Handlungsbedarf – ja! Panik sollte vermieden werden. Dies gilt für alle Unternehmen, die sich mit dem Thema EU-DSGVO und deren Vorbereitung beschäftigen.
Was gilt es hierbei zu vermeiden? Wie verhält es sich mit den Themen Dokumentation und Mitarbeiterschulung? Wie ist die aktuelle Lage in den Unternehmen?
Die Zeit läuft! Nach der Übergangsphase in den vergangenen 2 Jahren tritt die EU-DSGVO am 25. Mai 2018 in Kraft. Unternehmen, Datenschutzbeauftragte und IT-Abteilungen die sich mit dem Thema Bundesdatenschutzgesetz (BDSG) bisher intensiv beschäftigten, erscheinen viele Themen bekannt. Für diese Fachgruppe ist der Schritt zur EU-DSGVO gerechten Datenverarbeitung keine unüberwindbare Hürde. Für Diejenigen die sich nicht zu dieser Gruppe zählen, ist es ein gewaltiger Schritt.
Zweckbindung:
Personenbezogene Daten dürfen nur zu dem Zweck verwendet werden, zu dem die Daten ursprünglich bezogen wurden. Daten, die ein Unternehmen während eines Bewerbungsprozesses erhoben hat, dürfen zusätzlich nicht zu Werbezwecken verwendet werden.
Recht auf Vergessenwerden:
Verlangt ein Betroffener, dass seine im Unternehmen gespeicherten personenbezogenen Daten gelöscht werden sollen, muss Ihr Unternehmen diesem Anspruch nachkommen. Hierfür müssen Sie natürlich genau wissen, an welchen Orten, zu welchen Zweck und in welchen Prozessen die Daten verarbeitet werden und wurden.
Datensparsamkeit:
Hier verpflichtet Sie die EU-DSGVO dazu, dass Sie als Unternehmen (auch Ihre Mitarbeiter) nur die wirklich benötigten Daten einholen, die für Ihren Zweck benötigt werden.
Datenauskunft:
Sie als Unternehmen sind dazu verpflichtet, einem Betroffenen auf dessen Nachfrage innerhalb von 1 Monat eine Auskunft zu erteilen, welche Daten Sie in welchen Prozessen verwenden, einsetzten und wo Sie diese Daten gespeichert haben.
Nachholbedarf bei der Umsetzung
Studien (Studien von IDC und der Nifis) zeigen, dass bei der Umsetzung der EU-DSGVO in den deutschen Unternehmen ein großer Nachholbedarf besteht! Nach Prüfung der IDC waren zum Stand Sommer 2017 ca. 44 Prozent der deutschen Unternehmen noch nicht im Umsetzungsprozess oder hatten sich noch nicht mit dem Thema EU-DSGVO beschäftigt. Dies bestätigte die Nifis-Studie ebenfalls im Dezember 2017. Weniger als ein Viertel der deutschen Unternehmen, werden die Vorgaben der EU-DSGVO bis zum Stichtag 25. Mai 2018 nicht umgesetzt haben.
Hektik ist kein guter Begleiter
Haben Sie sich diesem Thema noch nicht oder bereits angenähert? Egal welcher Gruppe Sie sich zuordnen, Hektik ist keine Lösung. Maßnahmen ergreifen und datenrelevante Prozesse in der Hektik verändern, ist nicht zielführend. Die Chancen, wichtige Dinge zu übersehen und diese später nachbessern zu müssen, sind zu groß. Bitte tun Sie aber auch nicht das Gegenteil: Abwarten und hoffen, dass die Aufsichtsbehörden keine strengen Kontrollen durchführen! Hierfür sind die zu erwartenden Strafen zu gravierend. Laut Artikel 83, Absatz 4 der DSGVO, sind bis zu 4 Prozent Ihres Jahresumsatzes möglich. In besonders schweren Fällen, sind Haftstrafen für Führungskräfte von bis zu drei Jahren vorgesehen.
Doch wie sollen Sie jetzt mit dem Thema EU-DSGVO umgehen?
- Gap-Analyse
- Prozessanalyse (In welchen Prozessen werden sensible Daten erhoben und verarbeitet?)
- Erarbeitung zentraler Richtlinien
- Mitarbeiterschulungen
- Schaffung der geforderten IT-Voraussetzungen
- Review der Maßnahmen und Richtlinien
Gap-Analyse
Sie als Unternehmen oder Behörde, müssen nachweisen können, dass Sie sich mit dem Thema DSGVO beschäftigen. Haben Sie einen Datenschutzbeauftragten im Einsatz? Dies schreibt das alte Bundesdatenschutzgesetz in der Vielzahl der deutschen Unternehmen bereits vor. Jedoch zeigt die Studie von IDC, dass lediglich 17 Prozent der Unternehmen einen Datenschutzbeauftragten bestellt haben.
Führen Sie zunächst eine Bestandsaufnahme anhand einer Gap-Analyse durch. Hierbei prüfen Sie, welche Vorgaben der Verordnung Sie bereits umsetzen und bei welchen Sie noch Handlungsbedarf haben. Durch den Einsatz einer Gap-Analyse, lässt sich auf einfachem Wege feststellen, bei welchen Richtlinien Anpassungsbedarf besteht. Gerade für Unternehmen, die sich bereits intensiv mit dem alten Bundesdatenschutzgesetz beschäftigten, sind hier zum Beispiel beim Thema der Meldepflichten Änderungen notwendig.
