DSGVO: 7 Schritte für die Umsetzung in UnternehmenIm Mai 2016 ist die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft getreten, die das europäische Datenschutzrecht grundlegend verändern wird und die den Umgang mit personenbezogenen Daten in großen Teilen neu regelt. Am 25. Mai 2018 wird die Frist zur Umsetzung der DSGVO enden. Aufgrund dieser Gesetzesänderung ergeben sich für viele Unternehmen weitreichende Änderungen und Neustrukturierungen. Wir sehen die DSGVO auch als Chance, unternehmensinterne Prozesse zu beleuchten, auszumisten und zu optimieren. Mit den folgenden sieben Schritten beschreiben wir den Einstieg zur Umsetzung.

1. Verantwortlichkeiten festlegen

Wir halten fest: Die DSGVO verpflichtet Unternehmen ein Datenschutzmanagement einzuführen, das den Schutz von personenbezogenen Daten sicherstellen soll. Rechtlich ist dafür die Geschäftsführung verantwortlich. Gleichwohl macht das beste Datenschutzmanagement nur dann Sinn, wenn es von den Mitarbeiten im Unternehmen umgesetzt und gelebt wird. Je nach Größe des Unternehmens kann es sinnvoll sein, zusätzlich zum Datenschutzbeauftragten, in den verschiedenen Abteilungen einen Verantwortlichen für den Datenschutz zu benennen, der als Koordinator zwischen dem Datenschutzbeauftragten und den Mitarbeitern der Abteilung dient. Insbesondere für kleine Unternehmen interessant: Der Datenschutzbeauftragte muss nicht zwingend aus der Belegschaft rekrutiert werden. Es kann ebenso ein externer Datenschutzbeauftragter bestellt/benannt werden.

2. Überblick verschaffen

Oder anders ausgedrückt: Schaffen Sie Transparenz im Datenbestand Ihres Unternehmens. Wo werden, in welchen Systemen personenbezogene Daten, z.B. von Mitarbeitern, Kunden, Lieferanten, erhoben und verarbeitet. Hierbei sind ausnahmslos alle Prozesse zu betrachten, denn nur so können Datenflüsse im Unternehmen ermittelt und definiert werden. Gleichzeitig dient dieser Überblick als Grundstein für das Verzeichnis von Verarbeitungstätigkeiten, aus dem BDSG bisher als Verfahrensverzeichnis bekannt.

3. Verarbeitung dokumentieren

Eines der Kerndokumente des Datenschutzmanagements ist das bereits zuvor genannte Verzeichnis von Verarbeitungstätigkeiten. In diesem Verzeichnis sind im Wesentlichen alle Informationen zu den Datenverarbeitungstätigkeiten innerhalb des Unternehmens zusammenzufassen. Dazu gehören u.a.: der Zweck der Datenverarbeitung und die Datenempfänger, Beschreibung der Kategorien der personenbezogenen Daten, der Kreis der betroffenen Personen. Je nach Umfang der Datenverarbeitungstätigkeiten kann für jedes im Unternehmen eingesetzte System ein separates Verzeichnis erstellt werden. Ein weiterer wichtiger Aspekt: Mit welchen externen Dienstleistern arbeitet das Unternehmen zusammen? Auch diese Prozesse sind zu analysieren, zu dokumentieren und machen ggfs. weitere Vereinbarungen notwendig (Stichwort: „Auftragsdatenverarbeitung“).

4. Mitarbeiter sensibilisieren/schulen

Neben dem Schaffen eines grundsätzlichen Bewusstseins für das Thema Datenschutz, sind regelmäßige Datenschutzschulungen für alle Mitarbeiter des Unternehmens notwendig. Diese Schulungen sind vom Datenschutzbeauftragten durchzuführen und sollen auf die datenschutzrechtlichen Regelungen und Prozesse im Unternehmen hinweisen. Ein Bestandteil der Sensibilisierung der Mitarbeiter ist die Verpflichtung auf das Datengeheimnis, auch wenn die DSGVO dies nicht mehr ausdrücklich fordert.

5. Prozesse etablieren

Unternehmen müssen sich darauf einstellen, dass betroffene Personen ihre Rechte wahrnehmen. Das sind: Informationsrecht, Auskunfts- und Widerspruchsrecht, Recht auf Berichtigung und Löschung sowie das recht auf Datenübertragbarkeit. Dafür muss ein Prozess implementiert werden. Dieser Prozess sollte u.a. Fragen beantworten wie: wer ist der Ansprechpartner im Unternehmen, in welcher Form werden Anfragen entgegengenommen und in welcher Frist bearbeitet, was ist dabei zu beachten und wie kann eine Löschung von Kundendaten bei begründeten Löschungsanspruch gewährleistet werden. Daneben ist ein Prozess zur Meldung von Datenschutzverstößen zu implementieren, der eine rechtzeitige Meldung im Falle einer Verletzung des Schutzes personenbezogener Daten sicherstellt.

6. IT stärken

Die DSGVO beschreibt vier Schutzziele, die bei der Verarbeitung von personenbezogenen Daten sichergestellt werden müssen: Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit. Dafür sind entsprechende technische und organisatorische Maßnahmen umzusetzen. Die DSGVO schreibt hier von Maßnahmen gemäß „Stand der Technik“ um ein „angemessenes Schutzniveau“ zu erreichen und zu halten. Welche Maßnahmen notwendig sind, sollte nach Feststellen des Schutzbedarfs inkl. einer Risikoanalyse ermittelt werden. Die hier beschriebenen Maßnahmen sind auch Teil eines Informationssicherheits-Managementsystems (ISMS), wie z.B. auf Basis der VdS 3473.

7. Loslegen

Dann bleibt zu guter Letzt nur noch zu sagen: Legen Sie los. Die Übergangsfrist für die Umsetzung der DSGVO läuft am 25. Mai 2018 ab. Die Zeit bis dahin ist knapp. Warten Sie nicht mit der Umsetzung. Suchen Sie sich bei Bedarf externe Beratung und Unterstützung, um Ihr Unternehmen für den bestmöglichen Datenschutz aufzustellen.