Erfassen Sie Ihre Fortschritte
Trailhead-Startseite
Trailhead-Startseite

Implementierung eines DSGVO-Compliance-Programms

Lernziele

Nachdem Sie diese Lektion abgeschlossen haben, werden Sie in der Lage sein:

  • Verschiedene Aktivitäten zu beschreiben, die Unternehmen als Vorbereitung auf die DSGVO durchführen können
  • Beschreiben verschiedener Aktivitäten, die Unternehmen als Vorbereitung auf die DSGVO durchführen können

Salesforce verpflichtet sich zum Datenschutz

Für uns bei Salesforce hat Vertrauen oberste Priorität und nichts ist wichtiger als der Erfolg unserer Kunden und der Schutz ihrer Daten. Salesforce war weltweit das erste Top 10-Softwareunternehmen, das die Daten seiner Kunden mit verbindlichen internen Datenschutzvorschriften für Auftragsverarbeiter schützte, die von den europäischen Datenschutzbehörden genehmigt wurden. Salesforce war zudem eines der ersten Unternehmen der Welt, das die Zertifizierung für das EU-US Privacy Shield sowie das Swiss-US Privacy Shield erhielt.

Logo des EU-US-Datenschutzschilds

Salesforce begrüßt die DSGVO als wichtigen Schritt hinsichtlich der Vereinheitlichung der Datenschutzanforderungen in der gesamten EU. Im Verlauf des DSGVO-Gesetzgebungsprozesses und dessen Verabschiedung haben wir eng mit europäischen Gesetzgebern, EU-Datenschutzbehörden und Branchenverbänden zusammengearbeitet. Wir verpflichten uns zur Einhaltung der DSGVO bei der Erbringung unserer Services für unsere Kunden. Außerdem verpflichten wir uns, sicherzustellen, dass unsere Kunden bei der weiteren Nutzung unserer Services die DSGVO einhalten. Wir wissen, dass ähnlich wie bei den bestehenden gesetzlichen Anforderungen für die Einhaltung der DSGVO eine Partnerschaft zwischen Salesforce und unseren Kunden notwendig ist.

Wir verfügen über robuste Sicherheits- und Datenschutzprogramme, die die höchsten Standards der Branche erfüllen. Sie ermöglichen uns, eine Vielzahl von Datenschutzgesetzen und -vorschriften einzuhalten, die auf Salesforce Anwendung finden. Unsere Services haben auf Basis der von uns zum Schutz der personenbezogenen Daten unserer Kunden getroffenen administrativen, technischen und physischen Sicherheitsvorkehrungen zahlreiche sicherheitsrelevante Zertifizierungen erhalten. Einige unserer Services sind nach ISO 27001 und 27018 (International Organization for Standardization), SOC-Berichten (System and Organization Controls) des American Institute of CPAs’ (AICPA), PCI-Datensicherheitsstandards (Payment Card Industry), Certified Cloud Service-Zertifizierung des TÜV Rheinland sowie dem UK Cyber Essentials Scheme zertifiziert. Unsere Services haben auch das TRUSTe Certified-Siegel erhalten, das besagt, dass die Datenschutzzertifizierungsorganisation TRUSTe unsere Datenschutzpraktiken überprüft und festgestellt hat, dass sie ihre Zertifizierungsstandards erfüllen.

Logos von Salesforce-Zertifizierungen

Darüber hinaus bietet Salesforce seinen Kunden eine Vereinbarung zur Auftragsverarbeitung mit strengen Datenschutzbestimmungen, bei denen nur wenige Softwareunternehmen mithalten können. Diese Vereinbarung definiert die Rahmenbedingungen für Datentransfers, die sicherstellen, dass unsere Kunden personenbezogene Daten rechtmäßig an Salesforce außerhalb der Europäischen Union übermitteln können, wobei die Grundlage entweder unsere verbindlichen internen Datenschutzvorschriften, unsere Privacy Shield-Zertifizierung oder Standardvertragsklauseln bilden.

Außerdem veröffentlicht Salesforce für jeden der wichtigsten Services eine Vertrauen- und Compliance-Dokumentation. Diese Dokumentation beschreibt die Architektur jedes Service, die jeweils verfügbaren sicherheits- und datenschutzrelevanten Audits und Zertifizierungen sowie die entsprechenden administrativen, technischen und physischen Kontrollen (TOMs). Die Dokumentation beschreibt außerdem die Infrastruktur und die Gesellschaften, die für die Erbringung der Services von Bedeutung sind.

Sehen wir uns die drei Mechanismen an, die Salesforce für den grenzüberschreitenden Transfer der Daten einsetzt.

