9-Schritte-Checkliste zur DSGVO-Konformität

Eine Checkliste zur DSGVO-Konformität ist eine Liste von Maßnahmen, die einem Unternehmen dabei helfen können, die Datenschutz-Grundverordnung (DSGVO) einzuhalten. Die DSGVO ist ein umfassendes Datenschutzgesetz, das am 25. Mai 2018 in Kraft trat und von der Europäischen Union (EU) erlassen wurde, um Einzelpersonen mehr Kontrolle über ihre personenbezogenen Daten zu geben.

Die DSGVO gilt für alle Unternehmen, die in einem EU-Land geschäftlich tätig sind, auch wenn sie ihren Sitz nicht in der EU haben. Personenbezogene Daten umfassen gemäß der DSGVO alle Informationen, die sich auf eine natürliche Person oder eine betroffene Person beziehen und mit denen diese Person direkt oder indirekt identifiziert werden kann. Dies kann beispielsweise ein Name, ein Foto, eine E-Mail-Adresse, Bankdaten, Standortdaten, medizinische Informationen oder die IP-Adresse eines Computers sein.

Es gibt strenge Regeln für die Verarbeitung personenbezogener Daten. Unternehmen müssen sicherstellen, dass sie personenbezogene Daten sicher und transparent erfassen, verwenden und speichern. Die Verordnung gewährt Einzelpersonen wichtige Rechte an ihren personenbezogenen Daten, darunter das Recht auf Zugriff, Berichtigung, Löschung und Übertragung ihrer Daten sowie das Recht, die Einwilligung zur Datennutzung zu widerrufen.

Wir stellen Ihnen eine einfache Checkliste mit 10 Schritten zur Verfügung, mit der Sie die DSGVO-Konformität Ihres Unternehmens verbessern können.

Möchten Sie mehr über die Auswirkungen von KI auf die Cybersicherheit erfahren? Lesen Sie unseren Blog „KI-Cybersicherheit: Sicherung von KI-Systemen gegen Cyberbedrohungen“.

Wer muss die DSGVO einhalten?

Obwohl die DSGVO von der EU erlassen wurde, ist ihre Reichweite global. Jedes Unternehmen, unabhängig von seinem Standort, das personenbezogene Daten von EU-Bürgern verarbeitet, muss die DSGVO einhalten. Dazu gehören multinationale Konzerne mit Niederlassungen in der EU sowie kleine und mittlere Unternehmen, die EU-Bürgern Waren oder Dienstleistungen anbieten oder deren Verhalten überwachen.

Darüber hinaus unterliegen auch Unternehmen, die personenbezogene Daten in ihrem Auftrag über Drittanbieter verarbeiten, der DSGVO-Verordnung. Das bedeutet: Auch wenn Ihr Unternehmen nicht direkt mit personenbezogenen Daten umgeht, sondern Dienste wie Cloud-Speicheranbieter, E-Mail-Marketing-Plattformen oder Customer-Relationship-Management-Systeme (CRM) nutzt, die dies tun, müssen Sie sicherstellen, dass diese Dienste DSGVO-konform sind.

Verstöße können zu empfindlichen Strafen führen, darunter Geldbußen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des Unternehmens, je nachdem, welcher Betrag höher ist. Neben direkten Geldbußen kann die Nichteinhaltung auch den Ruf eines Unternehmens schädigen und zu einem Verlust des Kundenvertrauens und potenzieller Geschäftsmöglichkeiten führen. Daher sollte das Verständnis und die Einhaltung der DSGVO für alle Unternehmen, die mit EU-Bürgern Geschäfte machen – ob physisch oder digital – Priorität haben.

9-Schritte-Checkliste zur Einhaltung der DSGVO

Die folgende Checkliste ist nicht vollständig, enthält jedoch die wichtigsten Schritte, die Sie unternehmen können, um sicherzustellen, dass Ihr Unternehmen DSGVO-konform ist.

