Last-Minute-Tipps für die DSGVO

Laxe Kontrollen

von - 08.05.2018
Spannend wird sein, wie und wie oft die zuständigen Behörden die Unternehmen kontrollieren. IDC-Frau Laura Hopp ist skeptisch: „Bisher wurden die Kontrollen eher lasch gehandhabt. Das sehen wir beispielsweise daran, dass viele Unternehmen, die sogar nach dem bisherigen Bundesdatenschutzgesetz einen Datenschutzbeauftragten bestellen müssten, keinen haben. Eine eher laxe Haltung der Unternehmen und der Mangel an Kontrollmechanismen gingen sozusagen Hand in Hand.“ IDC wisse aus Gesprächen mit Anwenderunternehmen, dass diese teilweise gar nicht von künftigen Kontrollen ausgehen, so Hopp. Vorherrschende Einschätzung: Die Firmen rechnen damit, dass die Aufsichtsbehörden nicht die Ressourcen dafür haben.
Rebekka Weiß
Rebekka Weiß
Referentin für Datenschutz beim Digitalverband
­Bitkom
Foto: Bitkom
„Allein mit einzelnen Software-Programmen ist eine Anpassung an die DSGVO nicht möglich, sie können im Umstellungsprozess jedoch praktische Hilfe leisten.“
Auch Rebekka Weiß, Referentin für Datenschutz beim Digitalverband Bitkom, sieht ein Pro­blem bei den Ressourcen: „Die Aufsichtsbehörden können natürlich nicht alle Unternehmen gleichzeitig prüfen. Eventuell werden anfangs bestimmte Branchen auch mehr, andere weniger im Fokus stehen. Wie genau die Arbeit der Aufsichtsbehörden nach dem 25. Mai aussehen wird, lässt sich bisher kaum abschätzen, da es hier auch aufgrund von Kapazitäten in den Behörden regionale Unterschiede geben kann.“ Es ist davon auszugehen, dass sich die Aufsichtsbehörden insbesondere auf die Kontrolle der Dokumentations- oder Rechenschaftspflicht konzentrieren werden. Firmen müssen nachweisen, welche Datenschutzmaßnahmen sie getroffen haben, und das auf Anfrage der Aufsichtsbehörde auch offenlegen.
Günter Junk, CEO beim Sicherheitsspezialisten Virtual Solution, erwartet, dass die Behörden sehr streng prüfen und klarmachen, dass sich die Firmen an die DSGVO halten müssen. „Möglicherweise sind sie bei kleinen Firmen am Anfang noch etwas milder, aber bei großen Unternehmen und vor allem Technologielieferanten wie Cloud-Anbietern aus den USA sollten sie streng prüfen.“ Letztere nutzen im Rahmen der Auftragsdatenverarbeitung personenbezogene Daten ihrer Kunden und müssen die DSGVO ebenfalls erfüllen, selbst wenn sie nicht aus Europa kommen. Doch noch weigern sich Firmen wie Salesforce, einen Vertrag zur Auftragsdatenverarbeitung zu unterzeichnen. Das weiß Günter Junk aus eigener Erfahrung.
Im Überblick: Last-Minute-Tipps zur EU-DSGVO
Die EU-DSGVO tritt am 25. Mai 2018 rechtswirksam in Kraft und vereinheitlicht die Regeln für den Schutz personenbezogener Daten in der gesamten Europäischen Union. Hier die wichtigsten Last-Minute-Tipps für Unternehmen, die sich noch auf die DSGVO vorbereiten müssen:
  • Bestandsaufnahme der Daten und Prozesse im Unternehmen mit Kategorisierung der personenbezogenen Daten (etwa Kontaktdaten, Stammdaten, Vertragsdaten, Forderungsdaten)
  • Erstellen eines Verzeichnisses von Verarbeitungstätigkeiten inklusive der Vereinbarungen zur Auftragsdatenverarbeitung mit externen Partnern (Fragen: Wo in meinen Geschäfts­prozessen verwende und verarbeite ich personenbezogene Daten? In welchen Systemen sind diese Daten gespeichert? Zu welchen Zwecken werden sie genutzt? Wer greift wie oft mit welchen Rechten auf diese Daten zu?)
  • Richtlinien für Mitarbeiter, die festlegen, wie diese mit Daten umgehen dürfen
  • Für Online: Datenschutzerklärung überarbeiten, da die neuen Regeln hier Änderungen vorschreiben
  • Buchen eines externen Datenschutzbeauftragten (vor allem für kleinere Firmen)
  • Klassifizierung der personenbezogenen Daten mit anschließender Risikoanalyse von Daten und Prozessen
  • Software für DSGVO-Compliance als Unterstützung
Verwandte Themen