Die Verarbeitung personenbezogener Daten ist für die Deutschen zu einem wichtigen Thema geworden. Dennoch gaben in einer Statista-Umfrage lediglich 23 Prozent der befragten Unternehmen an, die DSGVO vollständig umgesetzt zu haben.
Die Rechtsabteilungen sind sich bewusst, dass die Einhaltung der DSGVO eine Priorität ist. Aber wo fängt man an, wenn es Tausende von Daten gibt? Und wie kann eine Vertragsmanagementlösung bei dieser Aufgabe helfen?
Einhaltung der DSGVO: Warum heute damit anfangen?
Seit mehreren Monaten weisen Sie die Unternehmensleitung darauf hin, wie wichtig es ist, sich mit der DSGVO auseinanderzusetzen. Leider haben Sie von dort noch keine konkrete Rückmeldung erhalten. Hier sind also einige Argumente, die sie überzeugen könnten.
✨ Gut zu wissen: In Deutschland haben die Datenschutzbehörden ihre Aktivitäten seit in den letzten Jahren deutlich intensiviert. Im Jahr 2024 wurden in Deutschland insgesamt 266 Bußgelder wegen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) verhängt, mit einer Gesamtsumme von rund 2,5 Millionen Euro.
Einhaltung der DSGVO: ein Pluspunkt für das Marketing
Internetnutzer sind ständig mit Phishing, unerwünschter E-Mail-Werbung und belästigenden Anrufen konfrontiert. Angesichts dieser aufdringlichen Praktiken fragen sich immer mehr Menschen, in wessen Hände ihre Informationen gelangen.
Die Moral von der Geschicht‘: Der respektvolle Umgang mit den anvertrauten Daten – und deren Bekanntgabe – wird zu einem klaren Wettbewerbsvorteil. Dies ist umso wichtiger, wenn das Unternehmen eine Beziehung der Nähe und des Vertrauens zu seinen Kunden aufbauen möchte.
CNIL-Kontrolle: ein echtes Risiko
Sobald Sie im Besitz von Informationen sind, die sich auf eine identifizierte (Nachname, Vorname) oder identifizierbare (E-Mail, Telefon, Bild) natürliche Person beziehen, fallen Sie in den Zuständigkeitsbereich der CNIL.
Kein Unternehmen wird verschont. Es genügt eine einzige Beschwerde oder ein Bericht, und schon klopft diese angesehene Organisation an Ihre Tür.
Unabhängig von der Art der Inspektion (vor Ort, auf Einladung, online oder anhand von Unterlagen) wird die Kommission Ihre internen Prozesse und die dazugehörigen Dokumente bewerten. Am besten ist es, wenn Sie die Vorarbeit geleistet haben.
Die 3 Säulen eines erfolgreichen DSGVO-Audits
Bevor Sie loslegen, müssen Sie sich organisieren. Hier sind unsere 3 Empfehlungen, die Ihnen den Einstieg erleichtern.
1) Ernennen Sie einen Datenschutzbeauftragten und geben Sie ihm die Mittel, um erfolgreich zu sein
Irgendjemand im Unternehmen muss unbedingt diesen Hut tragen. Normalerweise ist es die Rechtsabteilung oder der CIO. Je nach Bedeutung und Sensibilität der fraglichen Daten kann es jedoch ratsam sein, einen Datenschutzbeauftragten (DSB) einzustellen oder zu ernennen, entweder intern oder als Dienstleister.
Diese Person wird als Dirigent des Orchesters fungieren und alle Abteilungen auflisten, die direkt oder indirekt mit Daten zu tun haben (Marketing, Kundendienst, Vertrieb usw.). Die schwierigste Aufgabe besteht darin, das Betriebspersonal zur Mitarbeit zu bewegen. Deshalb muss das Unternehmen diese Person nicht nur ausbilden, sondern auch die notwendigen Mittel für diese Aufgabe bereitstellen.
2) Auflistung von Partnern und Unterauftragnehmern, die nicht DSGVO-konform sind
Akteure, die der DSGVO unterliegen, müssen ein Register der Unterauftragnehmer führen. Es ist daher notwendig zu überprüfen, ob alle Unterauftragnehmer, die personenbezogene Daten verarbeiten:
- DSGVO-Subjekt vertraglich vorweggenommen (z. B. Unterzeichnung einer DSGVO-Klausel) ;
- in das Verzeichnis der Unterauftragnehmer aufgenommen werden.
✨ Unser Rat: Bevorzugen Sie Partner und Unterauftragnehmer, die über Zertifizierungen verfügen und die DSGVO vollständig einhalten. Andernfalls könnten Sie kritisiert werden, weil Sie Daten einer Struktur anvertrauen, die nicht sicher genug ist oder die Privatsphäre Ihrer Kunden nicht respektiert. Achten Sie auch auf die digitale Souveränität. Die CNIL steht dem Hosting von Daten außerhalb der Europäischen Union recht ablehnend gegenüber. Sie hat sogar gerade eine förmliche Aufforderung an einen französischen Websitebetreiber gerichtet, der Google Analytics verwendet. Abschließend möchte ich sagen, dass Sie mit Strukturen arbeiten sollten, die auf unserem Gebiet oder dem der EU tätig sind.