1. Kennen Sie alle Daten, die Ihr Unternehmen sammelt

Führen Sie eine gründliche Prüfung Ihrer Datenerfassungspraktiken durch, um festzustellen, welche Arten personenbezogener Daten Sie erfassen, wie Sie diese erfassen, wo sie gespeichert werden und wer Zugriff darauf hat. Es ist wichtig zu ermitteln, durch welche Systeme die Daten fließen und ob diese ausreichend gesichert sind. Identifizieren Sie auch alle speziellen Datenkategorien, die möglicherweise den DSGVO-Anforderungen unterliegen.

Dieser Prozess kann die Zusammenarbeit verschiedener Abteilungen innerhalb Ihres Unternehmens umfassen und die Berücksichtigung aller unterschiedlichen Möglichkeiten der Datenerfassung umfassen. Dies kann von Kundendaten reichen, die bei Transaktionen erfasst werden, über Mitarbeiterdaten bis hin zu Daten, die von Ihrer Website gesammelt werden.

Sobald Sie alle erfassten Daten identifiziert haben, sollten Sie diese in einem Dateninventar oder einer Datenkarte dokumentieren. Diese Dokumentation ist entscheidend, um den Aufsichtsbehörden Ihre DSGVO-Konformität nachzuweisen, falls diese Sie danach fragen.

2. Benennen Sie einen Datenschutzbeauftragten (DSB)

Ein Datenschutzbeauftragter spielt eine entscheidende Rolle bei der Einhaltung der DSGVO. Er ist für die Überwachung der Datenschutzstrategie und -implementierung in Ihrem Unternehmen verantwortlich. Er fungiert als Ansprechpartner zwischen Ihrem Unternehmen und den Aufsichtsbehörden, die Ihre Datenschutzpraktiken überwachen.

Nicht alle Organisationen sind gemäß der DSGVO verpflichtet, einen Datenschutzbeauftragten zu ernennen. Doch auch wenn die Verordnung dies nicht vorschreibt, wird allen Unternehmen, die große Mengen personenbezogener Daten verarbeiten oder Personen regelmäßig und systematisch überwachen und die Anforderungen und Pflichten eines Datenschutzbeauftragten kennen, dringend empfohlen, im Bedarfsfall einen Mitarbeiter als EU-DSB zu benennen.

3. Aktuelle Datenschutzhinweise prüfen

Ihre Datenschutzhinweise sind ein wesentlicher Bestandteil der DSGVO-Konformität. Sie müssen transparent, leicht zugänglich und in klarer, verständlicher Sprache verfasst sein, damit Ihre Kunden sie verstehen. Sie sollten detailliert beschreiben, welche Daten Sie erheben, wie Sie sie verwenden, mit wem Sie sie teilen und wie lange Sie sie aufbewahren möchten.

Gemäß der DSGVO sind Sie außerdem verpflichtet, Einzelpersonen über ihre Rechte in Bezug auf ihre personenbezogenen Daten, die Art und Weise, wie sie diese Rechte ausüben können, und das Recht, bei einer Aufsichtsbehörde Beschwerde einzulegen, zu informieren.

4. Verstehen Sie die Rechte Ihrer Benutzer und Kunden

Die DSGVO gewährt EU-Bürgern bestimmte Rechte in Bezug auf ihre personenbezogenen Daten. Als Unternehmen müssen Sie sicherstellen, dass Sie über Verfahren verfügen, um diese Rechte zu gewährleisten. Dazu gehören beispielsweise:

• Das Recht auf Information
• Das Recht auf Zugang
• Das Recht auf Berichtigung
• Das Recht auf Löschung („Recht auf Vergessenwerden“)
• Das Recht auf Einschränkung der Verarbeitung
• Das Recht auf Datenübertragbarkeit
• Das Widerspruchsrecht
• Rechte bezüglich automatisierter Entscheidungsfindung und Profiling

Das Verstehen und Umsetzen dieser Rechte kann eine Herausforderung sein, aber um die DSGVO einzuhalten, müssen Sie Ihren kundenorientierten Systemen und Ihrer Datenverarbeitungsinfrastruktur die entsprechenden Funktionen hinzufügen.

