Fit für die DSGVO – wie die Verordnung praktisch umgesetzt werden kann — Empolis Blog

Fit für die DSGVO – wie die Verordnung praktisch umgesetzt werden kann

0

Wir haben auf unserem Blog das Thema DSGVO bereits ausführlich behandelt und die möglichen Auswirkungen diskutiert: Bremst der Datenschutz die Digitalisierung und verringert dieser die Rentabilität von Unternehmen?. Oder verbirgt sich beim Thema DSGVO für Unternehmen sogar eine Chance? Wie kann man den Feind zum Freund machen?
In diesem Beitrag wollen wir uns der praktischen Umsetzung widmen: Wie macht man sein Unternehmen fit für die DSGVO?

Laptop DSGVO 25. Mai 2018

Die xxx GmbH legt Wert auf den Schutz personenbezogener Daten sämtlicher Vertragspartner und folgt den Vorgaben der europäischen Datenschutzgrundverordnung (DSGVO) sowie dem BDSG-neu.

Solche oder ähnliche Texte dürften Ihnen jetzt mehrfach begegnen. Letztendlich ist es nun eine Selbstverständlichkeit, sich an geltendes Recht zu halten, und doch haben wir hier eine klassische Einleitung für eine Datenschutzerklärung vor uns und dagegen ist ja so gesehen auch nichts einzuwenden.

Sicher gehören Sie nicht zu den 20 Prozent, die lt. Bitkom im Juni 2017 keinerlei Aktivitäten in Sachen neuer Datenschutzregelungen unternommen haben. Möglicherweise haben Sie externe Experten hinzugezogen, um die 99 Artikel der DSGVO – zuzüglich der 173 Erwägungsgründe – für Ihr Unternehmen handlich zu verpacken, wie es Ende November 2017 48 Prozent der befragten Unternehmen getan haben.

Die umfangreichen Texte machen Ihnen also keine Angst mehr (…warum auch?):

  • Kapitel 1 (Artikel 1 bis 4): Allgemeine Bestimmungen
  • Kapitel 2 (Artikel 5 bis 11): Grundsätze und Rechtmäßigkeit
  • Kapitel 3 (Artikel 12 bis 23): Rechte der betroffenen Person
  • Kapitel 4 (Artikel 24 bis 43): Verantwortlicher und Auftragsverarbeiter
  • Kapitel 5 (Artikel 44 bis 50): Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen
  • Kapitel 6 (Artikel 51 bis 59): Unabhängige Aufsichtsbehörden
  • Kapitel 7 (Artikel 60 bis 76): Zusammenarbeit und Kohärenz, Europäischer Datenschutzausschuss
  • Kapitel 8 (Artikel 77 bis 84): Rechtsbehelfe, Haftung und Sanktionen
  • Kapitel 9 (Artikel 85 bis 91): Vorschriften für besondere Verarbeitungssituationen
  • Kapitel 10 (Artikel 92 bis 93): Delegierte Rechtsakte und Durchführungsrechtsakte
  • Kapitel 11 (Artikel 94 bis 99): Schlussbestimmungen

Je nach Unternehmenstyp, -größe, Produktspektrum und Marktplatz haben Sie sicher auch schon Ihre speziellen Lieblinge gefunden, vorzugsweise in den Kapiteln 2, 3 oder 4.

Wir denken hier besonders an Art. 5, die Grundsätze für die Verarbeitung personenbezogener Daten, die umfangreichen Informationspflichten und Betroffenenrechte, die Datenschutz-Folgenabschätzung gemäß Art. 35 und natürlich ganz besonders auch an die gesamtschuldnerische Haftung gemäß Art. 82, die die Beteiligten einer Auftragsverarbeitung betrifft.

Doch sind Sie vermutlich weder in Panikstarre noch in typische Denkfehler verfallen, sondern haben so wie wir Ihre Hausaufgaben anhand von den mittlerweile umfangreich verfügbaren und hilfreichen Checklisten – 7- oder 10-Punkte-Plänen u. ä. – gemacht.

Und damit kommen wir zu den interessanten Themen. Die eher statischen Aufgaben sind im Grunde ja recht banal, wie z. B. das Verzeichnis der Verarbeitungstätigkeiten (auch wenn Sie hier noch ein weiteres für Ihre Auftragsverarbeitung brauchen). Spannend wird es mit den dynamischen, wiederkehrenden Aufgaben und der Notwendigkeit umfangreicher Rechenschaftsnachweise. Der gute alte Plan-Do-Check-Act-Ansatz von William Edwards Deming war ja nie richtig weg (mit der ISO-9001-Novellierung 2015 erst recht nicht) und erfährt jetzt wieder etwas mehr Aufmerksamkeit:

Es gibt Stimmen, die behaupten, mit einer 27001-Zertifzierung ist die DSGVO deutlich besser zu „packen“ und dieser Meinung kann man sich durchaus anschließen. Dort ist die Systematik für die Datensicherheit als Managementaufgabe schon vorhanden, und somit sind die Gleise bereits gelegt.

Allen anderen seien hiermit nochmal die Kurzpapiere der Datenschutzkonferenz bzw. des Bayerischen Landesamts für Datenschutzaufsicht ans Herz gelegt, sowie weitere Veröffentlichungen der GDD, der Gesellschaft für Datenschutz und Datensicherheit e. V.

Wesentliche Aspekte tangieren die Rolle Ihrer Unternehmensführung, das sollten Sie nicht übersehen. Größere Effekte ergeben sich auch für Ihre internen Abläufe (Löschen!) und Ihre Produktentwicklung (siehe ENISA, Privacy, zertifizierte Produkte).

Mittlerweile ändert sich der Tonfall in den Beiträgen zur DSGVO – weg von der Hemmnis, hin zur Chance (siehe Haufe, ZEIT und World Economic Forum) – und wir sind genauso gespannt auf den 25. Mai 2018 wie Sie.

Und auch wenn es einer klassischen Datenschutzerklärung (s. o). nicht anzumerken ist, so gehen wir allesamt mit den neuen gesetzlichen Vorgaben einer besseren Welt entgegen oder meinen Sie nicht?

Wir freuen uns auf Ihr Feedback!

Anmerkung der Redaktion: Der Beitrag wurde in Zusammenarbeit mit Elke Deus,, Senior Quality Manager und Datenschutzbeauftragte, erstellt.

 

 

Sie möchten alle Informationen rund um KI und Big Data druckfrisch erhalten? Das Blog-Abo ist für Sie da.

 

Teilen:

Über den Autor

Christian Schulmeyer

Dr. Christian Schulmeyer ist neben der Weiterentwicklung des erfolgreichen Geschäftsmodells insbesondere für die Erschließung neuer Märkte und den Ausbau strategischer Kooperationen mit führenden Unternehmen verantwortlich. Der Wirtschaftsingenieur war zuletzt bei der Telekom Deutschland GmbH als verantwortlicher externer Projektleiter des Telekom Internet-Shops und des Hilfe&Support-Portals tätig. Weitere Erfahrungen im Bereich Service- und Customer Care Management sammelte er unter anderem in internationalen Projekten der T-Online International AG (heute wieder in die Deutsche Telekom AG eingegliedert) und der Bosch Telecom GmbH. Darüber hinaus ist Dr. Christian Schulmeyer seit vielen Jahren erfolgreich mit seiner eigenen Firma Schulmeyer & Coll. in der Management-, Technologie- und Strategieberatung im Software- und Internetumfeld tätig.

Sagen Sie Ihre Meinung!