Ein paar Gedanken zum Datenschutz….

Was für ein Hype…

Da wird vor mehr als 4 Jahren auf europäischer Ebene der Datenschutzgedanke aufgegriffen, um vor allen Dingen Bürger und Nutzer besser zu schützen und plötzlich kommt es dann doch ganz überraschend. Wenn ich mich recht entsinne, gab es auch vor der heiss diskutierten Datenschutzgrunddverordnung (DSGVO) schon so etwas wie das Bundesdatenschutzgesetz (BDSG).

Gerade Vereine und kleinere Betriebe, welche zwangsläufig mit der Verarbeitung von personenbezogenen Daten zu tun haben, sehen sich einem fast unüberwindlichem Problem gegenüpbergestellt. Aber ganzso schlimm ist es dann doch nicht. Mal ausgehend davon, dass man auch zuvor schon sorgsam mit den Daten seiner Mitglieder und Kunden umgegangen ist, so heisst es  nun dieses ggf. an die neuen Anforderungen anzupassen. Das Rad neu erfinden muss man sicherlich nicht.

Was sollte man aber nun unternehmen, um hier auf der sicheren Seite zu sein? Genau. Das Zauberwort heißt Konzeptionierung. Mit einem sauberen Gesamtkonzept ist man der Sache mehr als gewachsen.

Selbstverständlich sollte man abklären, dieses ggf. auch unter Zuhilfenahme einer rechtlichen Beratung, ob die Installation eines Datenschutzbeauftragten für das eigene Unternehmen bzw. den Verein erforderlich ist. Hieran kommt man unter Umständen nicht vorbei. Ist aber die Anzahl der Personen, die regelmässig personenbezogene Daten verarbeitet überschaubar und kleiner als die im Rahmen der Verordnung vorgegebene maximale Anzahl, kann man sich den wesentlichen Anforderungen der DSGVO widmen.

Vielleicht braucht man hier aber auch nur seine derzeitigen Prozesse zu überdenken und kann so mehrere hundert Euro im Jahr sparen.

Was sollte man also tun?

Am Beispiel eines Vereins sollte man sich auf nachfolgenden Maßnahmen konzentieren:

Datenschutzerklärung

  • welche Daten werden aus welchen Grund verarbeitet
  • welche Daten werden über das Internbet versendet (Webseite, eMail etc.)
  • welche Webdienste kommen zum Einsatz (Google Analytics etc.)
  • welche Daten werden ggf. online erfasst (auch Kontaktformulare)
  • Hinweis auf die DSGVO bezogenen Rechte (Auskunft, Löschung etc.)
  • welche Daten werden ggf. extern gespeichert (Clouddienste etc.)
  • wie werden Daten über das Internet übermittelt (eMail)
  • wie sensibilisiere ich die verarbeitenden Personen für den Datenschutz (Schulung, Informationsveranstaltung etc.)

Im Internet gibt es zahlreiche und zudem sehr vertrauenswürdige Generatoren zur Erstellung DSGVO konformer Datenschutzerklärungen.

Datensicherheitskonzept (Empfehlung)

  • in welcher Art und Weise werden Daten verarbeitet
  • welches Datensicherungskonzept kommt zum Einsatz (Backup)
  • Wie werden die Daten zusäztlich geschützt (Verschlüsselung)
  • welches Datenlöschkonzept kommt zum Einsatz
  • kommen Kennwortrichtlinien zum Einsatz
  • welche Anwendungen werden zur Verwaltung personenbezogener Daten eingesetzt (Verzeichnis zu Verarbeitungstätigkeiten)
  • Überlegungen zur Risikoabschätzung
  • Umgang mit personenbezogenen Daten auf Wechseldatenträgern (USB Sticks etc.)

Viele der insbesondere im Bereich Datensicherheit erfordelichen Maßnahmen lassen sich recht einfach und ohne den Einsaz kostspieliger Anwendungen umsetzen. Man muss sich einfach nur mit der Materie befassen oder aber einen auf diesem Gebiet erfahrene Person zu Rate ziehen. In so ziemlich jedem Verein ist einbe solche Person greifbar.

Wie man sieht – eine Menge an Dokumentation. Aber nimmt man sich der Sache einmal an, wird daraus schnell eine Runde Sache.