az-Serie DSGVO Teil 5: Best Practice Beispiel

Schritt für Schritt zum Ziel


Foto: Pixabay

Wer sein Unternehmen noch datenschutzkonform aufstellen muss, hat einige Hürden zu nehmen. Der Geschäftsführer der fodjan GmbH, Carsten Gieseler, erläutert, wie seine Firma Schritt für Schritt vorgegangen ist.

Foto: Felix Holland

1. Was habe ich mir als Erstes vorgenommen?

Am Anfang der Umsetzung stand eine ausführliche Beratung durch einen auf Datenschutz spezialisierten Anwalt. Um mich darüber hinaus zu informieren, habe ich die sehr guten Angebote des Digitalverbandes Bitkom zur DSGVO genutzt.

Danach war für mich klar: Um die DSGVO im Betrieb umzusetzen, benötigen wir eine spezialisierte Software. Daher habe ich die Software DSMS.Cloud installiert, die das Management der durch die DSGVO geforderten Dokumentation erleichtert.

Anschließend wurden alle Prozesse im Unternehmen auf personenbezogene Daten untersucht, um diese in der Software zu erfassen. Daraufhin konnten wir die geeigneten technischen und organisatorischen Maßnahmen zur Gewährleistung eines angemessenen Schutzes von personenbezogenen Daten ableiten.

2. Was ist die größte Herausforderung?

Als Unternehmen, das personenbezogene Daten verarbeitet oder nutzt, muss man in der Lage sein, diese innerhalb von einem Monat an die entsprechende Person in einem üblichen digitalen Format herauszugeben. Dies stellte vor allem unsere Kundenbetreuung und Beratung vor erhebliche Herausforderungen. Jedes Futterattest, jede Milchkontrolle, jede E-Mail, sogar jede Notiz, welche mit dieser Person in Verbindung gebracht werden kann, muss auf Anfrage eines Kunden übergeben werden können.

3. Was muss auf Wunsch der Kunden gelöscht werden?

Die jeweilige Person hat neben dem Recht auf Auskunft bezüglich aller über sie gesammelten Daten auch das Recht, diese löschen zu lassen. Dabei löschen wir jeglichen Personenbezug, behalten zur Weiterentwicklung unserer Produkte aber die vollständig anonymisierten Fütterungsdaten. Ein vereinfachtes Beispiel: Die Milchleistung einer Kuh in Höhe von 30 kg, welche dem Landwirt Max Mustermann gehört, ist ein personenbezogenes Datum und muss als solche für Max Mustermann einsehbar sein. Im Falle einer Löschung werden von uns alle personenbezogen Daten, wie Namen, Adressen und Kundennummern, entfernt. Danach speichern wir lediglich, dass eine anonyme Kuh eine Milchleistung von 30 kg hatte. Diese Information ist keiner Person und keinem Betrieb mehr zuzuordnen, ist aber für die Weiterentwicklung unserer Produkte wichtig.

4. Welche Daten darf mein Unternehmen behalten?

Alle personenbezogenen Daten, für welche eine Einwilligung der entsprechenden Person vorliegt, sowie alle Daten, welche aus rechtlichen Gründen für einen bestimmten Zeitraum aufbewahrt werden müssen, beispielsweise Rechnungen. Langfristig gespeichert werden aber lediglich Daten, welche keiner natürlichen Person zugeordnet werden können.

5. Was habe ich auf meiner Webseite geändert, damit für Kunden transparent ist, welche Daten ich über sie speichere und wie sie es löschen können?

Die Datenschutzerklärung wurde entsprechend angepasst.

6. Welche Dinge habe ich selbst erledigt, welche habe ich an externe Firmen ausgelagert?

Rechtlich relevante Aufgaben haben wir an einen Anwalt und unseren externen Datenschutzbeauftragten ausgelagert. Die Aufarbeitung der Prozesse haben wir daraufhin selbst erledigt.

7. Wie viel Zeit hat es gekostet?

Die Einrichtungszeit hat rund zehn Wochen mit jeweils zwei Tagen Arbeit beansprucht. Nun werden wir rund einen halben Tag pro Woche durch die Geschäftsführung benötigen. Die Umsetzung der DSGVO hat in etwa den gleichen Aufwand wie die Umsetzung des Steuerrechts. Da wir ein kleineres Unternehmen sind, welches viele Prozesse digitalisiert hat, hält sich der Aufwand in Grenzen. Größere Unternehmen haben hier wie beim Steuerrecht natürlich erheblich höhere Aufwendungen.

Die Kommentare für diesen Artikel sind geschlossen.

stats