DSGVO: Schon alles umgesetzt?

Gastautor Christoph Riesenfelder

Am 25.5.2018 sind die EU-Datenschutz-Grundverordnung (DSGVO) und das neue Datenschutzgesetz (DSG) in Kraft getreten. Worauf es ankommt und was zu tun ist.

 

Hände halten ein Tablet mit einem Privacy Screen

Das neue Datenschutzrecht betrifft große wie kleine Unternehmen und Organisationen aller Art. Wie „dick“ es aber kommt, hängt von den personenbezogenen Daten ab. Das heißt, von ihrer Art und von den Umständen, dem Umfang und den Zwecken ihrer Verarbeitung. Und von den damit verbundenen Risiken für die Betroffenen. Ein Zwei-Personen-Start-up, das gesundheitsbezogene Daten von App-Nutzern verarbeitet, vielleicht sogar von abertausenden Kunden, muss sich also mehr Gedanken machen, als ein Industrieunternehmen, das vorrangig Mitarbeiter- und Kontaktdaten von Lieferanten und Kunden verarbeitet.

Die DSGVO verursacht Aufwände. 
Dennoch muss das Thema Datenschutz ernst genommen werden, vor allem, wenn der Kundenstock aus natürlichen Personen besteht, deren Daten z. B. „besondere Datenkategorien“ darstellen. Das bedeutet: Rechtsberatung, Umsetzungsunterstützung und Daten- und IT-Sicherheitsmaßnahmen. Kosten, die leider nicht immer direkt weiter verrechenbar sind. Doch es hilft nicht, den Kopf in den Sand zu stecken. Wir alle werden sensibler und verzeihen „Schludrigkeit“ im Umgang mit unseren Daten zunehmend weniger. Kunden, die in Bezug auf Datenschutz schlechte Erfahrungen gemacht haben, suchen Alternativen.

Ich empfehle, nach dem Motto „Breite vor Tiefe“ vorzugehen. Und dort, wo es nötig ist, tiefer zu gehen. Das bedeutet konsequentes Priorisieren.

Eine effiziente Vorgehensweise sieht in etwa so aus:

  1. Definition des Soll-Zustands: Welche Aspekte der DSGVO und des DSG betreffen uns? Was muss getan werden?
  2. Erhebung des Ist-Zustands
  3. Ermittlung und Dokumentation der Abweichungen
  4. Planung der Maßnahmen zur Schließung der Lücken
  5. Umsetzung der geplanten Maßnahmen
     

Ein aktuelles Verzeichnis der Verarbeitungen personenbezogener Daten führen. 
Eine bestimmte Form ist vom Gesetzgeber nicht vorgeschrieben, Mindestinhalte müssen jedoch vorhanden sein. Wichtig: Das Verzeichnis ist aktuell zu halten. Bei einer Handvoll einfacher Verarbeitungen genügt zur Dokumentation eine Office-Lösung. Bei dutzenden, teils komplexen Verarbeitungen ist eine Speziallösung für das Verzeichnis die zumeist bessere Wahl. In größeren Unternehmen sind hunderte zu dokumentierende Verarbeitungen nichts Ungewöhnliches. Dort müssen professionelle, flexible Werkzeuge eingesetzt werden, besonders dann, wenn das Verzeichnis mehr können soll als das Minimum, das die DSGVO an Verzeichnisinhalten verlangt.

Auf die Rechtmäßigkeit achten und Daten sparsam verarbeiten. 
Bedacht werden sollte, dass die Verarbeitung von personenbezogenen Daten z. B. nur zulässig ist, wenn eine entsprechende Rechtsgrundlage vorliegt. Haben wir eine nachweisliche Einwilligung? Müssen wir die Daten z. B. an Behörden übermitteln? Sind die Daten zur Auftragserfüllung erforderlich (z. B. Kontaktdaten)? Und in jedem Fall lautet die Devise: Personenbezogene Daten sollten so sparsam wie möglich erhoben und verarbeitet werden. Bereinigen Sie also Ihre Datenbestände und seien Sie besonders achtsam, wenn es um Daten von Kindern oder um „sensible“ Daten geht – die zukünftig übrigens „besondere Kategorien personenbezogener Daten“ genannt werden.

Vorsicht bei Cloud-Lösungen. 
KMU nutzen aus Kosten- und Praktikabilitätsgründen oft öffentliche Cloud-Angebote. Aber Achtung: Wird die Lösung etwa in den USA betrieben, so gilt es zu prüfen, ob der Anbieter z. B. Privacy Shield-zertifiziert ist. Und ob er den Abschluss von sogenannten Standardvertragsklauseln anbietet. Verfügt der Anbieter über Zertifizierungen, z. B. gemäß ISO 27001? Kann man bestimmen, dass die Daten ausschließlich in der EU verarbeitet werden? Werden Datenschutzverletzungen an Kunden umgehend gemeldet? Wichtige Fragen, auf die man die Antworten kennen sollte.

Da Verstöße gegen die neuen Datenschutzregelungen mit empfindlichen Strafzahlungen sanktioniert werden können und die Umsetzung durchaus komplex sein kann, empfiehlt es sich, im Zweifel Experten zu Rate zu ziehen.

KSV1870 hat eigene Plattform gelauncht

Der DSGVO-Assistent unterstützt Unternehmen bei der Umsetzung der EU-Verordnung. Zusätzlich prüft der Assistent die eigene Webseite auf personenbezogene Datenverarbeitungen. Im Anschluss können diese den dokumentierten Prozessen zugewiesen werden. Am Ende steht ein Verarbeitungsverzeichnis, das jederzeit im geforderten Format exportiert werden kann.

Kritische Erfolgsfaktoren bei der DSGVO-Umsetzung

  • Straffe Terminplanung
  • Erstellung eines detaillierten Projektplans
  • Frühzeitige Einsatzplanung für internes Personal und externe Spezialisten (z. B. Recht, Datensicherheit, Prozesse etc.)
  • Bedenken, dass umfangreiche Teamarbeit nötig sein wird
  • Sichtbare Mitwirkung und Unterstützung seitens der Geschäftsleitung und aller Führungskräfte
  • Methodische Vorgehensweisen und Einsatz von Personen, die durchsetzungsstark sind und das Projekt in ihrem Umfeld treiben
  • Priorisieren, Priorisieren, Priorisieren: Was ist wichtig? Dringend? Hat große Flächenwirksamkeit?

Mag. Christoph Riesenfelder ist Spezialist für Informations-, Daten- und IT-Sicherheitsmanagement sowie Datenschutz und seit über 25 Jahren in der Beratung tätig.

Beitrag wurde aktualisiert am: 12.06.2018