Es lohnt sich, regelmäßig die eigenen Regelungen gemäß DSGVO zu überprüfen. Nicht nur weil die DSGVO den Unternehmen insbesondere „ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“ vorschreibt – sondern weil es Ihnen selbst direkt nutzt.
Eine solche Überprüfung sollte zumindest jährlich erfolgen. Unsere Erfahrung zeigt, dass in mehr als 50% der Fälle Maßnahmen erforderlich sind. Wir haben für Sie einige Punkte zusammengestellt, die Ihnen den Einstieg in die Prüfung erleichtern soll. Diese Übersicht kann nicht vollständig sein, umfasst aber Situationen, wie sie für kleine bis mittlere Unternehmen typisch sind.
Verarbeitungen
Hat sich in den Verarbeitungen etwas in Bezug auf personenbezogene Daten geändert? Beispiele dafür sind:
- Neue, geänderte oder wegfallende Verarbeitungen personenbezogener Daten.
- Neue bzw. wegfallende Kategorien von Personen (Personenkreise).
- Neue bzw. wegfallende Datenkategorien
oder kurz gefragt: sind Sie mittlerweile sicher, alle Verarbeitungen und alle betroffenen Kategorien zu kennen und beschrieben zu haben?
Datenpflege
Im Zuge der regelmäßigen Überprüfung kann – wenn dies nichtautomatisiert geschieht – den Aufbewahrungs- bzw. Löschfristen Rechnung getragen werden.
Oder kurz gefragt: denken Sie auch regelmäßig daran, Daten gemäß Ihren Vorgaben auch tatsächlich zu löschen? Haben Sie dies schon komplett durchgespielt?
Schulung
Im Zuge dieser Überprüfung macht es auf jeden Fall Sinn, die Regelungen der DSGVO mit einer Update-Information in Erinnerung zu rufen.
Oder kurz gefragt: Sind Sie sicher, dass all Ihre Mitarbeiter mit den in Ihrem Unternehmen geltenden Regeln bezüglich DSGVO vertraut sind?
Technische und organisatorische Maßnahmen (TOM)
Gerade hier schreibt die DSGVO die regelmäßige Prüfung vor. Es geht hier um strukturelle Änderungen der IT. Das könnte sein:
- Nutzung eines Cloud-Services
- Neue Gerätetypen, z.B. verstärkter Einsatz mobiler Geräte
- Auch ein Standortwechsel kann Maßnahmen erfordern.
Grundsätzlich ist auch zu prüfen, ob die getroffenen technischen und organisatorischen Maßnahmen dem Stand der Technik entsprechen. Es wird aber eher selten vorkommen, dass eine Maßnahme gar nicht mehr dem Stand der Technik entspricht oder – etwa aufgrund neuer Bedrohungen – viele zusätzliche Maßnahmen erforderlich sind. Bedenken Sie aber, dass sich die Technik laufend weiterentwickelt und sich auch Bedrohungsszenarien laufend ändern.
Oder kurz gefragt: Sind Sie sicher, dass bei Ihnen keine „Guerillatechnologie“ eingesetzt wird bzw. sich „eingeschlichen“ hat?
Bedenken Sie auch, dass sich eine in kleinen Schritten ändernde Bedrohung über die Monate zu einer plötzlich großen Gefahr entwickeln kann.
Und sind Sie schließlich auch sicher, dass alle Mitarbeiter nicht nur die in Ihrem Unternehmen geltenden organisatorischen Regelungen kennen, sondern sie auch einhalten können und wollen?
Also: Die Ausgangsbasis für eine Überprüfung der DSGVO-Konformität Ihres Unternehmens ist immer das Verarbeitungsverzeichnis. Nehmen Sie es zur Hand und lesen Sie es (erstmals?) durch. Wenn Ihnen beim Durchlesen etwas unklar ist oder anders auffällt, dann besteht Handlungsbedarf.
Und dann rufen Sie uns. Gerne helfen wir Ihnen bei der regelmäßigen Überprüfung Ihrer Dokumentationen und Maßnahmen.
[Kontakt]