Der Datenschutz ist in Unternehmen auf der ganzen Welt zu einem zentralen Compliance-Risiko geworden. GDPR (Europa), CCPA (Kalifornien), APP (Australien), PIPEDA (Kanada), PDO (Hongkong), PIPA (Japan), ECTA (Südafrika)... die Welt der Datenschutz-Compliance ist wie eine Buchstabensuppe, und doch zeigt diese Liste nur einige der vielen Datenschutzbestimmungen, die auf Unternehmen einwirken.
Die Herausforderung bei der Einhaltung des Datenschutzes besteht darin, dass das Geschäft dynamisch ist. Es ändert sich von Minute zu Minute und von Sekunde zu Sekunde. Personenbezogene Daten sind in den Daten und Prozessen eines Unternehmens allgegenwärtig (z. B. Mitarbeiterdaten, Kundendaten und Verkaufsdaten). Vielleicht waren Sie Ende 2019 mit Ihren Datenschutzverpflichtungen auf dem Laufenden, aber das Unternehmen hat sich in den letzten Wochen stark verändert und muss sich nun auch um die Einhaltung des CCPA kümmern. Prozesse haben sich verändert, das Unternehmen hat sich verändert, Mitarbeiter haben sich verändert, Dritte haben sich verändert, Ihre Kunden haben sich verändert.
Das Management der Einhaltung von Datenschutzbestimmungen muss in Organisationen kontinuierlich verwaltet und überwacht werden. Es handelt sich dabei nicht um eine punktuelle Maßnahme, sondern um eine, die im Rahmen eines kontinuierlichen organisatorischen Wandels angegangen werden muss. Bei der Einhaltung des Datenschutzes geht es darum, die mit der Verarbeitung personenbezogener Daten verbundenen Compliance-, Marken- und Geschäftsrisiken zu ermitteln und zu mindern. Es geht um das Management von Risiken über den gesamten Lebenszyklus von Daten in einer Organisation und deren Netz von Prozessen, Transaktionen, Beziehungen und Interaktionen.
Die folgenden 7 Gewohnheiten hocheffektiver Programme zur Einhaltung des Datenschutzes helfen Ihnen, auf dem richtigen Weg zu bleiben:
1. Ernennung eines Datenschutzbeauftragten
Im Rahmen der DSGVO wird dies als Datenschutz-/Verarbeitungsbeauftragter bezeichnet. Jemand muss dafür verantwortlich sein, dass das Datenschutzrisiko und die Einhaltung der Vorschriften in allen Organisationen und deren Zuständigkeitsbereichen berücksichtigt werden. Bei großen, verteilten Organisationen kann dies erfordern, dass regionale Datenschutzbeauftragte eingesetzt werden, die dem globalen Datenschutzbeauftragten der Organisation Bericht erstatten.
2. Datenprozessflüsse dokumentieren
Grundlegend für die Einhaltung der Datenschutzbestimmungen - ob GDPR, CCPA oder andere - ist die Dokumentation der Datenverarbeitungsabläufe und der Art und Weise, wie personenbezogene Daten (z. B. von Mitarbeitern oder Kunden) in das Unternehmen gelangen und es durchlaufen, wie sie innerhalb des Unternehmens verwendet werden und wie auf sie zugegriffen wird, wie die Disposition und die Kontrollen in diesen Phasen aussehen und wie diese Abläufe über die Beziehungen zu Dritten hinweg zusammenwirken.
3. Definition und Kommunikation von Datenschutzrichtlinien
Letztendlich sind es die Mitarbeiter (und Dritte) auf allen Ebenen des Unternehmens, die mit personenbezogenen Daten umgehen. Bei der Einhaltung der Datenschutzbestimmungen geht es mehr um das Front-Office des Unternehmens als um die Back-Office-Funktion der Einhaltung. Unternehmen müssen sicherstellen, dass sie über die richtigen Richtlinien zum Schutz der Privatsphäre, zum Datenschutz und zur Datennutzung verfügen und dass die Mitarbeiter diese im Zusammenhang mit ihrer Rolle im Unternehmen verstehen. Die Einhaltung der Datenschutzbestimmungen erfordert von den Unternehmen eine klare und vertretbare Dokumentation der Verwaltung der Richtlinien, der Kommunikation, der Bescheinigungen, der Erinnerungen und der Schulungsmaßnahmen.
