Neuigkeiten & Blogs von Netmail

Finden Sie all unsere Neuigkeiten und interessanten Blog-Einträge zu Netmail, der NetGovern Software Suite und Information Management im Allgemeinen.

Die EU-DSGVO hat zum Ziel die unterschiedlichen Datenschutzrichtlinien innerhalb Europas zu vereinheitlichen und zu harmonieren. Dabei sollen die Daten der EU-Bürger noch besser geschützt und deren Rechte in Bezug auf Ihre persönlichen und personenbezogenen Daten gestärkt werden. Doch die DSGVO gilt nicht nur für Unternehmen, die Ihren Sitz innerhalb der EU haben, sondern für alle Unternehmen, die Geschäfte in der EU tätigen.

Sofern auch Ihr Unternehmen Standorte in der EU hat oder aufgrund des Geschäftszwecks unter die DSGVO fällt, sollen Sie diese 10 Schritte bei der Umsetzung der DSGVO unterstützen.

1. Stellen Sie sicher, dass jeder an Bord ist.

Für die Umsetzung der DSGVO ist es wichtig, dass das gesamte Unternehmen involviert und somit „an Board“ ist. Die DSGVO ist keine Verordnung, die sich auf einzelne Abteilungen und Bereiche beschränkt. Jeder Mitarbeiter und auch die Führungskräfte sollten sowohl über ihre persönlichen Rechte in Bezug auf die DSGVO und vor allem auch über ihre Pflichten als Mitarbeiter informiert sein. Die Umsetzung der DSGVO gelingt am besten, wenn die Verantwortlichen hinter dem Projekt stehen und aktiv involviert sind. Aus jedem relevanten Bereich, darunter HR, IT, Finanzen etc. sollte ein Projektbeteiligter integriert sein.

2. Einwilligung zur Datenerhebung

Die Einwilligung ist Grundvoraussetzung für die Erhebung sämtlicher Daten. Unternehmen, die Daten erheben, müssen klar erkennbar aufzeigen, zu welchem Zweck die Daten erhoben werden und weitere Anforderungen an eine DSGVO-konforme Einwilligung beachten. Die Einwilligung der betroffenen Person muss dabei freiwillig und eindeutig sein und ist zweckgebunden. Das heißt, eine Person, die Ihre Daten für den Download eines Dokuments hinterlässt, darf auf dieser Grundlage nicht in den Verteiler des Newsletter-Abonnements gelangen. Dies setzt voraus, dass Unternehmen wissen, wofür welche Informationen verwendet werden, und auch die Prozesse klar sind, wie mit welchen Daten umgegangen wird.

3. Bestellung eines Datenschutzbeauftragten

Die Bestellung eines Datenschutzbeauftragten ist in der DSGVO und zusätzlich auch im neuen Bundesdatenschutzgesetz geregelt. Dabei gilt für Unternehmen mit mehr als 10 Beschäftigten, die regelmäßig mit automatisierter Datenverarbeitung beschäftigt sind, die Pflicht zur Ernennung eines Datenschutzbeauftragten. Auch die Kategorie der verarbeiteten Daten oder das Geschäftsfeld des Unternehmens können zur Ernennung eines DSB verpflichten.

4. Löschung von ungenutzten Daten

Mit der DSGVO werden Unternehmen zur Datensparsamkeit und Datenvermeidung (Art. 5 „Datenminimierung“) aufgefordert. Es sind nur tatsächlich benötigte Daten zu speichern und Daten, für die es keinen Grund mehr gibt, diese aufzubewahren, sind zu löschen. Damit soll vermieden werden, dass Unternehmen Datenberge ansammeln über Daten und Informationen, die für den eigentlichen Zweck, zu dem sie erhoben wurden, nicht mehr benötigt werden. Die Umsetzung der Löschfristen, die in einem Löschkonzept zu hinterlegen sind, gelten ebenfalls verpflichtend. Löschung meint die tatsächliche Löschung, also auch das Löschen von Kopien oder den entsprechenden Daten aus angeschlossenen Anwendungen.

5. Update der Sicherheitsrichtlinie

Beim Durchlesen der DSGVO wird schnell deutlich, dass für die Umsetzung der Anforderungen der DSGVO die IT maßgeblich zu beteiligen ist. Um personenbezogene Daten in Übereinstimmung mit den Anforderungen zu verarbeiten, stellt eine aktuelle und angepasste Richtlinie für die IT-Sicherheit die Basis dar. Nur mit den entsprechenden Vorkehrungen kann der Schutz von personenbezogenen Daten gewährleistet werden. Unternehmen sollten daher das entsprechende IT-Konzept überarbeiten und mit Bezug auf die Vorgaben der DSGVO anpassen. Hieraus kann bereits ein Teil für die Übersicht der technischen und organisatorischen Maßnahmen übernommen werden.

