Datenschutz DSGVO

DSGVO Vorbereitung für Werkstätten

Tipps
2 Kommentare

Ab 25. Mai 2018 kommt die Datenschutzgrundverordnung DSGVO. Es gibt viele Informationen von vielen Seiten und man hört von hohen Strafen. Wichtig ist, dass sich Unternehmen früh genug damit auseinandersetzen. So können sich kleine Werkstätten jetzt schon vorbereiten, damit die Einführung der DSGVO dann leichert fällt.

Welches Ziel verfolgt die DSGVO?

Immer mehr Unternehmen sammeln immer mehr Daten! Die DSGVO sollte jeden dazu zwingen, sich über die Daten die er sammelt Gedanken zu machen. Dazu gehören Überlegungen wie:

  • Welche Daten werden gesammelt?
  • Warum werden die Daten gesammelt?
  • Wo werden die Daten gespeichert?
  • Wie werden die Daten gesichert (gegen Verlust und Diebstahl)?
  • Was ist, wenn die betroffene Person das nicht möchte?
  • Wann werden die Daten gelöscht?

Der gesamte Text der Verordnung ist unter dsgvo-gesetz.de sehr schön aufbereitet zu finden.

Im Prinzip also keine schlechte Idee. 🙂 Aber natürlich mit etwas Aufwand verbunden. Darum sollten speziell kleine Betriebe schon jetzt anfangen und Vorbereitungen treffen. Wer sich jetzt schon mit dem Thema befasst, hat bei der Einführung einen deutlichen Vorsprung. Zudem müssen sämtliche Mitarbeiter datenschutzrechtlich geschult werden.

DSGVO Vorbereitung für Werkstätten

Schritt 1: Zuständige Person festlegen

Zuerst braucht es jemanden, der die Vorbereitung durchführt. In Ein-Personen-Unternehmen stellt sich die Frage nicht. Bei mehreren Mitarbeitern sollte für die Vorbereitung jemand gewählt werden, der die Abläufe im Betrieb gut kennt und auch möglichst gut mit allen eingesetzten Programmen umgehen kann.

Schritt 2: Verarbeitungsliste

Ein Verarbeitungsverzeichnis ist Teil der DSGVO und ab 25.05.2018 faktisch verpflichtend. Als Vorbereitung auf die DSGVO empfiehlt es sich schon jetzt eine Liste zu erstellen. Aus dieser kann später recht einfach ein Verarbeitungsverzeichnis erstellt werden. Dafür werden alle Stellen, Systeme und Abläufe im Betrieb gesammelt aufgelistet, in denen personenbezogene Daten verarbeitet werden; das sind z.B.: Adresse, Telefonnummer, E-Mail, Bankdaten, Zulassungsdaten, Geschäftsdaten (z.B. Rechnungen) usw.

Checkliste

Damit bei der Suche nach den Daten nichts übersehen wird, hier unsere Checkliste speziell für kleine Werkstätten:

  • Kundendaten zur Rechnungslegung inkl. Rechnungen
  • Fahrzeugdaten für Bestellungen (Kopien von Zulassungsscheinen)
  • Kundendaten zur Kundeninformation (Newsletter, Briefaussendung, Adresslisten, …)
  • Buchhaltung (personenbezogene Zahlungsdaten)
  • Lieferantenkontakt (Bestellungen)
  • Fahrtenbücher (personenbezogene Fahrten)
  • Terminkalender (personenbezogene Termine)
  • Webseitenanalyse (Cookies, Google Analytics, Facebook, …)
  • Kontaktaufnahme (Kontaktformular auf der Webseite)
  • Mitarbeiterdaten (Adressdaten, Kontaktdaten, Urlaube, …)
  • Bewerber (Bewerbungsunterlagen, Kontaktdaten)
  • Online Speicher (Google Drive, One Drive, Apple Cloud, Dropbox, …)

Alle Abläufe in denen Daten verarbeitet werden sollten nun in übersichtlicher Form, sortiert nach Zweck aufgelistet werden.
Die Vorabversion des Verarbeitungsverzeichnisses kann z.B. eine Excel Liste mit folgenden Spalten sein:

  • Zweck der Datenverarbeitung (z.B. Rechnungslegung, Bestellung, …)
  • Kategorie der betroffenen Personen (Kunden, Lieferanten, Bewerber, Mitarbeiter, …)
  • Kategorie der Daten (z.B.Adressdaten von Kunden, Bankdaten von Lieferanten, ….)
  • Kategorie der Empfänger der Daten (z.B. Steuerberater, Softwareanbieter, …)
  • findet eine Übermittlung in Drittländer statt (außerhalb der EU)
  • vorgesehene Fristen der Löschung (z.B. Kunden nach 7 Jahren ohne neue Rechnung, …)
  • Beschreibung der technischen Organisation (z.B. Kopie von Zulassungsscheinen in Ordner, …)

Verarbeitungsliste

Hier die Beispiel-Datei zum Download: Verarbeitungsliste (im 2013er Excel Format; mit allen Office Versionen zu öffnen)

Diese Liste dient als Basis für die Vorbereitungen und ist noch kein vollständiges Verarbeitungsverzeichnis im Sinne der DSGVO!

Wir haben für dich auch bereits eine Anleitung zur Erstellung eines Verarbeitungsverzeichnises für Werkstätten

Schritt 3: Vorbereitung auf Lösch- und Änderungsanfragen

Die DSGVO räumt Betroffenen unter anderem das Recht ein, ihre Daten korrigieren, oder löschen zu lassen. Das bedeutet, eine Person kann eine Werkstatt auffordern ihre Daten zu löschen. In dem Fall muss der Betrieb in der Lage sein, alle personenbezogenen Daten innerhalb kurzer Zeit zu löschen. In kleinen Betrieben sollte das anhand der Verarbeitungsliste schon umsetzbar sein.

Eine Lösch-, oder Änderungsanfrage sollte unbedingt durchgespielt werden!

Den Fall kann man sehr einfach durchspielen. Dabei zeigt sich, welche Daten schwer zu finden, zu ändern, oder zu löschen sind. Es stellt sich heraus, wo noch Vorbereitung nötig ist, damit es im Ernstfall später nicht zu Problemen kommt.

Schritt 4: Risiken und Folgen

Was passiert, wenn Daten verloren gehen, oder in falsche Hände geraten?

Genau das sollte man sich vorher überlegen. Dazu einfach die Verarbeitungsliste durchgehen und für jeden Punkt die folgenden Fragen beantworten:

  • Wie wahrscheinlich ist, dass die Daten unbeabsichtigt gelöscht werden?
  • Wie wahrscheinlich ist, dass die Daten von unbefugten gelesen werden können?
  • Kann man diese Risiken vorab reduzieren? (Zugang, Backup, …)
  • Welche Auswirkungen hat es, wenn die Daten unbeabsichtigt gelöscht werden?
  • Welche Auswirkungen hat es, wenn die Daten in falsche Hände geraten?

Dokumentiere diese Überlegungen!

Schritt 5: Zeit einplanen und informieren

Auch wenn die DSGVO im Betrieb umgesetzt ist, ist es nicht erledigt. Es muss etwas Zeit reserviert werden, in der sich das Unternehmen mit dem Datenschutz auseinandersetzt und die Situation immer wieder bewertet und verbessert.

Es gibt viele Möglichkeiten, sich weiter zu informieren. Nutze die wenigen ruhigen Momente zwischen jetzt und dem 25.5.2018. Mach dich auf dem Gebiet möglichst fit.

Die DSGVO und deren Umsetzung ist komplex und bedarf neben den hier aufgezeigten, viele weitere Umsetzungsschritte. Diese Information erhebt keinen Anspruch auf Vollständigkeit und kann eine individuelle Rechtsberatung nicht ersetzen.

Weiterführende Informationen
, , , ,

Ähnliche Beiträge

2 Kommentare. Hinterlasse eine Antwort

Menü