Sollte es zu einer Prüfung der Aufsichtsbehörde kommen, können Sie eine entsprechende aktive Umsetzung des Themas anführen. Natürlich bedeutet die Gap-Analyse nicht, das Ende der Einführung der DSGVO in Ihrem Unternehmen oder Ihrer Behörde.
Prozessanalyse
In welchen Prozessen werden von Ihnen sensible Daten erhoben und/oder verarbeitet? Dies ist die zentrale Frage der durchzuführenden Prozessanalysen. Ein unabdingbares Mittel sind Prozessanalysen. In welcher Abteilung und in welchen Geschäftsprozessen erheben und/oder verarbeiten Sie personenbezogene Daten? Welche Verarbeitungstätigkeiten sind in Ihrem Haus oder extern angesiedelt? Auch diese Prozesse gilt es gründlich zu prüfen. Generell sollten Sie eine Bestandsaufnahme aller Verfahren und Prozesse Ihres Unternehmens oder Behörde durchführen, bei denen Daten im Spiel sind. Eine einmalige Dokumentation ist hierbei aber nicht die letztendliche Lösung. Diese Analyse muss in bestimmten Intervallen wiederholt werden. Nur so tragen Sie zur vollständigen Abbildung bei. Stehen intern keine Ressourcen zu diesem Thema zur Verfügung, können dies auch externe Berater oder Unternehmen übernehmen.
Erarbeitung zentraler Richtlinien
Zentrale Richtlinien, sind gerade für Unternehmen und Behörden mit mehreren Standorten von großer Bedeutung. Schaffen Sie einen einheitlichen Stand im gesamten Unternehmen! Bei Bedarf lassen sich diese Richtlinien an die Gegebenheiten der einzelnen Standorte bedarfsorientiert anpassen. Verhindern Sie Wildwuchs in Ihren Unternehmens- und Behördenprozessen. Gerade mit Blick auf die EU-DSGVO ist dies von großer Bedeutung. Dies ist eine Herausforderung für alle Unternehmensgrößen, ob KMU oder Großunternehmen. Regeln Sie wann, wo und wie personenbezogene Daten gelöscht werden müssen. Das Löschkonzept ist wichtig, da die DSGVO ein „Recht auf Vergessenheit“ vorschreibt. Außerdem sieht die DSGVO verschiedenste Aufbewahrungsfristen für die vorhandenen personenbezogenen Daten vor.
Mitarbeiterschulungen
Die Sensibilisierung Ihrer Mitarbeiter spielt eine zentrale Rolle, denn Ihre Mitarbeiter arbeiten täglich mit diesen Daten und Ihren mehr oder weniger definierten Prozessen. Sie können die besten Prozesse definieren, wenn Ihren Mitarbeitern die Bedeutung und die Abläufe der Prozesse und der DSGVO nicht verdeutlicht werden. Ohne Ihre Mitarbeiter ist eine Umsetzung der Vorgaben nicht möglich! Hierfür sind Schulungen ein probates Mittel. Gemeinsam sind Sie als Unternehmen stark.
Schaffung der geforderten IT-Voraussetzungen
Schutz ohne den Einsatz von IT? Diese Frage stellt sich nicht. Das Bundesamt für Sicherheit in der Informationstechnik wird mit seiner Definition von IT nach dem Stand der Technik als Basis für die Umsetzung Ihrer DSGVO-Maßnahmen herangezogen. Daher ist der effiziente Schutz der personenbezogenen Daten ohne den Einsatz von IT-Lösungen nicht realisierbar. State-of-the-Art ist hierbei das Schlagwort! Hier besteht dringender Handlungsbedarf. Der Anpassung Ihrer IT kommt hierbei eine besondere Bedeutung zu. Gleichzeitig wird dieser Schritt entweder als nicht wichtig erachtet (nach dem Motto: läuft doch alles) oder stellt die Unternehmen und Behörden vor besondere Herausforderungen. Investitionen sind hierbei meist nicht zu verhindern. Nutzen Sie hierbei die Chance und aktualisieren Sie Prozesse und Systeme, die nicht direkt durch die DSGVO betroffen sind, gleich mit! Machen Sie aus dem „vermeintlichen“ Nachteil, Ihren Vorteil!
Setzen Sie auf modernen Datenschutz und ermöglichen Sie Ihrem Unternehmen oder Ihrer Behörde ein komfortables Arbeiten nach und mit DSGVO-Vorgaben.
Review der Maßnahmen
Genauso wichtig wie die Analyse und die getroffenen Maßnahmen zur Einführung und Optimierung Ihres Datenschutzstandards, ist ein stetiges Review der Prozesse, Maßnahmen und IT. Anforderungen und Prozesse verändern sich ständig. Hier müssen Sie in bestimmten Intervallen Anpassungen an den DSGVO relevanten Stellen vornehmen. Nutzen Sie den Kreislauf, um Ihr Unternehmen immer den notwendigen Schritt voranzubringen.
Wer etwas unternimmt ist auf dem richtigen Weg. Wer nichts unternimmt ist schlecht beraten!