Mechanismen für den grenzüberschreitende Datentransfer
Beschreibung
Verbindliche interne Datenschutzvorschriften
Bei den verbindlichen interne Datenschutzvorschriften (BCRs = Binding Corporate Rules) handelt es sich um unternehmensweite Datenschutzrichtlinien, die von den europäischen Datenschutzbehörden genehmigt wurden, um personenbezogene Datentransfers aus dem Europäischen Wirtschaftsraum (EWR) in Länder außerhalb des EWR zu ermöglichen. BCRs basieren auf strengen Datenschutzgrundsätzen, die von den Datenschutzbehörden der Europäischen Union aufgestellt wurden, und eine intensive Zusammenarbeit mit diesen Behörden erfordern. Salesforce war weltweit das erste Top 10-Softwareunternehmen, das die Genehmigung für seine BCRs für Auftragsverarbeiter erhielt.
EU-US Privacy Shield und Swiss-US Privacy Shield
Dies sind Rahmenbedingungen, die das US-Handelsministerium gemeinsam mit der Europäischen Kommission und der Schweizer Regierung aufgesetzt hat, um es Unternehmen zu ermöglichen, beim Transfer personenbezogener Daten aus Europa in die USA die europäischen Datenschutzbestimmungen einzuhalten. Unternehmen lassen die Compliance vom US-Handelsministerium zertifizieren und unterliegen der Aufsicht und Durchsetzung durch die amerikanische Handelskommission (FTC). Salesforce war eines der ersten Unternehmen, das die Zertifizierung gemäß EU-US Privacy Shield erhielt.
Standardvertragsklauseln
Bei diesen auch als "Musterklauseln" bezeichneten Klauseln handelt es sich um Verträge zwischen Parteien auf Basis derer personenbezogene Daten aus Europa in Länder außerhalb des EWR transferiert werden können. Die Europäische Kommission hat die Standardvertragsklauseln erstellt und genehmigt, die detaillierte Verpflichtungen zum Schutz personenbezogener Daten enthalten.

Vorbereitung auf die Einhaltung der DSGVO

Die DSGVO-Compliance erfordert eine Partnerschaft. Salesforce-Kunden können sich nicht allein auf Salesforce verlassen, um sicherzustellen, dass sie die DSGVO einhalten. Jedes Unternehmen, das der DSGVO unterliegt, kann Maßnahmen ergreifen, um die Compliance sicherzustellen. Was kann ein Unternehmen im Einzelnen tun?

Bewusstsein auf Führungsebene schaffen und ein Team aufbauen

Zunächst sollte jedes Unternehmen sicherstellen, dass das Führungsteam sich der Wichtigkeit der DSGVO-Compliance bewusst ist. Um Compliance zu erreichen, müssen Unternehmen erhebliche personelle Ressourcen und finanzielle Investitionen bereitstellen. Dies ist schwierig, wenn die Unternehmensleitung sich der Risiken und Herausforderungen nicht bewusst ist.

Als nächstes sollte das Compliance-Kernteam zusammengestellt werden. Das Unternehmen kann einen Teamleiter ernennen, der die Aktivitäten überwacht und eventuell als Datenschutzbeauftragter fungiert. Jede Abteilung im Unternehmen kann einen oder mehrere Ansprechpartner benennen. Diese Personen wiederum können Kollegen benennen, denen Datenschutz wichtig ist und die sich für den Datenschutz engagieren möchten. Besonders wichtig ist es, dass Vertreter aus den Bereichen Informationssicherheit, Beschaffung, Recht, Personalwesen, Produktmanagement und Marketing zu dem Team gehören, das die Compliance-Bemühungen leitet.

Das Unternehmen bewerten

Sobald ein Unternehmen sein funktionsübergreifendes Team zusammengestellt hat, kann dieses Team das bestehende Datenschutz- und Sicherheitsniveau des Unternehmens analysieren, um die wichtigsten Schwerpunkte zu identifizieren. Ein wichtiges Element dieser Analyse ist festzustellen, wo das Unternehmen personenbezogene Daten speichert. Viele Unternehmen erkennen bei der Analyse, dass sie Dutzende, wenn nicht gar Hunderte verschiedener Datenbanken und Systeme einsetzen, in denen personenbezogene Daten gespeichert werden. Die personenbezogenen Daten können von Mitarbeitern, Bewerbern oder Personen, die Formulare auf Websites ausfüllen, an Wettbewerben oder Treueprogrammen teilnehmen, Einkäufe tätigen, Rabatt- oder Garantiekarten ausfüllen, an Veranstaltungen teilnehmen oder Kundenservice-Teams per E-Mail, Telefon oder Social Media kontaktieren, stammen.

Hinweis

Hinweis

Eventuell werden diese Datenbanken und Systeme, in denen personenbezogene Daten gespeichert werden, von vielen verschiedenen Abteilungen innerhalb eines Unternehmens genutzt. Marketing, Vertrieb, Personalwesen, Finanzen, IT, Sourcing, Lohn- und Gehaltsabrechnung, Risikomanagement, Gesundheit und Sicherheit, Revision und Rechtsabteilung können jeweils eigene Systeme betreiben oder mit verschiedenen Anbietern zusammenarbeiten, um personenbezogene Daten zu verwalten.

