Datenschutz-Grundverordnung

Praxishilfen zur Bewältigung der DSGVO

von - 20.05.2019
DSGVO
Foto: stockwerk-fotodesign / shutterstock.com
Die Umsetzung der DSGVO stellt viele Unternehmen vor große Herausforderungen. Für den gesetzeskonformen Umgang mit den Daten gibt es inzwischen zahlreiche nützliche Tools auf dem Markt.
Werden alle Informationspflichten erfüllt? Sind alle datenschutzrelevanten Betriebsabläufe ausreichend dokumentiert? Werden nur die wichtigsten personenbezogenen Daten gespeichert? Das sind nur einige der Fragen, die sich viele Unternehmen auch ein Jahr nach Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) stellen.
Für die Antworten darauf sind zwei Dinge unerlässlich: ein exakter Überblick, welche Daten verarbeitet und gespeichert werden, sowie unternehmensweit gültige Regeln für das Datenmanagement. Denn Unternehmen aller Größen haben gegenüber den Behörden nach Art. 5 Abs. 2 DSGVO eine Rechenschaftspflicht. Daher muss jede Firma unter anderem ein Verzeichnis aller Datenverarbeitungen führen, die getroffenen technischen und organisatorischen Maßnahmen dokumentieren, Vereinbarungen zur Auftragsverarbeitung schließen und bei Bedarf die Betroffenen über die Verarbeitung informieren.

Tools und Prozesse

Hilfe offerieren zahlreiche Tools, von denen ihre Hersteller versprechen, dass Betriebe damit ihre Daten im Griff behalten. Zum einen sind das spezielle Datenschutz-Tools, zum anderen Erweiterungen für vorhandene Software wie CRM-Lösungen.
Doch Datenschutz ist ein umfangreicher Unternehmensprozess und kann nicht mit dem Einsatz von Software abgedeckt werden. Das bestätigt Elke Bastian, Senior Manager bei der Software AG, einem Anbieter von Unternehmens-Software und Dienstleistungen. „Da man die Datenschutzrichtlinien immer erfüllen muss und nicht nur zu einem bestimmten Stichtag, ist das ein kontinuierlicher Prozess.“ Sie empfiehlt deshalb, das Thema Datenschutz-Grundverordnung in das Geschäftsprozess-Management zu integrieren.
Microsoft schlägt einen standardisierten Prozess aus vier Schritten vor, mit dem Unternehmen ihre DSGVO-Konformität sicherstellen:
Ermitteln: Identifizieren der personenbezogenen Daten und deren Speicherorte
Verwalten: Steuern, wie personenbezogene Daten genutzt werden und wie auf Daten zugegriffen wird
Schützen: Kontrollmaßnahmen etablieren, um Datenschutzverletzungen und Datenverluste zu verhindern, aufzudecken und darauf zu reagieren
Berichten: Archivieren der erforderlichen Dokumentation und Steuern der Datenanfragen und Benachrichtigungen bei Datenschutzverletzungen und Datenpannen.
Unternehmen sollten natürlich in jedem Fall auch darauf achten, dass bereits eingesetzte Software wie das Mail- oder das ERP-System den Anforderungen der DSGVO genügt. Das ist laut Elke Bastian jedoch nur ein Teilaspekt und betrachte nur die IT-Seite. „Auf der anderen Seite gilt es auch, darauf zu achten, dass die Business-Seite gesetzeskonform ist. Damit sind die Prozesse, die individuell im Unternehmen ablaufen, gemeint.“ Auch der menschliche Faktor spiele eine große Rolle: „Wissen alle Mitarbeiter, was sie beachten müssen? Es müssen Trainings gemacht werden, Richtlinien ausgerollt werden und eventuell Umfragen gemacht werden, um fehlende Informationen einzuholen“, ergänzt Bastian.
Der Datenschutz ist also ein Komplex aus verschiedenen Maßnahmen, die aufeinander abgestimmt werden müssen, und Datenschutzprozesse sind so gesehen vergleichbar mit Prozessen in Buchhaltung, Vertrieb oder internem IT-Support - es sind Geschäftsprozesse. „Die Software ist dabei lediglich ein Werkzeug, um Abläufe und damit verknüpfte Verantwortlichkeiten und Rollen möglichst effizient und einheitlich zu gestalten“, betont Florian Fiessmann, Leiter Vertrieb beim IT-Dienstleister Consol in München.
Carina Thomas
Carina Thomas
Beraterin für Informationssicherheit und Datenschutz
www.acronum.de
Foto: Acronum
„Es gibt keine Software, die ich für alle Aspekte des Datenschutzes empfehlen kann.“
Ob ergänzend zu bereits im Unternehmen vorhandenen Programmen eine spezielle DSGVO-Software vonnöten ist, hängt von vielen Faktoren im jeweiligen Unternehmen ab: der Sensibilität der Daten, den internen Prozessen sowie der Größe des Betriebs. „Sollen lediglich Verarbeitungstätigkeiten von personenbezogenen Daten dokumentiert werden, kann eine DSGVO-Software möglicherweise sogar das Handling erschweren. Um hingegen Thematiken wie Datenschutzfolgeabschätzungen oder Risiko- und Maßnahmenmanagement abzudecken, kommt man um ein gutes Werkzeug in Form einer Software kaum herum“, so Florian Fiessmann.
Nach Ansicht von Carina Thomas, Geschäftsführerin bei Acronum, einem Beratungsunternehmen für Informationssicherheit und Datenschutz, sowie Beraterin für den IT-Dienstleister ditpro in Dresden, unterstützen Software-Tools Unternehmen durchaus bei der Implementierung von Datenschutzrichtlinien. Da die Einführung einer DSGVO-Strategie im Unternehmen ein umfangreiches Unterfangen ist - angefangen von der Analyse aller datenschutzrelevanten Prozesse bis hin zur Schulung der Mitarbeiter -, könnten je nach Personal, Budget und operativem Tagesgeschäft ohne Weiteres zwei Jahre bis zur erfolgreichen Implementierung vergehen. Für die Umsetzung der Anforderungen sei es möglich, eine Software zu nutzen. Sie gibt aber zu bedenken, dass man sich bei der Umsetzung fachkundig beraten lassen sollte, um den roten Faden nicht zu verlieren.
Verwandte Themen