MENU
  1. Bildung
  2. Themenwelten: Weiter denken ‒ Wissen entwickeln
  3. Datenschutz
  4. EU-Datenschutz-Grundverordnung: Das müssen Sie wissen
  5. EU-Datenschutz-Grundverordnung (DSGVO)

Die Einführung der EU-Datenschutz-Grundverordnung (DSGVO) in der Praxis

Die Umsetzung der neuen EU-Datenschutz-Grundverordnung (DSGVO) ist eine enorme Herausforderung für Verantwortliche und Datenschutzbeauftragte. Nicht nur, dass die Thematik komplex ist, und sich vieles gegenüber der bisherigen Rechtsprechung ändert – auch die Vorgehensweise hat es in sich: Die Unternehmen müssen die neuen Regelungen quasi per Schalterumlegen zum Stichtag am 25. Mai 2018 einführen. Sie müssen sich also parallel zu den bestehenden Prozessen auf die neue Situation vorbereiten.

Stichtag 25. Mai 2018 zur Umsetzung der neuen DSGVO: Die Zeit drängt

Bis dahin ist nicht mehr viel Zeit. „Handlungsbedarf besteht ab sofort“, meint Datenexperte Karsten Schulz. Wie hoch der Aufwand für die Einführung der DSGVO ist, hängt vor allem davon ab, wie gut der Datenschutz bereits in Ihrem Unternehmen verankert ist. Darüber hinaus stellt sich die Frage nach der Art der personenbezogenen Datenverarbeitung. Die Thematik muss in einem Krankenhaus sehr viel gründlicher geprüft werden als es beispielsweise in einem produzierenden Gewerbe der Fall ist. Denn in einem Krankenhaus werden hochsensible Daten verarbeitet.

Unternehmen und Betriebe, die bereits einen hohen Standard beim Datenschutz implementiert haben, können darauf aufbauen. Denn die Grundgedanken des bisherigen Datenschutzes bleiben bestehen. Aber sie werden mit der DSGVO weiterentwickelt und ergänzt. Deshalb müssen Sie alle Prozesse, alle Verträge und alle Vereinbarungen im Hinblick auf das neue Recht überprüfen.

Die Haftung des Geschäftsführers

Die juristische Verantwortung für die ordnungsgemäße Umsetzung der DSGVO trägt der Vorstand beziehungsweise der Geschäftsführer eines Unternehmens. Bei Verstößen können die Aufsichtsbehörden nicht nur die hohen Bußgeldzahlungen verhängen. Unter Umständen haften die Verantwortlichen auch persönlich: Das heißt, sie müssen mit ihrem Privatvermögen einstehen.

DSGVO: Der Datenschutzbeauftragte bleibt in Deutschland Pflicht

Die DGSVO kennt übrigens keine Pflicht zur Benennung eines Datenschutzbeauftragten. Nach dem EU-Recht ist nur dann ein Datenschutzbeauftragter notwendig, wenn die Kerntätigkeit des Unternehmens die personenbezogene Datenverarbeitung ist. Das heißt also, die Firma erstellt Profile, erhebt Gesundheitsdaten oder hat mit Daten im Zusammenhang mit strafrechtlichen Verfahren zu tun. Dagegen sieht das deutsche Anpassungsgesetz wie bisher einen Datenschutzbeauftragten zwingend vor. In Deutschland müssen also Verantwortliche in Unternehmen ab zehn Mitarbeitern weiterhin diese Position schaffen.

Bei den Planungen für die Umsetzung der DSGVO bieten Checklisten Hilfe, mit denen Datenschutzbeauftragte die Thematik konsequent abarbeiten können. Solche Übersichten finden Sie in diversen Foren, Fachaufsätzen oder Blogs.

Machen Sie sich die Umsetzung der neuen DSGVO leichter: Bilden Sie Teams

Zunächst sollten Sie Projektteams zusammenstellen. Neben den Mitarbeitern, die mit Datenschutz im Unternehmen zu tun haben, sollten auch Vertreter von IT, Recht, Revision und Compliance beteiligt sein – so lautet der Rat von Tim Wybitul, Datenschutzanwalt und Partner bei Hogan Lovells. Je nach Größe der Firma sollten Sie das Thema auf Konzernebene bearbeiten, so dass einheitliche Standards im ganzen Unternehmen sichergestellt sind. Nächster Schritt ist die Definition der Projektziele, die vom Management abgesegnet werden müssen. 

Zur Ressourcenplanung gehört auch ein angemessenes Budget. Da die Einführung der DSGVO ein Projekt von erheblicher Tragweite ist, sollten Sie es auch mit entsprechenden finanziellen Mitteln ausstatten. Bei der Festlegung sollten die Verantwortlichen auch die drohenden Bußgelder bedenken.

Grundlage für das weitere Handeln ist eine gründliche Risikoanalyse der Datenverarbeitung. Die Risiken müssen nach ihrer Eintrittswahrscheinlichkeit und dem Ausmaß der negativen Folgen bewertet werden. Es folgt eine Prüfung der Möglichkeiten zur Risikovermeidung oder -verringerung.

Ist-Zustand mit Soll-Zustand der DSGVO abgleichen: Die Gap-Analyse

Nach der Bestandsaufnahme folgen Überlegungen zur Umsetzung. Dabei muss das Rad nicht komplett neu erfunden werden. In vielen Bereichen können Sie auf bestehende Strukturen aufbauen. Deshalb ist ein strukturierter Abgleich des derzeitigen Ist-Zustands mit dem künftigen Soll-Zustand wichtig. Die Gap-Analyse ist ein wichtiger Baustein für die weitere Projektplanung.

Aufgrund der DSGVO müssen viele Firmen dem Datenschutz einen höheren Stellenwert einräumen. Im Zusammenhang damit ist es wichtig, dass das Management intern klar kommuniziert. Größere Unternehmen sollten eventuell entsprechende firmeninterne Datenschutzrichtlinien einführen, rät Wybitul.

Interne Schulung: Bereiten Sie Ihre Mitarbeiter auf die DSGVO vor

Auch die Belegschaft sollte auf das neue EU-Recht vorbereitet werden. Die DSGVO sieht ausdrücklich die „Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter“ durch den Datenschutzbeauftragten vor.

Fazit: Planen Sie frühzeitig, um mit der Umsetzung der DSGVO zügig beginnen zu können

Die DSGVO ist mit 99 Artikel ein sehr umfangreiches Gesetzeswerk und bringt erhebliche Änderungen gegenüber dem bisherigen Recht mit sich. Sie sollten die notwendigen Anpassungsprozesse frühzeitig planen. Dann können Sie ein den Vorgaben der Verordnung entsprechendes Datenschutz-Managementsystem im Unternehmen aufbauen.

Ihre Ansprechpartnerin

Melanie Braunschweig

Melanie Braunschweig

TÜV NORD Akademie GmbH & Co. KG
Produktmanagerin Datenschutz und Informationsmanagement
II. Hagen 7, 45127 Essen

+49 201 31955-42
Fax: +49 201 31955-70

mbraunschweig@tuev-nord.de

Diese Seite weiterempfehlen