peshkova - Fotolia

Umsetzung der DSGVO in Unternehmen: Die Uhr tickt

Die DSGVO stellt hiesige Unternehmen vor große Herausforderungen. Verantwortlichen bleibt nur noch wenig Zeit, ihr Unternehmen fit für das neue Datenschutzrecht zu machen.

Ab Ende Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) europaweit anzuwenden und bringt erhebliche Auswirkungen mit sich. Ein EU-weit geltendes Datenschutzrecht gilt als wichtiger Schritt in unserer zunehmend digitalisierten Welt und soll Bürgern in Zeiten von Facebook, WhatsApp und Co. einen besseren Schutz ihrer persönlichen Daten garantieren.

Für Unternehmen, die personenbezogene Daten erfassen und verarbeiten, bedeutet die DSGVO/GDPR allerdings erheblichen Mehraufwand, da bestehende Prozesse und Verträge auf Übereinstimmung mit den strengeren EU-Regeln durchleuchtet, umfassend dokumentiert sowie neue Strukturen und Prozesse zur Einhaltung der stark zugenommenen Dokumentations- und Transparenzpflichten geschaffen werden müssen.

Großes Umsetzungsdefizit in Unternehmen

Auch wenn nicht alles neu ist und viele Unternehmen bereits auf einer vorhandenen Datenschutzorganisation aufbauen können, ist die Zeit bis zum 25. Mai 2018 angesichts der Dimensionen, die das neue europäische Datenschutzrecht Unternehmen abverlangt, mehr als knapp. Es überrascht daher, dass nach Untersuchungen des Branchenverbandes BITKOM jedes dritte Unternehmen sich bislang noch überhaupt nicht mit dem Thema auseinandergesetzt hat.

Dass viele Unternehmen bei der Umsetzung weit hinterherhinken, haben auch die Datenschutzbehörden erkannt und in letzter Zeit vermehrt große Sensibilisierungsaktionen gestartet. Die bayerische Datenschutzbehörde hat beispielsweise einen Online-Test unter dem Motto „Weg zur DS-GVO – Selbsteinschätzung“ entwickelt, der Unternehmen dabei unterstützen soll, zu erkennen, wo im eigenen Unternehmen noch Lücken in der Umsetzung sind.

Was sich für Unternehmen ändert

Von der Datenschutz-Grundverordnung betroffen sind grundsätzlich alle Unternehmen, die mit personenbezogenen Daten arbeiten. Dazu zählen neben Kundendaten und Mitarbeiterdaten beispielsweise auch Daten von Geschäftspartnern. Entscheidend ist, ob natürliche Personen identifiziert werden können. Der Anwendungsbereich der DSGVO ist daher enorm weit, selbst IP-Adressen werden hierzu gezählt.

Neben vielen weiteren Änderungen führt die DSGVO für Unternehmen eine Reihe von neuen Transparenz- und Informationspflichten ein. Künftig müssen Unternehmen betroffene Personen deutlich umfassender als bislang darüber informieren, wie ihre personenbezogenen Daten verarbeitet werden und welche Rechte ihnen gegenüber dem Unternehmen zustehen.

In den Fokus geraten ist außerdem die Datensicherheit. Eine für die Praxis wesentliche Änderung ist hier das zukünftige Bußgeldrisiko bei unzureichender Datensicherheit. Schwachstellen wie beispielsweise veraltete Verschlüsselungsstandards sind nach dem neuen Datenschutzrecht bußgeldbewehrt, und zwar mit bis zu zwei Prozent des Jahresumsatzes.

Darüber hinaus müssen die technischen und organisatorischen Maßnahmen (kurz: „TOMs“) den „Stand der Technik“ erfüllen und damit stärker als bisher technische Innovationen berücksichtigen. Zu den Forderungen an die Sicherheit der Verarbeitung nach der DSGVO gehört schließlich auch die Belastbarkeit der IT-Systeme. Die Beratungspraxis zeigt, dass diese für den Datenschutz bislang nicht ausdrücklich geregelte Forderung in vielen Unternehmen noch deutlich besser umgesetzt werden muss.

Neu ist auch, dass der Datenschutz integraler Bestandteil der Entwicklung von Produkten, Diensten oder Anwendungen sein muss („Privacy by Design“ und „privacy by default“). Datenschutzgrundsätze wie die Datenminimierung müssen schon in der Systementwicklung angemessen berücksichtigt beziehungsweise umgesetzt werden. Das heißt, dass beispielsweise Software nur so viele Daten erhebt, wie zur Erfüllung des verfolgten Zwecks erforderlich ist.

