Menü
Ein Beitrag von Adacor

EU-DSGVO: Machen Sie Datenschutz zur Chefsache!

Deadline EU-DSGVO

Mit dem Inkrafttreten der EU-Datenschutz-Grundverordnung (EU-DSGVO) im Mai 2018 steigen die Anforderungen an die Datenschutz-Compliance und damit an ein gut funktionierendes Datenschutz-Management-System. Dies zu gewährleisten, ist die originäre Aufgabe der Unternehmensleitung, nicht allein des Datenschutzbeauftragten. Denn Datenschutz im Unternehmen funktioniert nur, wenn er fest in eine wirksame Compliance-Struktur und in alle Geschäftsprozesse eingebunden ist.

Schon das Bundesdatenschutzgesetz (BDSG) fordert, dass Unternehmen eine „zur Überwachung der Einhaltung des Datenschutzrechts erforderliche Organisationsstruktur“ vorhalten. Schaut man bei Konzernen und Unternehmen hinter die Kulissen, stellt man fest, dass die Interpretationen, wie eine solche Organisationstruktur aussehen sollte, stark auseinanderdriften. Häufig wird die Last komplett auf einen Datenschutzbeauftragten abgewälzt, der Restriktionen einführt und im Falle von Datenverlusten lediglich reaktiv agieren kann.
Solche Insellösungen sind auf Dauer uneffektiv und mitunter sogar gefährlich.

Alle Abläufe entlang der Wertschöpfungskette betrachten

Mit Einführung der EU-Datenschutz-Grundverordnung verschärfen sich die Anforderungen an die Verantwortlichkeit eines Unternehmens nochmals, für Verstöße müssen hohe Bußgelder bezahlt werden. Deshalb ist es spätestens jetzt an der Zeit, Datenschutz als Managementaufgabe zu begreifen. Kurz: Technische und organisatorische Maßnahmen müssen ebenso wie alle Arbeitsabläufe entlang der Wertschöpfungskette eines Unternehmens mit den gesetzlichen Anforderungen ins Zusammenspiel gebracht werden.
Unabhängig von Größe oder Branche eines Unternehmens, sollten alle Aufgaben bezüglich des Datenschutzes so organisiert und geregelt werden, dass alle gesetzlichen Vorgaben – sowohl die bisher bundesweit geltenden als auch die der neuen EU-Datenschutz-Grundverordnung – eingehalten werden. Das ist Chefsache: Denn bei den Unternehmensleitungen liegt die Gesamtverantwortung.

Sind Sie gewappnet? Diese Leitfragen helfen.

Folgende Leitfragen helfen zu überprüfen, ob Ihr Unternehmen bezüglich des Datenschutzes gut aufgestellt ist:

  • Sind alle Verantwortlichkeiten den Datenschutz und die Datensicherheit betreffend eindeutig geklärt?
  • Müssen oder haben Sie einen betrieblichen Datenschutzbeauftragten bestellt, und kann diese Aufgabe ein Mitarbeiter aus Ihrem Unternehmen erfüllen oder macht es Sinn, auf einen externen Datenschutzbeauftragten zurückzugreifen?
  • Greift Ihr Dokumentationssystem, um alle gesetzlich geforderten Dokumentationen zu jeder Zeit und immer aktuell abrufen zu können?
  • Kennen alle Beschäftigten die aktuellen Anforderungen des Datenschutzes? Und wurden alle, die mit der Datenverarbeitung befasst sind, auf das Datengeheimnis verpflichtet? Bieten Sie ausreichend Fortbildungen und Schulen an?
  • Sind ausreichende Kontrollmechanismen implementiert?

