Wenn die Datenschutz-Grundverordnung am 25. Mai 2018 scharf geschaltet wird, hatten die Unternehmer, Behörden, Institutionen über zwei Jahre Zeit, sich darauf vorzubereiten. Jetzt wird es wohl Ernst und alle die mit entsprechenden Daten arbeiten, sind verpflichtet, nachweisbare Auskünfte über die Einhaltung der EU-DSGVO erbringen zu können. Also auch zu wissen, was es für Löschfristen gibt oder wer wann auf Daten bei Ihnen im Unternehmen zugreift. Wem müssen Sie was melden, wenn es Sie erwischt und es eine Datenschutzpanne gibt?
Was sollten Sie mindestens tun, damit Sie in 2018 oder 2019 bezüglich der EU-DSGVO nicht in den Fokus von besorgten Bürgern, engagierten Datenschützern, klagewilligen Anwälten oder den Behörden geraten?
Anscheinend hat der Gesetzgeber kein Vertrauen, dass die Unternehmen dem Recht auf Privatheit und Schutz der Privatsphäre ausreichend gerecht werden. Anders sind die deutlichen Verschärfungen nicht zu erklären. Die Beweispflicht liegt jetzt bei den Unternehmen, es gilt „Recht auf …“. Wie dem auch sei, jetzt gilt es, diesen Pflichten nachzukommen. So sollten Unternehmen die Maßnahmen zur Umsetzung der DSGVO gut dokumentieren. Gerade KMU werden sich mit Dingen beschäftigen müssen, wofür große Unternehmen und Konzerne ganze Abteilungen von Rechtsberatern und IT-Spezialisten unterhalten. Die neue EU-DSGVO erfordert eine umfassende, zielorientierte Herangehensweise. Es müssen verschiedene Themengebiete intensiv beleuchtet werden: die interne Organisation und die damit verbundenen Prozesse, der Einsatz von Technologien und – nicht zu vergessen – die rechtlichen Anforderungen. Viele sind sich darüber bewusst, Maßnahmen zu ergreifen und umzusetzen, aber weit über 40 Prozent der Unternehmen haben immer noch keine konkreten Maßnahmen eingeleitet, geschweige denn umgesetzt.
Verschärfte bürokratische Anforderungen
Auch die praktische Umsetzung von Teilanforderungen birgt Probleme. Beispielsweise müssen E-Mails nicht verschlüsselt werden, aber wenn es sich um sensitive Daten wie z.B. Gesundheitsdaten oder rassische und ethnische Daten handelt, sieht die „Welt“ schon wieder anders aus. Eine sichere IT-Infrastruktur ist ein Schlüsselfaktor, positionieren Sie IT-Security als wichtiges Element Ihrer DSGVO-Strategie und Ihrer DSGVO-Prozesse. Themen wie Zutrittskontrolle, Zugriffskontrolle, Absicherung der Verfügbarkeit und viele Punkte mehr gilt es zu beachten. Verschaffen Sie sich einen Überblick über alle personenbezogenen Daten, lassen Sie sich beraten durch einen ausgewiesenen Datenschutzfachmann oder eine -fachfrau. So werden Sie unterstützt, wie Sie beispielsweise Verfahrensverzeichnisse zu erstellen haben, welche Daten wie bearbeitet werden und welche Einschränkungen es geben kann. Ihre Mitarbeiter sollten in den Grundthemen geschult werden, suchen Sie dafür im Haus Multiplikatoren. Diese Prozesse müssen dauernd überprüft und bei Bedarf angepasst werden. Ein Sicherheitskonzept ist dafür nicht ausreichend, es läuft klar auf ein Sicherheitsmanagement hinaus. Und bitte nicht vergessen: Die Geschäftsführung ist immer mitverantwortlich.
Teilen: