sie über unsere Beweggründe, die Vorteile dieser neuen Version und warum sie Boxcryptor in eine hervorragende Position für die Zukunft bringt.

Microsoft 365 Checker

Microsoft 365 – behalten Sie die Kontrolle!

Für Betriebsräte: Automatischer Check der TOMs zum Schutz personenbezogener Daten durch den Microsoft 365 Checker von Konverion. Jetzt kostenlos 30 Tage lang testen.