EU-DSGVO setzt andere Schwerpunkte als das BDSG

Unternehmen, die personenbezogene Daten verarbeiten oder nutzen, haben sich bisher – idealerweise – an die sogenannten acht Grundsätze des Datenschutzes gehalten: Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle und die Gewährleistung, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. All diese Aspekte haben natürlich weiterhin Bestand, die EU-DSGVO setzt jedoch andere, erweiterte Schwerpunkte. Unternehmen müssen nun hinsichtlich von folgenden acht Grundsätzen Rechenschaft ablegen: Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung und Integrität und Vertraulichkeit.Das hört sich nun erst einmal recht allgemein an. Die Grundsätze werden in zahlreichen weiteren Vorschriften der EU-DSGVO konkretisiert. In diesem Zusammenhang ist aus Managementsicht der Aspekt der Transparenz von besonderer Bedeutung. Denn sie erfordert, dass die Unternehmensführung genau weiß, wo welche Daten zu welchem Zweck erhoben, verarbeitet und weitergegeben werden.

Unternehmen müssen Auskunftspflichten nachkommen

Auch stärkt die EU-DSGVO die Rechte von Betroffenen: Sie haben ab Mai 2018 ein „Recht auf Berichtigung unvollständiger Daten“, ein „Recht auf Vergessenwerden“ sowie ein „Recht auf Datenportabilität“. Konkret bedeutet dies, dass Unternehmen schon vor der Verarbeitung personenbezogener Daten umfangreichen Auskunftspflichten an Betroffene nachkommen müssen. Die EU-DSGVO nennt 24 Informationenkategorien mit unterschiedlicher Tiefe, die es zu berücksichtigen gilt. Wichtig dabei ist: Es besteht kein Bestandsschutz für Altdaten. Wurden in der Vergangenheit Daten nicht ordnungsgemäß erhoben, muss die Auskunft und Erlaubnis für eine weitere Verarbeitung vor Inkrafttreten der EU-DSGVO nachgeholt werden.

Neue Aufgaben für den Datenschutzbeauftragten

Es ist also Managementaufgabe, alle Informationen aus den Fachabteilungen bezüglich des Datenschutzes miteinander zu verzahnen. Hand in Hand mit dem Datenschutzbeauftragten müssen die Führungskräfte nun gewährleisten, dass die Implementierung aller datenschutzrelevanten Maßnahmen in allen Bereichen des Unternehmens gewährleistet ist. Die Aufgaben der Datenschutzbeauftragten verschiebt sich von einer eher umsetzenden zu einer kontrollierenden Stelle. Zudem müssen die mit dem Datenschutz betrauten Personen eines Unternehmens direkt persönlich erreichbar sein.

Für größere Unternehmen oder Konzerne ist damit die Beauftragung eines externen Datenschutzbeauftragten häufig nicht mehr zielführend. Allerdings lässt die neue Verordnung auch die Möglichkeit eines Konzern-Datenschutzbeauftragten zu. Mehrere Unternehmen eines Konzernverbundes können im Rahmen einer neu geschaffenen Stelle für den Datenschutz eventuell Synergien herstellen. Da der Datenschutzbeauftragte den Datenschutz in einem Unternehmen nun nicht mehr primär „umsetzen“ – diese Aufgabe müssen in Zukunft die Fachabteilungen verstärkt übernehmen –, sondern die Einhaltung des Datenschutzes „prüfen und überwachen“ soll, rückt sein Aufgabenfeld viel näher in Richtung einer internen Revision.

Auch Administratoren in den Anwenderunternehmen sind gefordert

Das verdeutlicht, dass die EU-DSGVO erheblich Einfluss auf die Prozesse in einem Unternehmen nimmt. Die Verordnung schreibt Unternehmen auch die Beachtung der Prinzipien von „Privacy by Design“ und „Privacy by Default“ verbindlich vor. Das bedeutet, dass die Entwickler und Hersteller von IT-Lösungen bereits in der Konzeption – aber auch in allen Voreinstellungen für die Programme – die Aspekte des Datenschutzes berücksichtigen müssen. So sollen Apps die Nutzer später bei der Umsetzung von Datensicherheitsmaßnahmen unterstützen. Ja, am besten ist es, wenn Anwender später gar nicht anders können, als den Datenschutz zu beachten. Sowohl „Privacy by Design“ als auch „Privacy by Default“ richten sich an die IT-Anbieter. Der Datenschutz als Voreinstellung – „Privacy by Default“ – wendet sich zusätzlich an die Administratoren in den Anwenderunternehmen. Das Management muss also nicht nur die internen Prozesse anpassen, es muss auch bei der Auswahl der Dienstleister und beim Kauf von Software darauf achten, dass die Anforderungen der EU-DSGVO erfüllt werden können.

