DSGVO-Umsetzung: Methodisches Handeln, bevor Hektik aufkommt!

Christian Zöhrlaut von Sage rät Entscheidern, sich rechtzeitig auf die neue Rechtslage einzustellen

[datensicherheit.de, 11.02.2018] Hinsichtlich der Umsetzung der neuen europäischen Datenschutzbestimmungen droht jetzt Hektik aufzukommen, denn ab dem 25. Mai 2048 tritt die DSGVO EU-weit endgültig in Kraft. Es kann jedoch als sicher gelten, dass viele Unternehmen noch nicht darauf vorbereitet sind: So hat beispielsweise der Digitalverband Bitkom noch im September 2017 bei einer Umfrage festgestellt, dass gerade einmal 13 Prozent der Unternehmen entsprechende Maßnahmen eingeleitet haben.

Abläufe rechtzeitig auf neue Rechtslage einstellen!

Christian Zöhrlaut, „Director Products Central Europe“ bei Sage, weist in einer aktuellen Stellungnahme darauf hin, worauf Unternehmen nun achten sollten, um sich und ihre Abläufe rechtzeitig auf die neue Rechtslage einzustellen.
Sicher sei schließlich ebenfalls, dass Unkenntnis der neuen Bestimmungen nicht vor Sanktionen schützt. Zöhrlaut: „Und die fallen künftig drastisch höher aus als bislang: Bis zu vier Prozent vom Jahreseinkommen oder 20 Millionen Euro kann ein Verstoß gegen das Datenschutzrecht künftig kosten.“ Bei der Antwort auf die Frage, was nun zu tun ist, seien sich die meisten Unternehmen und ihre Entscheider alles andere als sicher.

Datenschutz gemäß DSGVO muss „Chefsache“ sein!

Datenschutz liegt in vielen Unternehmen in den Händen der IT-Abteilung – je nach Art und Größe des Unternehmens gibt es zudem einen Datenschutzbeauftragten. „Doch wer im Zuge der Umstellung auf die DSGVO wofür verantwortlich ist, weiß häufig niemand genau. Die Verantwortung wird wie ein Schwarzer Peter herumgereicht“, so Zöhrlaut.
Das Problem dabei sei: Im Falle einer Datenschutzverletzung in einem kleinen Teil eines Unternehmens müsse sich das betroffene Unternehmen insgesamt verantworten. Zöhrlaut: „Ergreifen Sie deshalb jetzt die Initiative: Steuern Sie die Maßnahmen zur Anwendung der DSGVo in Ihrem Unternehmen selbst!“
Er rät indes den Entscheidern, ein Team zur Umsetzung der DSGVo zusammenstellen: „Datenschutz betrifft alle, die mit personenbezogenen Daten arbeiten. Holen Sie deshalb Führungskräfte aus den Abteilungen IT, Personal (HR), Marketing und Vertrieb sowie Finanz- und Rechnungswesen ins Team.“

Datenschutz als strategische Aufgabe

Im Zeitalter der Digitalisierung wird Datenschutz zu einer strategischen Aufgabe, um eines der wichtigsten Unternehmens-Assets zu sichern: Die Daten der Kunden!
Zöhrlaut: „Aber was bedeutet eigentlich Datenschutz? Was sind personenbezogene Daten und wann dürfen sie verarbeitet werden? Wie wirken sich die Grundsätze der Zweckbindung, Transparenz, Datenminimierung und Richtigkeit in der Praxis aus? Nehmen Sie sich Zeit, die neuen Vorschriften und ihre Folgen zu verstehen. Alles Wissenswerte zum Thema DSGVo finden Sie beispielsweise in E-Books von Sage zum Thema.“
Die DSGVo verlangt eine Datenschutzorganisation für den gesamten Lebenszyklus personenbezogener Daten mit dem Ziel, Datenschutzverletzungen von vornherein zu vermeiden. „Das erfordert technische und organisatorische Maßnahmen auf dem Stand der aktuell verfügbaren Technik“, betont Zöhrlaut. Von der Konzeption bis zur Überwachung seien alle Prozesse jeweils „State of the Art“ zu gestalten. Daher gehörten alle bisherigen Abläufe in technischer, organisatorischer und personeller Hinsicht in den datenverarbeitenden Abteilungen auf den Prüfstand.

Projektmanagement und Dokumentation gefragt

„Erstellen Sie einen Fahrplan zur Umsetzung der DSGVO in Ihrem Unternehmen. Verteilen Sie die anstehenden Aufgaben“, rät Zöhrlaut.
Beispielsweise seien viele Verträge zu überarbeiten: Auftragsdatenverarbeitung, Allgemeine Geschäftsbedingungen, Betriebsvereinbarungen und Arbeitsverträge. Außerdem müssten Mitarbeiter im korrekten Umgang mit personenbezogenen Daten geschult werden. Es gelte die Fortschritte „regelmäßig und zeitnah“ zu überprüfen. Der Stichtag 25. Mai 2018 lasse „keinen Spielraum für Verzögerungen“.
Zöhrlaut weiter: „Dokumentieren Sie Ihre bestehenden Datenschutzmaßnahmen und halten Sie fest, welche neuen technischen und organisatorischen Maßnahmen Ihr Unternehmen ergriffen hat.“ Neben der Änderung der Datenschutzerklärung sowie der Einwilligungserklärungen gehörten dazu unter anderem klar definierte Prozesse für den Widerruf einer Einwilligung, Korrekturen und Löschbegehren (das Recht vergessen zu werden) und Reaktion bei einer Datenschutzverletzung.

Weitere Informationen zum Thema:

datensicherheit.de, 13.01.2018
EU-DSGVO: Neue Anforderungen an Organisation und Technik

sage
E-BOOKS DSGVO