side-area-logo
Die Zeit drängt: die EU-Datenschutz-Grundverordnung in die betriebliche Praxis einführen

Die neue EU-Datenschutz-Grundverordnung (DSGVO) fordert Unternehmen und ihre Datenschutz-Beauftragten gewaltig heraus. Weil sich vieles rechtlich ändert – und weil Unternehmen die neuen Regelungen zum 25. Mai 2018 quasi über Nacht einführen müssen. Säumigen drohen drastische Bußgelder.

 

Verstöße werden mit bis zu 20 Millionen Euro geahndet, bei Konzernen sogar mit bis zu vier Prozent des weltweiten Umsatzes des Vorjahres. Auch deshalb sollten Unternehmen alle Prozesse, alle Verträge und alle Vereinbarungen im Hinblick auf das neue Datenschutz-Recht überprüfen. Und bis zum Stichtag ist nicht mehr viel Zeit. „Handlungsbedarf besteht ab sofort“, sagt Datenschutzexpertin Melanie Braunschweig von der TÜV NORD Akademie. „Wie hoch der Aufwand für die Einführung der DSGVO ist, hängt vor allem davon ab, wie gut der Datenschutz im Betrieb bereits verankert ist.“

Außerdem stellt sich die Frage nach der Art der personenbezogenen Datenverarbeitung. Die Thematik muss in einem Krankenhaus sehr viel gründlicher geprüft werden als in einem produzierenden Gewerbe, denn Krankenhäuser verarbeiten besonders sensible Daten.

 

Der Datenschutzbeauftragte bleibt in Deutschland Pflicht

Die DGSVO kennt keine Pflicht zur Benennung eines Datenschutzbeauftragten. Laut neuem EU-Recht ist nur dann ein Datenschutzbeauftragter notwendig, wenn die Kerntätigkeit des Unternehmens die personenbezogene Datenverarbeitung ist. Also wenn die Firma Profile erstellt, Gesundheitsdaten erhebt oder mit Daten im Zusammenhang mit strafrechtlichen Verfahren zu tun hat. Allerdings: das deutsche Anpassungsgesetz sieht einen Datenschutzbeauftragten weiterhin zwingend vor – für jedes Unternehmen ab zehn Mitarbeitern.

 

Checkliste: 6 Praxis-Tipps für das Umsetzen der neuen DSGVO im Unternehmen

 

1.) Projektteams bilden. „Neben den Mitarbeitern, die mit Datenschutz im Unternehmen zu tun haben, sollten auch Vertreter von IT, Recht, Revision und Compliance beteiligt sein“, rät Tim Wybitul, Datenschutzanwalt und Partner bei Hogan Lovells.

 

2.) Konkrete Projektziele definieren. Diese müssen vom Management abgesegnet werden.

 

3.) Ein angemessenes Budget einplanen. Da die Einführung der DSGVO ein Projekt von erheblicher Tragweite ist, sollte es auch mit entsprechenden finanziellen Mitteln ausgestattet sein. Beim Kalkulieren sollten Unternehmen auch an die drohenden Bußgelder denken.

 

4.) Eine gründliche Risikoanalyse der Datenverarbeitung erstellen. Risiken lassen sich nach ihrer Eintrittswahrscheinlichkeit und dem Ausmaß der negativen Folgen bewerten. Anschließend sind die Möglichkeiten zur Risikovermeidung oder -verringerung zu prüfen.

 

5.) Den Ist-Zustand mit dem Soll-Zustand abgleichen. Bei der Gap-Analyse folgen auf die Bestandsaufnahme Überlegungen zur Umsetzung des neuen Rechts. Dabei muss das Rad nicht neu erfunden werden: Unternehmen können auf bestehende Strukturen aufbauen.

 

6.) Mitarbeiter schulen. Die Belegschaft sollte auf das neue EU-Recht vorbereitet werden. Die DSGVO sieht ausdrücklich die „Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter“ vor. Bildungsanbieter wie die TÜV NORD Akademie bieten entsprechende Seminare an.

 

Mehr zu den Datenschutz-Seminaren der TÜV NORD Akademie unter: www.tuev-nord.de/weiterbildung/Datenschutz/

 

Foto: William Bout

katrin