In den USA haben mittlerweile fünf Bundesstaaten – Kalifornien, Colorado, Connecticut, Utah und Virginia – umfassende Datenschutzgesetze für Verbraucher erlassen, die der DSGVO ähneln. Diese Rechte und diese Compliance-Checkliste gelten möglicherweise auch in diesen Regionen.

5. Verfahren zum Einreichen von Anfragen überprüfen und aktualisieren

Gemäß der DSGVO haben Einzelpersonen das Recht, auf ihre personenbezogenen Daten zuzugreifen, Ungenauigkeiten zu korrigieren, der Verarbeitung zu widersprechen und die Löschung oder Übertragbarkeit ihrer Daten zu verlangen. Diese Rechte erfordern von Unternehmen robuste Verfahren zur Bearbeitung solcher Anfragen.

Wenn Ihre aktuellen Verfahren nicht den Anforderungen entsprechen, sollten Sie sie überprüfen und aktualisieren. Stellen Sie sicher, dass sie leicht verständlich und anwendbar sind und Anfragen innerhalb der von der DSGVO vorgeschriebenen Frist von einem Monat bearbeiten können. Stellen Sie außerdem sicher, dass Ihre Verfahren die Identität der anfragenden Person überprüfen können, um unbefugten Zugriff auf personenbezogene Daten zu verhindern (was zu weiteren DSGVO-Verstößen führen kann).

6. Aktualisieren Sie vorhandene Einwilligungen und Double-Opt-In

Die DSGVO verlangt von Unternehmen, vor der Verarbeitung personenbezogener Daten die ausdrückliche und informierte Einwilligung der betroffenen Personen einzuholen. Das bedeutet, dass Sie die betroffenen Personen klar darüber informieren müssen, warum Sie ihre Daten erheben und wie Sie diese verwenden möchten. Dies gilt auch für Website-Formulare, Offline-Marketing-Formulare und Verkaufsformulare.

Wenn Ihre bestehenden Einwilligungsmechanismen diese Anforderungen nicht erfüllen, müssen Sie sie aktualisieren. Dies kann bedeuten, dass Sie Ihre bestehenden Datensubjekte kontaktieren und eine neue Einwilligung einholen, die den DSGVO-Standards entspricht. Bedenken Sie, dass die Einwilligung gemäß DSGVO jederzeit widerrufen werden kann. Stellen Sie daher sicher, dass Ihre Verfahren dies berücksichtigen.

Ein weiterer Aspekt der Einwilligung gemäß der DSGVO ist das „Double-Opt-in“. Dabei wird nach der Anmeldung eine Bestätigungs-E-Mail an die E-Mail-Adresse des Nutzers gesendet. Anschließend muss der Nutzer auf einen Link in der E-Mail klicken, um sein Abonnement zu bestätigen. Dieser Vorgang liefert einen eindeutigen Nachweis der Einwilligung, der gemäß der DSGVO erforderlich ist.

7. Erkennen, Melden und Untersuchen von Datenschutzverletzungen

Der dritte Schritt unserer DSGVO-Checkliste ist die Entwicklung eines robusten Systems zur Erkennung, Meldung und Untersuchung von Datenschutzverletzungen. Gemäß der DSGVO müssen Unternehmen Datenschutzverletzungen innerhalb von 72 Stunden nach Bekanntwerden der zuständigen Behörde melden. Sie müssen betroffene Personen außerdem unverzüglich benachrichtigen, wenn die Verletzung ein hohes Risiko für ihre Rechte, Privatsphäre, Identität und Freiheiten darstellt.