4. Durchführung von Datenschutz-Folgenabschätzungen.
Unternehmen sollten sich über den Stand der Einhaltung der Datenschutzbestimmungen und das Risiko für personenbezogene Daten in ihrem dynamischen Umfeld im Klaren sein. Dies erfordert die regelmäßige Durchführung einer Datenschutz-Folgenabschätzung sowie Auslöser für die Durchführung einer Bewertung zwischen den regelmäßigen Bewertungen, wenn bestimmte Ereignisse oder Risikoindikatoren die Organisation alarmieren.
5. Überwachung der Kontrollen und der Verwendung personenbezogener Daten
Die laufende Überwachung der Umgebung ist entscheidend, um sicherzustellen, dass Kontrollen vorhanden sind und personenbezogene Daten in der Umgebung geschützt werden. Dies setzt voraus, dass die Organisation Einblick in den Ort hat, an dem personenbezogene Daten gespeichert und verwendet werden, dass sie auf Datenlecks und unangemessene Verwendung achtet und dass sie über vollständige Prüfprotokolle der Interaktionen mit personenbezogenen Daten verfügt.
6. Festlegung von Verfahren zur Reaktion auf Vorfälle
Die besten Pläne von Mäusen und Menschen werden scheitern. Selbst in den besten Organisationen mit der besten Kultur und dem stärksten Engagement für Datenschutz und Integrität wird es Probleme geben. Ob böswillig oder versehentlich, Verstöße gegen den Datenschutz werden vorkommen. Es ist von entscheidender Bedeutung, dass die Organisation über klare Verfahren für die Meldung von Problemen und das Fallmanagement verfügt, um kleine und große Datenschutzverletzungen zu behandeln. Geeignete Schritte und Reaktionspläne sollten bereits vor einem Vorfall festgelegt werden, damit das Unternehmen weiß, wie es damit umgehen muss und keine kostspieligen Fehler macht.
7. Beziehungen zu Dritten regeln
Mehr als die Hälfte der Datenschutzverletzungen geht auf das Konto von Dritten - Auftragnehmern, Beratern, Outsourcern, Anbietern, Zeitarbeitern, Dienstleistern und anderen. Unternehmen müssen sicherstellen, dass auch ihre Drittparteien die Vorschriften einhalten und strenge Richtlinien und Kontrollen befolgen, die mit den Datenschutzrichtlinien und -kontrollen des Unternehmens abgestimmt sind. Datenverarbeiter (z. B. Dritte) sind nach der DSGVO und anderen Vorschriften rechtlich haftbar und haben direkte rechtliche Verpflichtungen zur Einhaltung der Vorschriften. Eine zusätzliche Anforderung ist, dass der Datenverarbeiter keine "vierte Partei" zur Verarbeitung identifizierbarer personenbezogener Daten heranziehen darf, ohne die vorherige Genehmigung seines Kunden (d. h. des für die Datenverarbeitung Verantwortlichen) einzuholen.
Die nächste Herausforderung für die Einhaltung der Datenschutzbestimmungen?
Sobald diese 7 Gewohnheiten für ein hocheffektives Programm zur Einhaltung des Datenschutzes eingeführt sind, besteht die nächste Herausforderung darin, es aktuell zu halten. Die Einhaltung des Datenschutzes (und aller seiner Elemente) ist ein Prozess, der in der heutigen verteilten und dynamischen Organisation kontinuierlich verwaltet werden muss. Es handelt sich nicht um einen einmaligen Aufwand, sondern um einen Prozess, der mit dem Unternehmen synchronisiert werden muss, während es sich entwickelt, anpasst, verändert und wandelt.
Die Wirtschaft verändert sich im Minutentakt und im Sekundentakt. Dies erfordert eine fortlaufende Funktion, die sicherstellt, dass jeder neue Dienst oder Geschäftsprozess, der personenbezogene Identitätsinformationen innerhalb der Organisation nutzt, den Schutz personenbezogener Daten bei der Gestaltung neuer oder der Aktualisierung operativer Prozesse berücksichtigen muss.
Um eine nachhaltige Einhaltung der Datenschutzbestimmungen zu erreichen, müssen Unternehmen über Technologien zur Einhaltung der Datenschutzbestimmungen verfügen, die effizient, effektiv und flexibel sind, um mit einem dynamischen Geschäftsumfeld Schritt zu halten. Dies ist keine einmalige Angelegenheit, sondern erfordert kontinuierliche Anstrengungen, um die Einhaltung der Vorschriften zu gewährleisten. Manuelle Prozesse mit Dokumenten, Tabellenkalkulationen und E-Mails führen nur zu Lücken, Fehlern und schließlich zu erheblichen Problemen bei der Nichteinhaltung von Vorschriften, was zu potenziellen Strafen führt.