Was Unternehmen jetzt tun müssen

Unternehmen, die bislang untätig waren, sollten alle relevanten Stakeholder über die wichtigsten Themen zur DSGVO informieren. Es muss klar sein, dass der Datenschutzbeauftragte das Projekt anstoßen und koordinieren kann. Die Umsetzung des Datenschutzes ist jedoch eine unternehmensweite Aufgabe. Die Geschäftsführung sollte für die Durchführung, Überwachung und Umsetzung des Projekts eine Task Force bestehend aus Datenschutzbeauftragten, IT, HR und Vertretern ausgewählter Unternehmensabteilungen bilden.

Um den konkreten Handlungs- und Umsetzungsbedarf bestimmen zu können, hat sich in der Praxis bewährt, als ersten Schritt eine Bestandsaufnahme der Prozesse vorzunehmen („Gap-Analyse“). Hierfür kann es erforderlich sein, mit den einzelnen Abteilungen zu sprechen und abzufragen, welche personenbezogene Daten dort zu welchen Zwecken verarbeitet, welche Verträge existieren und ob externe Dienstleister eingesetzt werden.

Je nach Größe des Unternehmens empfiehlt sich der Einsatz von Online-Tools, die das Erstellen von Fragebögen und das Verwalten der Antworten erleichtern. In den allermeisten Fällen treten bei der Gap-Analyse Defizite zu Tage, wie zum Beispiel dass Datenschutzerklärungen nicht upgedatet wurden, Einwilligungen für Newsletter von Kunden nicht vollständig eingeholt wurden, Daten nicht ausreichend verschlüsselt versendet werden oder die IT gegen Cyberangriffe nicht vollständig geschützt wäre.

„Um den konkreten Handlungs- und Umsetzungsbedarf bestimmen zu können, hat sich in der Praxis bewährt, als ersten Schritt eine Bestandsaufnahme der Prozesse vorzunehmen.“

Melanie Baltheiser, CMS Deutschland

Diese Defizite sollten risikobasiert priorisiert werden und in einem zweiten Schritt anschließend beseitigt und die neuen Anforderungen der DSGVO umgesetzt werden („Umsetzungsphase“). Durch die Datenschutz-Grundverordnung müssen Prozesse angepasst oder neu geschaffen werden. Beispielsweise müssen die Meldepflichten gegenüber Datenschutzbehörden bei Datenschutzverstößen in internen Abläufen des Unternehmens neu abgebildet werden.

Das heißt, es muss vorab im Unternehmen festgelegt werden, welche Schritte bei Verstößen einzuhalten sind. Die Anforderungen an die Dokumentation sind mit der EU-DSGVO gestiegen. Das Verarbeitungsverzeichnis (früher: Verfahrensverzeichnis), das Verarbeitungsprozesse dokumentiert und Angaben zu personenbezogenen Daten und Betroffenen enthält, ist zu prüfen und bisher fehlende Verarbeitungsprozesse zu ergänzen. Schließlich sollten bestehende Verträge mit Geschäftspartnern, Kunden und Dienstleistern, die personenbezogene Daten verarbeiten, geprüft werden.

Für Unternehmen, die bislang untätig waren, tickt die Uhr, denn die Liste der Punkte, die bis zum 25. Mai umgesetzt werden müssen, ist lang. Es ist daher jedem Manager zu raten, anstehende Umsetzungsprojekte nicht auf die lange Bank zu schieben. Ansonsten drohen in Zukunft empfindliche Bußgelder und Reputationsschäden.

Über den Autor:
Melanie Baltheiser ist seit 2016 Anwältin bei CMS Deutschland am Standort München. Sie ist spezialisiert auf Rechtsfragen rund um Datenschutz und IT-Recht. Darüber hinaus begleitet sie international tätige Unternehmen sowie mittelständische Unternehmen bei DSGVO-Projekten, die die Umsetzung der Anforderungen der DSGVO im Unternehmen zum Gegenstand haben.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Kostenloses E-Handbook: Das müssen Firmen zur EU-DSGVO wissen

Datenschutz: Was sind eigentlich personenbezogene Daten?

Datenschutz-Grundverordnung: Wenn Anwender ihre Daten anfordern

Erfahren Sie mehr über Datenschutz und Compliance