3) Machen Sie die Grundlagen richtig: Cookies und Datenschutzbestimmungen
Einige Cookies erfordern die Zustimmung der Besucher (Anzeige von personalisierter Werbung oder Teilen in sozialen Netzwerken). Lehnt der Nutzer diese Cookies ab, können sie nicht auf seinem Endgerät hinterlegt werden. Um dem Gesetz zu entsprechen, sollten Sie ein von der CNIL empfohlenes Bannersystem einrichten.
Die Datenschutzpolitik erfordert mehr Überlegung. Sie wird das Ergebnis einer internen Untersuchung sein, da dieses obligatorische Dokument, das von Ihrer Website aus zugänglich ist, beschreibt, wie die auf Ihrer Website erhobenen Daten verwendet werden.
Es muss obligatorische Informationen enthalten, wie z. B. die Kontaktdaten der für die Datenverarbeitung verantwortlichen Person, den Zweck und die Bestimmung der Daten, das Recht des Kunden auf Widerspruch, Zugang und Berichtigung usw.
Lesen Sie auch: Woher weiß ich, ob es Zeit für einen Compliance-Check ist?
DiliTrust: ein automatisiertes Audit zur Erstellung eines effektiven Fahrplans
Der schwierigste Teil kommt erst noch! Sie müssen Ihre Verbindlichkeiten bereinigen, indem Sie den Inhalt Ihrer Verträge überprüfen. Worum geht es dabei? Die Analyse und damit die Umsetzung von Korrekturmaßnahmen, um Nutzerdaten in Übereinstimmung mit der RGPD zu behandeln.
Wie kann eine Vertragsmanagementlösung wie DiliTrust Sie bei Ihrem DSGVO-Audit unterstützen?
Wussten Sie schon? DiliTrust ist eine schlüsselfertige Lösung, die automatisch Schlüsselinformationen in Ihren Verträgen auf der Grundlage bestimmter Kriterien (anwendbares Recht, Verantwortungsebene, etc.) identifiziert. So erhalten Sie einen Gesamtüberblick über die Maßnahmen, die Sie priorisieren müssen, wie z. B. die Einholung der Zustimmung eines Kundensegments, die Unterzeichnung einer Genehmigung für die Verwendung eines bestimmten Teils der Daten usw.
Ihre schlimmsten Feinde bei einer DSGVO-Prüfung: Zeitmangel und Fehler
Ohne eine Lösung wie DiliTrust erweist sich die Aufgabe, die vor Ihnen liegt, als ebenso unverzichtbar wie mühsam. Ihre Aufgabe besteht darin, die Daten, die von der RGPD betroffen sind, Vertrag für Vertrag manuell in einer Excel-Tabelle zu erfassen. Die Arbeit ist also gewaltig, vor allem wenn es mehrere Niederlassungen in Deutschland oder im Ausland gibt.
Es ist nicht ideal, Tausende von Verträgen von Hand zusammenzutragen, vor allem, wenn Sie sich in einer Notsituation befinden (z. B. wenn Sie von der CNIL vorgeladen werden oder wenn ein Investor die Einhaltung der Vorschriften als wesentliche Bedingung betrachtet). In diesem Stadium sind Fehler und Unvollständigkeit an der Tagesordnung.
DiliTrust: Künstliche Intelligenz und Automatisierung für eine schnelle und zuverlässige Ernte
Die Kriegssaiten bei einer DSGVO-Prüfung? Identifizieren und dann schnell Vertragsdaten extrahieren.
Dazu können Sie Felder wie Unterschriftsdatum, bestimmte Klauseln, Zeitraum, Parteien usw. konfigurieren, um mit wenigen Klicks alle gesuchten Daten zu finden und nach Excel zu exportieren. Die Technologie unterstützt Sie bei dieser Arbeit auf intelligente Weise und reduziert Versäumnisse und Fehler drastisch.
Zum Beispiel: Sie wollen bestehende Vertragsklauseln automatisch mit den Standardvertragsklauseln der Europäischen Union vergleichen, um herauszufinden, ob Ihre Klauseln den EU-Anforderungen entsprechen. DiliTrust macht das für Sie!
✨ Gut zu wissen: Die Europäische Kommission hat Standardvertragsklauseln zu diesem Thema zur Verfügung gestellt und aktualisiert: Weitere Informationen zu diesem Thema finden Sie hier.
Die Standardklauseln der DSGVO müssen 7 Elemente enthalten:
- 1) Beschreibung der Behandlung
- 2) Verpflichtungen des Dienstleistungserbringers gegenüber dem Begünstigten
- 3) Vergabe von Unteraufträgen
- 4) Datenübertragung
- 5) Recht auf Information
- 6) Sicherheitsmaßnahmen
- 7) Dokumentation und Rechnungsprüfung
Respektiert DiliTrust die DSGVO und den Schutz der Privatsphäre seiner Nutzer?
Die Antwort lautet: Ja! Unser Legaltech hat die internationale Zertifizierung ISO/IEC 27001:2013 für Informationssicherheits-Managementsysteme und deren Erweiterung für den Schutz der Privatsphäre ISO 27701:2019 erhalten.
Konkret bedeutet das? Bei DiliTrust werden Ihre Daten in einem hochgradig geschützten Rahmen verwaltet (Hosting-Sicherheit) und vor allem in Übereinstimmung mit der DSGVO verarbeitet (Ihre Privatsphäre ist uns wichtig).
Möchten Sie sehen, wie DiliTrust Sie bei der Einhaltung der DSGVO unterstützt?
