DSGVO-Compliance: Was es ist, wie Sie sich darauf vorbereiten und wie Sie Compliance-Prozesse optimieren
Nathan Cooper
Lesedauer: etwa 6 Min.
Themen:
Im Jahr 2016 verabschiedete das EU-Parlament die Datenschutz-Grundverordnung (DSGVO), eine Verordnung, die neue Regeln für Datenschutz und Privatsphäre festlegte. Da die Frist am 25. Mai immer näher rückt, haben Unternehmen auf der ganzen Welt damit begonnen, ihre Art der Datenverarbeitung und des Datenschutzes zu überdenken, um sicherzustellen, dass sie den neuen Vorschriften der EU entsprechen.
Woher wissen Sie, ob die DSGVO für Sie gilt? Statistisch gesehen ist es sehr wahrscheinlich, dass die DSGVO für Ihr Unternehmen gilt. Eine PwC-Umfrage ergab, dass 92 % der US-Unternehmen die DSGVO als oberste Datenschutzpriorität betrachten. Die DSGVO gilt, wenn Ihr Unternehmen:
- Eine Präsenz in einem EU-Land
- Keine Präsenz in der Europäischen Union, verarbeitet jedoch personenbezogene Daten von in Europa ansässigen Personen
- Mehr als 250 Mitarbeitende
- Weniger als 250 Mitarbeitende, deren Datenverarbeitung jedoch die Rechte und Freiheiten der betroffenen Personen beeinträchtigt, mehr als gelegentlich erfolgt oder bestimmte Arten sensibler personenbezogener Daten umfasst
Grundsätzlich ist jedes Unternehmen betroffen, das Daten von EU-Bürgern verarbeitet. Unser DSGVO-Überblick gibt Ihnen hilfreiche Informationen dazu, was die DSGVO ist und wie Sie Prozesse einrichten, um langfristigen Erfolg sicherzustellen.
Verwenden Sie diese Links, um bestimmte Themen zu durchsuchen:
Wie stellen Sie fest, ob Ihr Unternehmen DSGVO-konform ist?
Welche Auswirkungen hat die DSGVO-Konformität langfristig auf mein Unternehmen?
Wie kann ich die DSGVO-Dokumentation und -Prozesse optimieren?
Lucidchart Engagement zur Einhaltung der DSGVO
Was ist die DSGVO?
DSGVO steht für Datenschutz-Grundverordnung und ist eine Reihe von Regeln und Vorschriften, die vom Europäischen Parlament erlassen wurden, um den Datenschutz für EU-Bürger zu stärken und zu vereinheitlichen.
Die Vorschriften verlangen von Unternehmen, bei der Übermittlung oder Verarbeitung personenbezogener Daten innerhalb der EU sowie beim Export von Daten an Orte außerhalb der EU ein „angemessenes“ Maß an Schutz für personenbezogene Daten und die Privatsphäre der Bürger zu gewährleisten. Die DSGVO legt eine Reihe von Kundenrechten in Bezug auf Daten fest und bietet eine umfassende Definition dessen, was personenbezogene Daten ausmacht. Dazu gehören auch einige Informationen, die in den USA traditionell nicht als personenbezogene Daten gelten (z. B. Cookie-Daten und IP-Adressen).
Wie stelle ich fest, ob mein Unternehmen DSGVO-konform ist?
Unternehmen erfüllen die DSGVO, wenn sie die DSGVO-Standards für den Schutz personenbezogener Daten und die Privatsphäre einhalten. Die Einhaltung muss vor Ablauf der Frist am 25. Mai 2018 erfolgen, um Bußgelder der EU zu vermeiden. Die Standards zur Einhaltung sind vollständig auf der DSGVO-Website aufgeführt. Hier sind jedoch einige Schlüsselbereiche, die häufig angegangen werden müssen:
- Legen Sie unternehmensweit Datensicherheitsanforderungen für den gesamten Geschäftsprozess fest.
- Stellen Sie sicher, dass es klare und zulässige Gründe für die Verarbeitung personenbezogener Daten gibt, beispielsweise einen Vertrag, eine rechtliche Einwilligung usw.
- Vergewissern Sie sich, dass alle Drittanbieter-Partner die DSGVO einhalten, da jeder Partner in gleichem Maße für Verstöße haftbar gemacht wird.
- Richten Sie Prozesse ein, um Datenschutzverletzungen innerhalb von 72 Stunden sowohl intern als auch gegenüber Drittpartnern den zuständigen Behörden zu melden, und stellen Sie sicher, dass die Verträge aktualisiert werden, um die vereinbarten Prozesse widerzuspiegeln.
- Führen Sie bei der Nutzung neuer Technologien und bei allen Daten, die ein „hohes Risiko“ für die Rechte und Freiheiten des Einzelnen darstellen, formelle Datenschutz-Folgenabschätzungen (DPIAs) durch.
- Richten Sie klare Prozesse ein, sodass Einzelpersonen ihre personenbezogenen Daten innerhalb eines Monats nach der Anforderung problemlos und kostenlos zwischen verschiedenen Diensten verschieben, kopieren oder übertragen können.
- Legen Sie Verfahren zum Löschen der Daten einer Person fest, um das Recht auf Vergessenwerden zu unterstützen, wenn die Daten nicht mehr relevant oder erforderlich sind.
- Große Unternehmen sollten einen Datenschutzbeauftragten benennen, der dafür sorgt, dass die Vorschriften eingehalten werden.
Obwohl diese Liste nicht vollständig ist, bietet sie einen allgemeinen Überblick über einige der wichtigsten Compliance-Anforderungen.
Welche Auswirkungen hat die DSGVO-Konformität langfristig auf mein Unternehmen?
Zu den langfristigen Änderungen, die Unternehmen vornehmen müssen, gehören:
- Datensicherheitsanforderungen im gesamten Unternehmen zugänglich und aktuell machen
- Sicherstellen, dass die Prozesse zur Meldung von Datenschutzverletzungen klar und jederzeit leicht umsetzbar sind
- Regelmäßige Überprüfung der Systeme, um sicherzustellen, dass sie weiterhin ein angemessenes Datenschutzniveau bieten
- Sicherstellen, dass Dritte die Vorschriften einhalten
- Durchführen von Folgenabschätzungen, um das Risiko von Verstößen zu verringern, indem Schwachstellen identifiziert und Entscheidungen zu deren Beseitigung getroffen werden
- Erstellen eines Rahmens zur Risikobewertung, um den Datenschutz zu verwalten und die Einhaltung der Vorschriften sicherzustellen
Die Frist rückt schnell näher. Durch die Erstellung eines langfristigen und eines kurzfristigen Plans zur Einhaltung der Vorschriften können Sie den Zeit- und Arbeitsaufwand verringern, der erforderlich ist, um die Vorschriften langfristig einzuhalten.
Wie kann ich die DSGVO-Dokumentation und -Prozesse optimieren?
Angesichts der Notwendigkeit, neue Prozesse und Verfahren einzuführen und mehr Transparenz hinsichtlich der Datenverarbeitung durch Systeme zu schaffen, ist es wichtig, Lösungen zu finden, die die Dokumentation im gesamten Unternehmen effizient, transparent und konsistent machen. Mithilfe kollaborativer Datenflussdiagramme und Process Flow können Teams und Unternehmen wichtige System- und Prozessinformationen klar und einfach kommunizieren.
Machen Sie sich klar, wie Daten gespeichert und verarbeitet werden
Sowohl langfristig als auch kurzfristig müssen IT- und Sicherheitsteams verstehen, wie Daten gespeichert und verarbeitet werden. Datenflussdiagramme oder Datenmapping Process Flow können Teams dabei helfen, Daten sowohl während der Übertragung als auch im Ruhezustand schnell zuzuordnen und deutlich zu machen, wie interne Systeme Informationen verarbeiten. Hier ist ein Datenmapping-Beispiel für die Einhaltung der DSGVO:
Planen Sie Prozesse für den Abruf personenbezogener Daten und die Meldung von Verstößen
Um sicherzustellen, dass Unternehmen das Recht auf Vergessenwerden und das Recht auf Datenübertragbarkeit einer Person wahrnehmen sowie Datenschutzverletzungen schnell und effizient melden können, ist es wichtig, klare Prozesse zu etablieren, die für die entsprechenden Personen leicht zugänglich sind.
Process Flow mit Swimlanes können Verantwortlichkeiten klar abgrenzen und genau veranschaulichen, welche Schritte unternommen werden müssen, um eine Datenanforderung auszuführen oder einen Datenschutzverstoß zu melden. Hier ist ein Beispiel für ein Process Flow :
Mit der intuitiven Drag-and-Drop-Oberfläche von Lucidchartkönnen Sie Prozesse ganz einfach abbilden und mit den Personen teilen, die sie sehen müssen. Erweiterte Dokumentberechtigungskontrollen geben Mitarbeitern die richtige Zugriffsebene (Bearbeiten, Kommentieren oder nur Anzeigen) und stellen sicher, dass Process Flow nur von Personen geändert werden kann, die über Bearbeitungszugriff verfügen.
Durch die Einbindung eingebetteter Diagramme in unternehmensweite Wissensdatenbanken oder Dokumentenspeicher wie Confluence können Unternehmen Prüfern leicht verständliche Übersichten über Unternehmenssysteme und -prozesse bereitstellen. Unabhängig davon, ob Sie Diagramme zur Kommunikation mit internen Teams oder zur Einrichtung von Prozessen mit Dritten verwenden, kann Process Flow sicherstellen, dass alle hinsichtlich der Einhaltung der DSGVO auf dem gleichen Stand sind.
Lucidchart verpflichtet sich zur Einhaltung der DSGVO
(Aktualisiert im Mai 2018) –Lucidchart ist DSGVO-konform. Weitere Informationen zu unseren Bemühungen finden Sie auf unseren Seiten zur DSGVO-Konformität und Unternehmenssicherheit .
Über Lucidchart
Lucidchart, eine Cloud-basierte Anwendung für intelligente Diagrammerstellung, ist eine Kernkomponente der visuellen Kollaborationssuite von Lucid Software. Mit dieser intuitiven, Cloud-basierten Lösung können Teams in Echtzeit zusammenarbeiten, um Flussdiagramme, Mockups, UML-Diagramme, Customer Journey Maps und mehr zu erstellen. Lucidchart unterstützt Teams dabei, die Zukunft schneller zu gestalten. Lucid ist stolz darauf, dass Spitzenunternehmen auf der ganzen Welt seine Produkte nutzen, darunter Kunden wie Google, GE und NBC Universal sowie 99 % der Fortune 500. Lucid arbeitet mit branchenführenden Partnern wie Google, Atlassian und Microsoft zusammen. Seit seiner Gründung wurde Lucid mit zahlreichen Preisen für seine Produkte, Geschäftspraktiken und Unternehmenskultur gewürdigt. Weitere Informationen finden Sie unter lucidchart.com.
Verwandte Artikel
So schützt Lucid Ihre Daten gemäß dem EU-U.S. Data Privacy Framework (deutsch: Datenschutzrahmen EU-USA)
Die Sicherheit Ihrer Daten steht für uns an erster Stelle, unabhängig von Ihrem Standort. Aus diesem Grund haben wir eine Selbstzertifizierung im Rahmen des EU-U.S. Data Privacy Framework (deutsch: Datenschutzrahmen EU-USA) durchgeführt.