Deadline: 24. Mai 2018

Haben Sie die Prozesse in Ihrem Unternehmen schon auf die neuen Rahmenbedingungen angepasst? Nicht? Dann wird es jetzt allerhöchste Zeit. Wir bei Adacor arbeiten bereits seit März 2017 daran und sind auf einem guten Weg, ab Mai 2018 für die neuen Anforderungen gewappnet zu sein. Wir raten allen Unternehmen, nun schnellstmöglich ein Projektteam aufzusetzen, eine Analyse des Status quo durchzuführen, einen Maßnahmenkatalog zu entwerfen und Prioritäten zu setzen. Auch bei den Aufsichtsbehörden erwartet wahrscheinlich niemand, dass alle Details der EU-DSGVO im Mai 2018 zu 100 Prozent umgesetzt sind. Stellt sich aber bei einem Verstoß heraus, dass bestimmte Bereiche bisher in den Unternehmensorganisationen überhaupt nicht berücksichtigt wurden, drohen drastische Strafen.

bannerid=’3234′]

Setzen Sie ein Projektteam auf!

Nachdem sich das Projektteam – das idealerweise aus dem Datenschutzbeauftragten, einem Vertreter des Managements sowie den Entscheidern aus allen Fachabteilungen, die personenbezogene Daten verarbeiten, besteht – über die wesentlichen Anforderungen der EU-DSGVO informiert hat, kommt zunächst der aktuelle Stand des Unternehmens auf den Prüfstand.

  • An welchen Stellen im Unternehmen werden Personendaten verarbeitet?
  • Wie und an wen werden sie weitergegeben?
  • Mit welchen Techniken werden sie übermittelt?
  • Wie ist aktuell die Auftragsdatenverarbeitung strukturiert?
  • Welche Löschkonzepte werden gefahren?
  • Welche technischen und organisatorischen Maßnahmen wurden in der Vergangenheit eingeführt und wie werden diese umgesetzt?

Planen Sie Maßnahmen und Umsetzungszeiträume!

Im Abgleich mit den Anforderungen der EU-DSGVO ergibt sich daraus ein Zeit-Maßnahmen-Plan. Dabei rücken ins Blickfeld,

  • wo es Prozesse gibt, die bisher noch nicht dokumentiert werden, in Zukunft aber transparent gemacht werden müssen,
  • welche internen Prozesse angepasst werden müssen,
  • an welchen Schnittstellen die internen Veränderungen Auswirkungen auf die Zusammenarbeit mit Kunden, Dienstleistern oder Lieferanten haben.

Daraus ergeben sich ganz konkrete Arbeitsaufträge an die Fachabteilungen und den juristischen Support eines Unternehmens. Denn die Veränderungen rufen Handlungsbedarf bezüglich bestehender Verträge nach sich. Auch Formulare und Dokumente, die im Unternehmen genutzt werden, bedürfen meist einer Überarbeitung.

Das betrifft unter anderem:

  • Datenschutzerklärungen und formularmäßige Einwilligungserklärungen
  • Verträge zur Auftragsdatenverarbeitung
  • Die allgemeinen Geschäftsbedingungen
  • Betriebsvereinbarungen
  • Unternehmensrichtlinien und Lieferantenbedingungen
  • Setzen Sie Prioritäten!