6. Überarbeitung interner Richtlinien und Prozesse

Die DSGVO hat nicht nur Auswirkungen auf die IT-Richtlinien eines Unternehmens. Um Datenminimierung umzusetzen, müssen auch die internen Richtlinien und Prozesse überprüft und gegebenenfalls angepasst werden. Gerade Mitarbeiter, die täglich mit der Verarbeitung von Daten beschäftigt sind, sollten hierbei eingebunden werden. Für die Übersicht aller Prozesse, in denen Daten verarbeitet werden, ist ein sogenanntes Verarbeitungsverzeichnis anzulegen. Dieses gibt u. a. Aufschluss über die die genutzte Anwendung, die Art und Kategorie der verarbeiteten Daten, den Prozessverantwortlichen, ggf. die Löschfrist und die getroffenen technischen und organisatorischen Maßnahmen (TOM’s) zum Schutz der Daten.

7. Schulung der Mitarbeiter

Einer der wichtigsten Schritte im Rahmen der Umsetzung der DSGVO ist die Schulung der Mitarbeiter, die in Art. 39 als Aufgabe des Datenschutzbeauftragten vorgesehen ist und somit regelmäßiger Bestandteil des Datenschutzmanagements sein sollte. Die Schulung der Mitarbeiter dient der Sensibilisierung zum Datenschutz, denn hierin liegen mit die größten Risiken für Datenschutzverstöße. Mitarbeiter sollen Ihre Rechte und Pflichten kennen, um deren Bewusstsein für datenschutzrechtliche Herausforderungen zu schärfen. Sie sollen in die Lage versetzt werden bei entsprechenden Anfragen richtig zu agieren und in Ihrem Arbeitsalltag im Sinne der Datenminimierung handeln. Der beste Weg ist es als Geschäftsführer mit positivem Beispiel voran zu gehen.

8. Durchführung eines Audits

Um einen aktuellen Status über den Bereich Datenschutz zu erhalten, ist die Durchführung eines internen Audits zu empfehlen. Hierbei gilt es zu klären, welche Daten verarbeitet werden, wie diese Daten verarbeitet werden und wo die Daten gespeichert sind. Ggf. findet auch eine Datenübermittlung an Dritte statt. Hierbei gilt es zu prüfen, ob ein Vertrag zur Auftragsverarbeitung (AVV) geschlossen werden muss. Unternehmen sollten die für sie tätig werdenden Dienstleiter prüfen und– sofern notwendig – einen solchen Vertrag abschließen. Werden sensible Daten verarbeitet, so sind diese besonders zu schützen. Der Überblick hilft Unternehmen Schwachstellen zu erkennen und Optimierungen zu priorisieren.

9. Überarbeitung der Datenschutzrichtlinie

Eine Datenschutzerklärung / -richtlinie gibt Aufschluss über die Daten, die verarbeitet werden, die Art und Weise der Verarbeitung sowie die Rechte von Betroffenen. Die meisten Unternehmen gehen hierbei von außen nach innen vor. Das heißt, zunächst wird die Datenschutzerklärung des Internetauftritts aktualisiert. Dazu verpflichtet nicht nur die DSGVO, sondern auch das Telemediengesetz: Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten […] in allgemein verständlicher Form zu unterrichten […]. Danach sollte für die interne Handhabung eine Datenschutzrichtlinie erstellt werden. Auch eine Datenschutzerklärung für die Mitarbeiter ist zu empfehlen, damit diese wissen, wie ihre Daten bei dem jeweiligen Unternehmen verarbeitet werden.

10. Vorbereitung für Auskunftsanfragen

Jede Person kann zu jeder Zeit eine Anfrage stellen, ob das jeweilige Unternehmen personenbezogene Daten der anfragenden Person verarbeitet. Die Auskunft, die binnen eines Monats gegeben werden muss, beinhaltet u.a. die verarbeiteten Daten, den Zweck der Verarbeitung und ob die Daten an Dritte weitergegeben wurden und wenn ja, warum. Auch dem Wunsch nach Löschung muss ein Unternehmen stattgegeben können. Wichtig ist in jedem Falle, dass Mitarbeiter auf solche Anfragen vorbereitet sind und wissen, an welche Stelle Sie die Person verweisen bzw. an wen die Auskunftsanfrage intern adressiert wird.


Für einen gesamthaften Überblick ist es zu empfehlen die Strategie und alle Maßnahmen geordnet in einem Datenschutzkonzept aufzuführen. Einige Unternehmen gehen bereits dazu über das Datenschutzkonzept zu veröffentlichen. Hierzu sollte jedoch sichergestellt sein, dass das Datenschutzkonzept keine personenbezogenen oder sensiblen Daten enthält.

Sie haben Fragen zum Thema DSGVO und Datenschutz oder benötigen Unterstützung bei der Umsetzung? Kontaktieren Sie uns!

Diese Website verwendet Cookies. Indem Sie weiter auf dieser Website navigieren, ohne die Cookie-Einstellungen Ihres Browsers zu ändern, stimmen Sie der Verwendung von Cookies zu. Weitere Hinweise zu Cookies finden Sie in unserer Datenschutzerklärung.