Vor der Verabschiedung der neuen Datenschutzbestimmungen für die EU wurde viel diskutiert. Zuletzt war es eher ruhig um die DSGVO. Jetzt droht Hektik aufzukommen, denn ab 25. Mai gilt die Verordnung EU-weit. Christian Zöhrlaut, Director Products Central Europe bei Sage, gibt Tipps, worauf Unternehmen achten sollten, um sich und ihre Abläufe rechtzeitig auf die neue Rechtslage einzustellen.
Illustration: Absmeier, Garageband
Sicher ist: ab 25. Mai 2018 gilt die Datenschutzgrundverordnung der Europäischen Union (DSGVO). Sicher ist auch, dass viele Unternehmen noch nicht darauf vorbereitet sind. Beispielsweise stellte der Digitalverband Bitkom noch im September 2017 bei einer Umfrage fest, dass gerade einmal 13 Prozent der Unternehmen entsprechende Maßnahmen eingeleitet haben. Sicher ist schließlich ebenfalls, dass Unkenntnis der neuen Bestimmungen nicht vor Sanktionen schützt. Und die fallen künftig drastisch höher aus als bislang: Bis zu vier Prozent vom Jahreseinkommen oder 20 Millionen Euro kann ein Verstoß gegen das Datenschutzrecht künftig kosten.
Was also ist zu tun? Bei der Antwort auf diese Frage sind sich die meisten Unternehmen und ihre Entscheider alles andere als sicher. Grund genug für Sage, nicht nur ihre Softwareprodukte und Cloud-Services DSGVO-bereit zu gestalten, sondern auch eine Sammlung von Checklisten, Leitfäden und weiterführenden Informationen zum Thema bereitzustellen [1]. Die folgenden Tipps für den Umgang mit der DSGVO basieren auf diesem Informationspool und geben eine erste Orientierung:
- Datenschutz ist Chefsache
Datenschutz liegt in vielen Unternehmen in den Händen der IT. Je nach Art und Größe des Unternehmens gibt es außerdem einen speziellen Datenschutzbeauftragten. Doch wer im Zuge der Umstellung auf die DSGVO wofür verantwortlich ist, weiß häufig niemand genau. Die Verantwortung wird wie ein Schwarzer Peter herumgereicht. Das Problem dabei: Im Falle einer Datenschutzverletzung in einem kleinen Teil eines Unternehmens muss sich das betroffene Unternehmen insgesamt verantworten. Ergreifen Sie deshalb jetzt die Initiative: Steuern Sie die Maßnahmen zur Anwendung der DSGVO in Ihrem Unternehmen selbst. - Team zur Umsetzung der DSGVO zusammenstellen
Datenschutz betrifft alle, die mit personenbezogenen Daten arbeiten. Holen Sie deshalb Führungskräfte aus den Abteilungen IT, Personal (HR), Marketing und Vertrieb sowie Finanz- und Rechnungswesen ins Team. - Informieren Sie sich gründlich
Im Zeitalter der Digitalisierung ist Datenschutz eine strategische Aufgabe, um eines der wichtigsten Unternehmens-Assets zu sichern: Die Daten Ihrer Kunden. Aber was bedeutet eigentlich Datenschutz? Was sind personenbezogene Daten und wann dürfen sie verarbeitet werden? Wie wirken sich die Grundsätze der Zweckbindung, Transparenz, Datenminimierung und Richtigkeit in der Praxis aus? Nehmen Sie sich Zeit, die neuen Vorschriften und ihre Folgen zu verstehen. Alles Wissenswerte zum Thema DSGVO finden Sie beispielsweise in E-Books zum Thema [2]. - Analysieren Sie den Status Quo
Die DSGVO verlangt eine Datenschutzorganisation für den gesamten Lebenszyklus personenbezogener Daten. Das Ziel: Datenschutzverletzung von vornherein vermeiden. Das erfordert technische und organisatorische Maßnahmen auf dem Stand der aktuell verfügbaren Technik. Von der Konzeption bis zur Überwachung sind alle Prozesse jeweils »State of the Art« zu gestalten. Dazu gehören alle bisherigen Abläufe in den datenverarbeitenden Abteilungen auf den Prüfstand:
- Technisch
- Organisatorisch
- Personell
- Straffes Projektmanagement einführen
Erstellen Sie einen Fahrplan zur Umsetzung der DSGVO in Ihrem Unternehmen. Verteilen Sie die anstehenden Aufgaben. Beispielsweise sind viele Verträge zu überarbeiten: Auftragsdatenverarbeitung, Allgemeine Geschäftsbedingungen, Betriebsvereinbarungen und Arbeitsverträge. Außerdem müssen Mitarbeiter im korrekten Umgang mit personenbezogenen Daten geschult werden. Überprüfen Sie die Fortschritte regelmäßig und zeitnah. Der Stichtag 25. Mai 2018 lässt keinen Spielraum für Verzögerungen. Suchen Sie Unterstützung bei der Vorbereitung auf die DSGVO mit rollenspezifischen Checklisten für Geschäftsführer, HR-Verantwortliche und Buchhaltung. - Dokumentieren Sie ausführlich
Dokumentieren Sie Ihre bestehenden Datenschutzmaßnahmen und halten Sie fest, welche neuen technischen und organisatorischen Maßnahmen Ihr Unternehmen ergriffen hat. Neben der Änderung der Datenschutzerklärung sowie der Einwilligungserklärungen gehören dazu unter anderem klar definierte Prozesse für
- den Widerruf einer Einwilligung,
- Korrekturen und Löschbegehren (Recht auf vergessen werden) und
- Reaktion bei einer Datenschutzverletzung.
- Entlasten Sie Ihre IT
Unternehmenssoftware in Buchhaltung und Personalwesen verarbeitet täglich eine Unmenge an personenbezogenen Daten. Die dafür nötigen Sicherheitsstandards einzuhalten, wird in einer zunehmend vernetzten Welt immer schwieriger für die IT-Abteilung. IT-Sicherheitsexperten sind für Anwenderunternehmen infolge des Fachkräftemangels kaum noch zu finden. Aber auch der physische Schutz der Rechnersysteme erfordert einen Aufwand, der von mittelständischen Firmen wirtschaftlich kaum zu leisten ist. Cloud-Dienstleister verfügen sowohl über das erforderliche Know-how, als auch über zertifizierte Rechenzentren, die alle Anforderungen der DSGVO erfüllen. Darüber hinaus profitieren Anwender von Cloud-Services von kurzen Bereitstellungszeiten ohne hohe Anfangsinvestitionen. Und während sich der Cloud-Dienstleister um den Betrieb der Systeme kümmert, haben Ihre Mitarbeiter Zeit, Prozesse für Datenzugang und -verarbeitung mit Rollen und Rechten zu definieren und umzusetzen.
[1] https://blog.sage.de/digitaletrends/eu-dsgvo/
[2] https://blog.sage.de/digitaletrends/eu-dsgvo/dsgvo-die-grundprinzipien-der-europaeischen-datenschutz-grundverordnung-im-ueberblick/
Datensicherheit 2018: Ransomware, RPO/RTO, Cloud und DSGVO 2018 im Trend
Studie zur EU-DSGVO zeigt: Vorgabe »Stand der Technik« verwirrt IT-Entscheider
DSGVO: Jedes dritte Unternehmen hat sich noch nicht mit der Datenschutzgrundverordnung beschäftigt