Wenn ein Unternehmen feststellt, wo es diese Daten speichert, kann das Team ein Dateninventar erstellen, das für jedes Speichersystem zeigt, welche Art von Daten dort gespeichert sind, woher sie stammen, wofür sie verwendet werden, wer Zugriff darauf hat, wie sie gesichert sind, an welche Dritten sie übertragen werden und wie lange sie aufbewahrt werden. Dadurch kann das Team auch alle Dritten identifizieren, von denen das Unternehmen entweder personenbezogene Daten erhält oder an sie übermittelt.

Ausgehend von der Analyse können Unternehmen ein Verzeichnis der Verarbeitungsaktivitäten erstellen und die Tätigkeiten identifizieren, die hohe Risiken für den Datenschutz darstellen. Unternehmen können für jede risikoreiche Aktivität eine Datenschutz-Folgenabschätzung durchführen, um die Maßnahmen zu bestimmen, die sie für einen angemessenen Schutz der Datenschutzrechte ergreifen müssen.

Kontrollen und Prozesse einrichten

Sobald ein Unternehmen einen besseren Überblick über seine Daten hat, kann das Team einen Zeitplan mit den notwendigen operativen und technologischen Veränderungen erstellen. Mithilfe des Zeitplans kann sichergestellt werden, dass das Unternehmen über angemessene Kontrollen und Prozesse verfügt, wie z. B.:

Datenschutzerklärungen:Sobald personenbezogene Daten erhoben werden, müssen Informationen zum Datenschutz gegeben werden. Dies gilt auch bei Verwendung von Cookies und Tags auf der Website.

Nutzungseinschränkungen: Die Nutzung der Daten durch das Unternehmen kann mithilfe administrativer oder technologischer Kontrollen auf die Zwecke beschränkt werden, für die die Daten erhoben wurden.

Sicherheit: Administrative, physische und technologische Sicherheitsmaßnahmen sind erforderlich, um den unbefugten Zugang bzw. die nicht rechtmäßige Verwendung, Änderung, Offenlegung oder Löschung personenbezogener Daten zu verhindern.

Rechte der betroffenen Person:: Es werden Mechanismen und Prozesse benötigt, um die Zustimmungspräferenzen der betroffenen Person zu verwalten und auf Beschwerden sowie Verlangen auf Auskunft, Berichtigung, Einschränkung der Verarbeitung, Übertragbarkeit und Löschung zu antworten.

Lieferantenmanagement: Unternehmen müssen Verträge mit verbundenen Unternehmen, Lieferanten und anderen Dritten haben, die personenbezogene Daten erheben oder erhalten, einschließlich Standardvertragsklauseln oder anderen internationalen Transfermechanismen, die einen Datentransfer außerhalb der EU erlauben.

Incident Response: Es müssen Prozesse erstellt werden, um Sicherheitsverletzungen aufzudecken und darüber zu informieren. Hierin eingeschlossen sind das Schließen der Sicherheitslücke und die Benachrichtigung aller erforderlichen Parteien.

Schulung: Es müssen Mitarbeiter- und Lieferantenschulungen durchgeführt werden, um das Bewusstsein für Datenschutzrichtlinien, -prozesse und -anforderungen zu schärfen sowie Bedenken und verdächtige Datenaktivitäten zu melden.

Folgenabschätzungen: Für jede Aktivität mit hohem Datenschutzrisiko müssen Datenschutz-Folgenabschätzung durchgeführt werden.

Klemmbrett mit Checkliste

Compliance dokumentieren

Wenn das Unternehmen auf dem Weg zur Compliance ist, kann sich das Team auf die Dokumentation der Compliance-Aktivitäten konzentrieren. Das Unternehmen kann Kopien der Datenschutzhinweise und Einwilligungsformulare, des Dateninventars und der Verzeichnisse der Verarbeitungstätigkeiten, der schriftlichen Richtlinien und Verfahren, der Schulungsmaterialien, der unternehmensinternen Datentransferverträge und der Lieferantenverträge zusammenstellen. Sofern notwendig kann das Unternehmen einen Datenschutzbeauftragten ernennen und die zuständige EU-Aufsichtsbehörde benennen. Darüber hinaus ist es sinnvoll, in regelmäßigen Abständen Bewertungen oder Audits des Datenschutzprogramms im Unternehmen durchzuführen, um sicherzustellen, dass alles wie geplant abläuft.

Der Weg zur DSGVO-Compliance ist gespickt mit vielen Fragen, Wahlmöglichkeiten und komplexen Analysen. Es ist eine lange, aber interessante Reise, die Unternehmen mit Unterstützung der Führungsebene und Anleitung durch sachkundige interne und externe Partner unternehmen müssen. Diese Reise wird etwas leichter, wenn man sich das alles überspannende Prinzip vor Augen hält, das bereits im Einleitungssatz der DSGVO beschrieben wird: Der Schutz personenbezogener Daten ist ein Grundrecht.

Ressourcen

retargeting