Da kommt also eine Menge Arbeit auf das Projektteam zu. Bei der Strukturierung des zeitlichen Ablaufs des Projekts hilft eine Prioritätenliste. Grundlage dafür ist eine Risikobewertung. Wo schlummern die größten Risiken? Und welche Auswirkungen können diese haben? Alle Defizite, die ein Risiko für die betroffenen Personen darstellen gehören ganz nach oben auf die Liste, ebenso die Risiken, die aufgrund der hohen Bußgelder bedrohlich für das Unternehmen werden können. Nicht selten bedingen diese beiden Aspekte einander. Daraus ergeben folgende Indikatoren einen besonders schnellen Handlungsbedarf:

  • hohe Risiken für Personen, deren Daten im Unternehmen verarbeitet werden,
  • Risiken, die durch die Zusammenarbeit mit externen datenverarbeitenden Stellen entstehen,
  • Risiken, die durch die Abfrage von „neuen“ Personendaten entstehen und eine große Außenwirkung haben.
    Sind bezüglich dieser Risiken alle notwendigen Maßnahmen eingeleitet, müssen die Prozesse im Unternehmen neu aufgestellt werden, die bisher dem Datenschutz nach dem deutsche Bundesdatenschutzgesetz (BDSG) genügten, aber nun auf die neuen Anforderungen der EU-DSGVO angepasst werden müssen.

Das können zum Beispiel sein:

  • vorhandene Dokumentationsabläufe,
  • vorliegende Einwilligungen von Kunden und Mitarbeitern bezüglich ihrer persönlichen Daten,
  • Umstrukturierung von Löschabläufen und Exportfunktionen.
  • Nutzen Sie die Chance, Datenschutz professionell zu implementieren!

Wer jetzt ins Schwitzen gerät, sollte sich zwei Dinge verdeutlichen. Erstens: Datenerfassung und -verarbeitung ist längst ein elementarer Bestandteil unserer täglichen Arbeit, kaum ein Unternehmen kommt ohne die Erhebung personenbezogener Daten aus. An der Einhaltung der neuen Datenschutzgrundverordnung geht also einfach kein Weg vorbei. Zweitens ist die grundlegende Analyse, wie gut ein Unternehmen den Anforderungen gewachsen ist, auch eine große Chance, Datenschutz im Unternehmen professionell und effektiv zu etablieren. Denn: Wirtschaftlichkeit und Datenschutz müssen keine Gegensätze sein, sondern können sich gut ergänzen.

, ,

Die besten IT-News per E-Mail

Immer als Erster über brandaktuelle IT-Themen informiert sein!


Weitere Artikel zum Thema lesen

Passwortsicherheit – Jedes Zeichen zählt!

IT Security

Passwortsicherheit – Jedes Zeichen zählt!

Sicherheit von Passwörtern ist ein Dauerthema in der IT. Wir haben eine Checkliste für sichere Passwörter erstellt.

weiter lesen

IT Security

Datenschutzaufsicht aus Bayern verhängt Geldbuße

Bayrische Datenschützer verhängten hohes Bußgeld wegen fehlerhafter ADV.

weiter lesen

Intelligentes IT-Sicherheitsmanagement – Maßnahmen für einen sicheren Arbeitsplatz

Cloud, IT Security

Intelligentes IT-Sicherheitsmanagement – Maßnahmen für einen sicheren Arbeitsplatz

Als Hosting-Spezialist im Geschäftskundenbereich deckt die ADACOR Hosting ein Marktsegment ab, in dem die IT-Sicherheit einen extrem hohen Stellenwert hat. Was bedeutet das für...

weiter lesen


Neueste Nachrichten von Adacor

Digitaler Wandel meistern

Biz & Trends

Wie setzen Unternehmen die Digitalisierung erfolgreich um?

Digitalisierung braucht Know-how und Infrastruktur, um die Herausforderungen in Unternehmen erfolgreich zu meistern.

weiter lesen

Werkzeuge Analyse Public Cloud Anbieter

Cloud

AWS, Azure oder Google Cloud?

AWS, Azure oder Google Cloud - Eine ausführliche Analyse der Public-Cloud-Anbieter aus Management-Sicht

weiter lesen

Business Value Poker

Biz & Trends

So funktioniert Business Value Poker

Diese spielerische Methode erleichtert die Priorisierung im agilen Umfeld in der Software-Entwicklung.

weiter lesen

Diese Website verwendet Cookies. Mit der weiteren Nutzung der Website stimmen Sie unserer Datenschutzerklärung zu.
Für weitere Informationen klicken Sie bitte hier.