x

* Pflichtfelder

Das Einmaleins der DSGVO:
Das müssen Unternehmen beachten

Am 27. April 2016 wurde sie vom Europäischen Parlament beschlossen, am 25.5.2018 tritt sie in Kraft: Die Datenschutzgrundverordnung (DSGV). Was das für Ihr Unternehmen bedeutet, erklärt Ihnen BOOM-Experte Vuk Krivec in unserer Serie „4.0 Fragen an …“.

 

Welche Bedeutung und Auswirkung hat die Datenschutzgrundverordnung (DSGVO) auf ein Unternehmen?


Die DSGV, die offiziell am 25. Mai 2018 in allen EU-Mitgliedsstaaten in Kraft tritt, bedeutet für alle Unternehmen einen Paradigmenwechsel: Ab sofort müssen Betriebe selbst die richtigen Maßnahmen setzen, dass persönliche Daten geschützt werden. Das umfasst die Daten von Mitarbeitern wie auch von externen Personen. Dazu kommen Grundbegriffe wie Datensparsamkeit (nur für den Betrieb notwendige Daten dürfen gesammelt und bearbeitet werden – ohne Zweck gesammelte Daten müssen vernichtet werden), Pseudonymisierung (spezifische Daten dürfen Personen nicht mehr zugeordnet werden), Datenschutz (Daten müssen so gespeichert werden, dass ein unerlaubter Zugang nicht oder schwer möglich ist) wie auch Recht auf Löschung, Korrekturen und Erhebung.
 


Welche ersten Schritte sind nun konkret notwendig?


Ein wesentlicher erster Schritt besteht darin, innerhalb des Unternehmens Bewusstsein für die Wichtigkeit der DSGVO herbeizuführen und eine vollumfassende Status-Quo-Erhebung durchzuführen. Auf Basis dieser können erste Maßnahmen getroffen und in einem Plan – mit konkreten Zuständigkeiten – konkretisiert werden. Teile dieses Plans können ggf. Schulungen, Trainings & Co. umfassen – und in ein strategisches Budget implementiert werden.


 
Mit welchen Konsequenzen muss bei Verstößen gerechnet werden?


Bis zu 4 Prozent des weltweit erzielten Jahresumsatzes oder 20 Millionen Euro drohen lt. DSGVO in Zukunft als höchste Geldstrafe. Grundsätzlich richten sich die Strafen nach der Art des Verstoßes – das heißt: Ignoriert ein Unternehmen die DSGVO absichtlich, drohen drakonische Strafen. Daher unbedingt sofort nach Kenntnis eines Datenverlusts eine Meldung an die Datenschutzbehörde abgeben! Dazu im Vorfeld einen entsprechenden Prozess definieren.

Was muss im Unternehmen verändert werden?


Für mittlere und insbesondere größere Unternehmen empfiehlt es sich, eine Projektorganisation mit Vertretern unterschiedlichster Fachabteilungen aufzusetzen. Interdisziplinär müssen die aus der DSGVO resultierenden rechtlichen, technischen, betriebswirtschaftlichen und natürlich organisatorischen Veränderungen im Projekt abgebildet werden. Dazu eine Schritt-für-Schritt-Anleitung:

• Dokumentation der Verarbeitungsvorgänge und Status-Quo-Erhebung: Welche personenbezogenen Daten werden verarbeitet bzw. welche Datenanwendungen liegen vor? Ergebnis sollte eine IT-System-Landschaft sein, die Software-Anwendungen, Informationsbestände und -ströme exakt abbildet.
• Risiken-Abschätzung vornehmen: Für jede Verarbeitungsanwendung muss eine Abschätzung der Risiken bzw. deren Eintrittswahrscheinlichkeit erfolgen. Präventive Maßnahmen zur Minimierung der möglicherweise eintretenden Fälle und ein Szenario bei Auftreten des Falls müssen gestaltet werden.
• Rechtliche Regulatoren prüfen: AGBs, Standardverträge, sämtliche Vertragswerke mit Dienstleistern, die Daten verarbeiten, müssen überprüft werden. Eine zentrale Frage: Welche Zwecke verfolge ich mit der Datenverarbeitung und auf welcher rechtlichen Grundlage erfolgt die Datenverarbeitung – auch Einwilligungen sind daher zu überprüfen. Auch hier gilt: Sind alle Daten unbedingt notwendig?
• Standardisierte Prozesse definieren: Werden Informationspflichten (worüber muss die betroffenen Person informiert werden?) bzw. Betroffenenrechte (besagt, dass Betroffenen von Datenerhebungen Recht auf Löschung bzw. Korrektur der Daten haben) der DSGVO erfüllt? Wenn nicht, sollten Prozesse definiert werden, um bei entsprechenden Anträgen rasch reagieren zu können. Darüber hinaus ist auch ein Datenschutzmanagement zu implementieren, da die DSGVO wiederholte Überprüfungen der getroffenen Maßnahmen vorsieht. Zudem sollte standardmäßig das größtmögliche Maß an Datenschutz gewährleistet werden. Das bedeutet: Je sensibler die Daten, desto mehr Schutz braucht es.
• Bestellung eines Datenschutzbeauftragten: Grundsätzlich gibt es in DSGVO keine Pflicht, einen internen oder externen Datenschutzbeauftragten zu bestellen. Natürlich hilft es allerdings, wenn ein Mitarbeiter diese Rolle übernimmt. Je größer das sensible Datenmaterial, desto wahrscheinlicher ist die Notwendigkeit eines Datenschutzbeauftragten. Diese Bestellung sollte unter Hilfe eines Rechtsanwaltes geschehen, da sie eine Reihe von Pflichten nach sich zieht.

All diese Aspekte sollen Ihnen als Anstoß dienen, um eine Soll-Ist-Analyse voranzutreiben, um die Datenverarbeitung in Ihrem Unternehmen DSGVO-konform zu gestalten. Wir bei BOOM Software können aus IT-Perspektive die richtigen Rahmenbedingungen schaffen, um sie dabei zu unterstützen.