Um diese Anforderungen zu erfüllen, benötigen Sie wirksame Systeme zur Erkennung von Sicherheitsverletzungen. Darüber hinaus benötigen Sie klare Meldeverfahren und eine Strategie zur Untersuchung und Eindämmung der Auswirkungen von Sicherheitsverletzungen. Regelmäßige Tests und Aktualisierungen dieser Verfahren sind unerlässlich, um ihre Wirksamkeit zu gewährleisten.

8. Seien Sie transparent bei der Datenerfassung und veröffentlichen Sie Ihre Datenschutzpraktiken

Die DSGVO betont das Prinzip der Transparenz, das von Unternehmen verlangt, offen und ehrlich über ihre Datenverarbeitungsaktivitäten zu sein.

Das bedeutet, dass Sie Einzelpersonen klar darüber informieren müssen, warum Sie ihre Daten erheben, an wen sie weitergegeben werden, wie lange sie gespeichert werden und wie sie ihre Rechte ausüben können. Sie sollten auch klarstellen, wie Einzelpersonen und Unternehmen Änderungen an ihren Daten beantragen oder der Datenerfassung widersprechen können. Alle diese Informationen sollten in prägnanter, transparenter und leicht zugänglicher Form bereitgestellt werden, beispielsweise in einem Datenschutzhinweis auf Ihrer Website.

9. Bewerten Sie regelmäßig alle Risiken Dritter

Wenn Ihr Unternehmen Daten an Dritte weitergibt oder Dienste von Drittanbietern zur Datenverarbeitung nutzt, müssen Sie sicherstellen, dass diese Parteien ebenfalls die DSGVO einhalten.

Dazu gehört die regelmäßige Überprüfung Ihrer Drittanbieter und die Aktualisierung Ihrer Verträge mit ihnen, um DSGVO-konforme Datenverarbeitungsklauseln aufzunehmen. Sie müssen außerdem jederzeit genau wissen, wo Ihre Daten gespeichert und verarbeitet werden, und sicherstellen, dass entsprechende Sicherheitsvorkehrungen zu deren Schutz getroffen werden. Dokumentieren Sie abschließend den Umfang Ihrer Drittanbieterdaten und notieren Sie sich mögliche Risiken.

Einhaltung der DSGVO-Sicherheitskontrollen mit Exabeam

Exabeam unterstützt Unternehmen dabei, sowohl technologische als auch betriebliche Anforderungen zu erfüllen, darunter:

• Reduzierung externer Bedrohungen: Exabeam arbeitet mit bestehenden Sicherheitslösungen zusammen und nutzt maschinelles Lernen und Verhaltensanalysen, um ungewöhnliche Aktivitäten zu erkennen, die auf den Versuch eines Angreifers hindeuten könnten, Daten zu finden und darauf zuzugreifen.
• Reduzierung interner Bedrohungen: Exabeam arbeitet mit Identitäts- und Zugriffsverwaltungslösungen zusammen, um Sicherheitsvorfälle zu verhindern, die durch versehentlichen oder böswilligen Missbrauch zugewiesener Berechtigungen entstehen. Durch die Kennzeichnung von Aktivitäten, die für einen bestimmten Benutzer nicht der Norm entsprechen, hilft Exabeam potenzielle Vorfälle zu erkennen, die zu Datendiebstahl führen könnten. Ideale Protokollquellen, die Anwendungsfällen zugeordnet sind, und das MITRE ATT&CK ^Ⓡ-Framework zeigen, welche Tools im Sicherheitsarsenal kombiniert werden können, um ein klares Bild der Ereignisse zu zeichnen.

Übersicht und rechtzeitige Benachrichtigung: Exabeam fungiert nicht nur als zentrale Informationsstelle im Sicherheitsökosystem des Kunden, sondern bietet auch forensische Informationen über das gesamte Ausmaß des Vorfalls, einschließlich Anmeldeinformationen und genauer Berichte für eine bessere Compliance-Berichterstattung.