Die DSGVO-Compliance ist eine Investition, die für ein kleines Unternehmen potenziell erheblich sein kann, und sie muss rational geplant werden.
Warum in die DSGVO (BDSG, GDPR) Compliance investieren?
Die Investition in die DSGVO-Compliance wird durch geschäftliche Bedürfnisse und nicht aus Angst vor Strafen vorangetrieben. Große Unternehmenskunden, aktive Kunden oder Mitarbeiter, Risiken eines Verstoßes oder zahlreiche Anfragen treiben Unternehmen in der Regel zu einer solchen Investition. Kleinere Unternehmen müssen die Parteien identifizieren, die ihre Compliance-Bemühungen vorantreiben, diese priorisieren und sich auf die kritischsten Aspekte der Compliance konzentrieren, um die Kosten im Griff zu behalten.
Wo sollten Sie zuerst investieren?
Es kann viel unternommen werden, um die DSGVO (BDSG, GDPR) einzuhalten, aber in der Praxis muss in der Regel viel weniger getan werden, und das in einer bestimmten Reihenfolge. Die DSGVO ist keine Schwarz-Weiß-Zertifizierung, die bescheinigt, ob man compliant ist oder nicht, wie es bei vielen anderen Compliance-Anforderungen der Fall ist. Die DSGVO bringt viele Grauzonen mit sich, und Unternehmen können das Niveau der akzeptierten Risiken bei Nichteinhaltung wählen.
Denken Sie beispielsweise an ein Unternehmen, das mehrere große Unternehmenskunden als Anbieter (Auftragsverarbeiter) bedient. Es kann in seine Datenverarbeitungsvereinbarung, gut beschriebene Sicherheitsmaßnahmen, automatisierte Unterstützung bei der Bearbeitung von Anfragen betroffener Personen, ein Verzeichnis von Unterauftragsverarbeitern und Nachweise über die Schulung von Mitarbeitern investieren, da diese Aspekte von den Datenschutzabteilungen der Kunden gefordert werden. Es kann in anderen Bereichen nur minimal konform sein, wie zum Beispiel bei einer grundlegenden Datenschutzrichtlinie für die Website, oder über stark aggregierte Aufzeichnungen in den Verzeichnissen der Verarbeitungstätigkeiten verfügen.
Laufende Aktivitäten
Mehr dazu
Wie bleiben Sie compliant?
Die DSGVO-Compliance ist ein kontinuierlicher Prozess, und nach der initialen Einrichtung müssen Sie diese regelmäßig überprüfen und oft jährlich anpassen.
Es würde auch operative Aktivitäten umfassen, um Ihre Compliance-Lücken zu verwalten, Risikominderungsmaßnahmen durchzuführen, Verletzungsregistrierungen vorzunehmen, Vertrags- und Lieferantenänderungen durchzuführen und auf Anfragen von Personen zu reagieren. Diese Aktivitäten werden am besten mit geeigneten Werkzeugen unterstützt, wie z.B. PrivacyDocs.
Dokumentation
Mehr dazu
DSGVO-Dokumente zur Aufbewahrung
Die Dokumentation der DSGVO-Compliance und die Aufbewahrung von Nachweisen über die Compliance können wichtiger sein als die Compliance selbst. Die meisten Anforderungen an die DSGVO-Compliance beziehen sich auf Dokumentation oder dokumentierte Bewertungen, Entscheidungen, Mitteilungen, Verträge. Zum Beispiel macht es die Nichteinhaltung, wenn Personen nicht über die Aufbewahrungsfristen einer Verarbeitung informiert werden (obwohl es nicht sofort illegal ist).
Unternehmen sind verpflichtet, die Realität der Verarbeitung personenbezogener Daten durch ihre Systeme und manuellen Prozesse mit den Versprechungen, Hinweisen, Richtlinien, Verträgen und anderen Dokumenten in Einklang zu bringen. Einzelpersonen können dies durch Anfragen im Rahmen des 'Rechts auf Auskunft' überprüfen, bei denen sie Unternehmen um eine Kopie der Daten bitten können, die die Unternehmen zur Validierung der Rechtmäßigkeit der Verarbeitung verarbeiten. Unternehmen, die personenbezogene Daten als Anbieter (in der Rolle von Auftragsverarbeitern) verarbeiten, müssen ihren Kunden (in der Rolle von Verantwortlichen) das Recht auf Prüfung einräumen.
Kosten
Mehr dazu
Kosten der Compliance
Die Dokumentation Ihrer DSGVO (BDSG, GDPR) Compliance verursacht bestimmte Kosten, hauptsächlich Zeit. Ein typisches Kostenmuster ist wie folgt:
- Erster Einrichtungsspitze
- Flache Wartung und Verbesserung der Compliance. Denken Sie an einen engagierten Mitarbeiter, der einmal im Monat einen DSGVO-Tag hat.
- Vorbereitung auf Änderungen. Denken Sie an zusätzliche DSGVO-Arbeiten, die erforderlich sind, um einen neuen Anbieter einzuarbeiten oder ein neues System einzuführen.
- Auf Vorfälle reagieren. Dies geschieht ad-hoc (nun, die meisten Vorfälle sind nicht im Voraus geplant) und variiert von einer Stunde Arbeit bis hin zu einem unternehmensweiten Notfall.
Die meisten kleineren Unternehmen konzentrieren sich nicht auf die Verarbeitung personenbezogener Daten als ihr Kerngeschäft. Sie benötigen keine signifikanten zusätzlichen Investitionen, um DSGVO (BDSG, GDPR) konform zu bleiben, in der Regel auf dem Niveau von mehreren Person-Stunden pro Jahr.
Intern oder Extern
Jeder in der Firma muss ein grundlegendes Verständnis der DSGVO (BDSG, GDPR) haben, und ein 1-2 stündiger Einführungskurs ist eine unverzichtbare Investition. Mitarbeiter, die für die Einhaltung der DSGVO verantwortlich sind, würden typischerweise mehrere Tage investieren, um grundlegende betriebliche Kenntnisse der DSGVO zu erlangen. Um die Einhaltung bewerten und überprüfen zu können, müsste ein Mitarbeiter Monate mit der DSGVO verbringen.
Für viele kleinere Unternehmen ist es sinnvoll, in das operative Wissen über die DSGVO (BDSG, GDPR) für ein bis zwei Mitarbeiter zu investieren und nicht in die Entwicklung professioneller DSGVO-Compliance-Expertise im eigenen Haus.
Ein solcher Mitarbeiter, unterstützt durch das PrivacyDocs-Toolkit, kann 90 % oder mehr der Compliance-Aufgaben erledigen. Ein externer spezialisierter DSGVO-Berater wäre dann nur erforderlich, um Vertrauen in den Stand der Compliance zu schaffen (um die Dokumentation zu überprüfen), Fragen zu beantworten, Bewertungen durchzuführen und bei Datenschutzverletzungen zu helfen.
PrivacyDocs
Das Angebot von PrivacyDocs ist ein Tool, das speziell auf Unternehmen ausgerichtet ist, die jemanden mit grundlegenden operativen DSGVO-Kenntnissen im Haus haben. Diese Person könnte, unterstützt durch das spezialisierte PrivacyDocs-Toolkit und gelegentliche Hilfe von unseren DSGVO-Beratern, die Einhaltung sicherstellen. Dieses Setup würde auch die Compliance-Kosten begrenzen, da externe Berater in der Regel teurer sind als interne Mitarbeiter und die DSGVO-Compliance auf einem sehr detaillierten Niveau entwickeln können.