Sind Sie bereit für die DSGVO?

Da jedes Unternehmen einzigartig ist und die DSGVO im Hinblick auf Datenschutz einen risikobasierten Ansatz verfolgt, liegt es in der Pflicht eines jeden Unternehmens, die eigenen Verfahren zur Erhebung und Speicherung von Daten (darunter auch die Nutzung der Marketing- und Vertriebswerkzeuge von HubSpot) zu prüfen und auszuwerten, sowie juristische Beratung in Anspruch zu nehmen, um sicherzustellen, dass die eigenen Geschäftspraktiken die Bestimmungen der DSGVO einhalten. Um Ihr Unternehmen Schritt für Schritt DSGVO-konform zu machen, sollten Sie sich unter anderem die folgenden entscheidenden Fragen stellen. 

• Welche personenbezogenen Daten erfassen/speichern wir?
• Haben wir diese personenbezogenen Daten auf rechtmäßige Weise erfasst? Haben wir die erforderlichen Einwilligungen eingeholt und die betroffenen Personen über den genauen Zweck, für den wir ihre Daten verwenden werden, informiert? Haben wir den Zweck klar und unmissverständlich erklärt und die betroffenen Personen über ihr Recht informiert, ihre Einwilligung jederzeit widerrufen zu können?
• Stellen wir sicher, dass wir personenbezogene Daten nicht länger als nötig aufbewahren und sie immer auf dem aktuellsten Stand halten?
• Bewahren wir personenbezogene Daten in einem sicheren und geschützten Umfeld auf und gewährleisten wir ein dem Risiko angemessenes Sicherheitsniveau? Brauchen wir zum Schutz der von uns gespeicherten, personenbezogenen Daten eventuell Verfahren zur Verschlüsselung oder Pseudonymisierung?  Beschränken wir den Zugriff auf die personenbezogenen Daten, damit sie nur für den vorgesehenen Zweck verwendet werden?
• Erfassen oder verarbeiten wir besondere Kategorien von personenbezogenen Daten, etwa sogenannte „sensible Daten“, Daten von Kindern, biometrische oder genetische Daten o. Ä., und falls ja, erfüllen wir die Standards hinsichtlich ihrer Erfassung, Verarbeitung und Speicherung?
• Übertragen wir die personenbezogenen Daten außerhalb der EU, und falls ja, verfügen wir über angemessene Schutzvorkehrungen?

• Haben wir einen Projektplan erstellt, um bis zum Stichtag im Mai 2018 unsere DSGVO-Compliance zu gewährleisten?
• Können wir auf die Unterstützung seitens der Führungsebene und dementsprechend auf die erforderlichen Ressourcen und finanziellen Mittel zählen, um das Projekt voranzubringen?
• Müssen wir eine Datenschutz-Folgenabschätzung durchführen?
• Müssen wir einen Datenschutzbeauftragten einstellen?
• Führen wir eine Richtlinie zum „Datenschutz durch Technik und durch datenschutzfreundliche Voreinstellungen“ ein, um eine systematische Evaluierung möglicher Auswirkungen eines Projekts oder einer Initiative auf die Privatsphäre von Einzelpersonen zu gewährleisten?
• Haben wir in unserem Plan den Umgang mit Mitarbeiterdaten bedacht?

• Verfügt unser Sicherheitsteam über die nötigen Kenntnisse und Kompetenzen, um seinen Verpflichtungen im Zusammenhang mit der DSGVO nachzukommen, sowie über ausreichende Ressourcen zur Umsetzung erforderlicher Änderungen oder neuer Verfahren?
• Verfügen wir über angemessene Verfahren, um Anträge von betroffenen Personen auf Änderung oder Löschung personenbezogener Daten bzw. Zugang zu ebendiesen zu bearbeiten? Entsprechen diese Verfahren den neuen, in der DSGVO festgelegten Regelungen?
• Verfügen wir über Verfahren zur Meldung von Datenschutzverletzungen, die den erweiterten Meldepflichten im Rahmen der DSGVO entsprechen?
• Sind unsere Mitarbeiter in Sachen EU-Datenschutz umfassend geschult, damit sie mit Daten regelkonform umgehen können?
• Begutachten und prüfen wir die gespeicherten Daten regelmäßig?

• Verfügen wir über eine Datenschutzrichtlinie, und falls ja, müssen wir sie aktualisieren, damit sie den Auflagen der DSGVO entspricht?
• Verfügen wir über klar definierte Richtlinien, was die Dauer der Aufbewahrung verschiedener personenbezogener Daten angeht – seien es Daten von Kunden, Interessenten, Anbietern oder Mitarbeitern? Sind diese Richtlinien DSGVO-konform?
• Dokumentieren wir unsere internen Verfahren in ausreichendem Umfang?
• (Für Auftragsverarbeiter) Haben wir unsere Verträge mit den jeweiligen Verantwortlichen aktualisiert, um zu gewährleisten, dass die zwingenden Bestimmungen des Art. 28 der DSGVO darin enthalten sind?
• Haben wir für den Fall, dass unsere Drittanbieter personenbezogene Daten für uns verarbeiten, unsere Verträge mit ihnen so aktualisiert, dass sie die in der DSGVO festgelegten Anforderungen an Auftragsverarbeiter beinhalten?

Rechtlicher Hinweis