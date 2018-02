»Mit der DSGVO ist ein echtes Bollwerk an Regeln und Richtlinien entstanden. Viele kleine und mittelständische Unternehmen haben größte Schwierigkeiten bei der Umsetzung, denn hier paaren sich oft ein knappes Budget und wenig Personal«, schlägt Christian Heutger, Geschäftsführer der PSW GROUP Alarm. Der IT-Sicherheitsexperte rät, Prioritäten zu setzen, um den Einstieg in die Datenschutzgrundverordnung (DSGVO) zu meistern.

Unterstützung suchen

Dazu gehört, sich ausgiebig mit den Themen Ist-Analyse und Zertifizierungen auseinanderzusetzen. Sein Tipp: »KMU sollten sich so viel Unterstützung wie möglich holen. Wenn intern die Ressourcen fehlen, können Outsourcing oder aber das Insourcing von Kompetenzen Mittel der Wahl sein. Gerade für KMU finden sich viele Angebote: Beratungen, Schulungen und spezielle Tools helfen bei der Umsetzung der DSGVO«, so Heutger.

Ist-Stand dokumentieren

Auch die PSW GROUP hat spezielle Schulungs- und Beratungsangebote für KMU entwickelt, um Unternehmen gut vorzubereiten. Die Angebote des Consulting-Teams reichen beispielsweise von einer Ist-Aufnahme, bei der Unternehmen herausfinden, wo sie derzeit im Bereich Datenschutz stehen, bis hin zu einer umfangreichen ISA+ Informations-Sicherheits-Analyse. In einem 50 Punkte umfassenden, standardisierten Sicherheitscheck zeigt diese Analyse konkret auf, in welchen Bereichen ein Unternehmen bereits gut aufgestellt ist und wo Nachholbedarf besteht. »Eine Ist-Analyse zeigt ganz klar auf, wo ein Unternehmen steht, warum es dort steht und was gegebenenfalls noch zur Umsetzung der DSGVO fehlt. Da eine solche Analyse dokumentiert werden muss, lassen sich notwendige Maßnahmen und ein Projektplan für die anstehenden Aufgaben ableiten. Ganz nebenbei entsteht gleichzeitig eine Dokumentation für die Aufsichtsbehörden«, so Heutger.

Tatsächliche Anforderungen kennen

Darüber hinaus müssen KMU aber auch ihre tatsächlichen Anforderungen kennen: Welche Aufgaben müssen tatsächlich erledigt werden? Muss überhaupt ein Verfahrensverzeichnis, wie es die DSGVO fordert, geführt werden oder ist das Unternehmen sogar befreit? Die DSGVO selbst setzt sich nämlich mit der speziellen Situation für Kleinstunternehmen und KMU auseinander. So enthält die Verordnung beispielsweise eine abweichende Regelung hinsichtlich des Führens eines Verzeichnisses von Verarbeitungstätigkeiten für Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen.

Datenschutz zertifizieren lassen

Insbesondere Zertifizierungen werden mit der DSGVO eine ganz neue Bedeutung bekommen: Mit ihnen erhalten Unternehmen die Möglichkeit, ihren Datenschutz zertifizieren zu lassen. »Damit entsprechen sie den Regelungen der DSGVO und die existenzvernichtenden Bußgelder, die bei Datenschutzverstößen anfallen, können so umgangen werden«, so Heutger. Eine Zertifizierung, die speziell für kleine und mittelständische Unternehmen entwickelt wurde, ist ISIS12. »Die Zertifizierung von KMU erfolgt hier in 12 Stufen. Damit ist es dann nur noch ein kleiner Schritt mit geringem personellen und finanziellen Aufwand zur international anerkannten ISO 27001-Zertifizierung«, informiert der Experte.

Verhaltensregeln beachten

Last but not least sollten KMU auch die Verbände, in denen sie eventuell Mitglied sind, im Auge behalten. Möglicherweise haben diese bereits Verhaltensregeln entwickelt, welche die DSGVO fordert.