Die Zeit drängt: EU-Datenschutz-Grundverordnung in die betriebliche Praxis einführen

18. September 2017 | Bildung: Die neue DSGVO fordert Unternehmen und ihre Datenschutzbeauftragten gewaltig heraus.

Hamburg: Die neue EU-Datenschutz-Grundverordnung (DSGVO) fordert Unternehmen und ihre Datenschutzbeauftragten gewaltig heraus. Weil sich vieles rechtlich ändert – und weil Unternehmen die neuen Regelungen zum 25. Mai 2018 quasi über Nacht einführen müssen. Säumigen drohen drastische Bußgelder.

Verstöße werden mit bis zu 20 Millionen Euro geahndet, bei Konzernen sogar mit bis zu vier Prozent des weltweiten Umsatzes des Vorjahres. Auch deshalb sollten Unternehmen alle Prozesse, alle Verträge und alle Vereinbarungen im Hinblick auf das neue Datenschutzrecht überprüfen. Und bis zum Stichtag ist nicht mehr viel Zeit. „Handlungsbedarf besteht ab sofort“, sagt Datenschutzexpertin Melanie Braunschweig von der TÜV NORD Akademie. „Wie hoch der Aufwand für die Einführung der DSGVO ist, hängt vor allem davon ab, wie gut der Datenschutz im Betrieb bereits verankert ist.“

Außerdem stellt sich die Frage nach der Art der personenbezogenen Datenverarbeitung. Die Thematik muss in einem Krankenhaus sehr viel gründlicher geprüft werden als in einem produzierenden Gewerbe, denn Krankenhäuser verarbeiten besonders sensible Daten.

Der Datenschutzbeauftragte bleibt in Deutschland Pflicht

Die DGSVO kennt keine Pflicht zur Benennung eines Datenschutzbeauftragten. Laut neuem EU-Recht ist nur dann ein Datenschutzbeauftragter notwendig, wenn die Kerntätigkeit des Unternehmens die personenbezogene Datenverarbeitung ist. Also wenn die Firma Profile erstellt, Gesundheitsdaten erhebt oder mit Daten im Zusammenhang mit strafrechtlichen Verfahren zu tun hat. Für jedes Unternehmen ab zehn Mitarbeitern sieht das deutsche Anpassungsgesetz allerdings weiterhin zwingend einen Datenschutzbeauftragten vor.

 

Checkliste: 6 Praxis-Tipps für das Umsetzen der neuen DSGVO im Unternehmen

  • 1. Projektteams bilden. „Neben den Mitarbeitern, die mit Datenschutz im Unternehmen zu tun haben, sollten auch Vertreter von IT, Recht, Revision und Compliance beteiligt sein“, rät Tim Wybitul, Datenschutzanwalt und Partner bei Hogan Lovells.
  • 2. Konkrete Projektziele definieren. Diese müssen vom Management abgesegnet werden.
  • 3. Ein angemessenes Budget einplanen. Da die Einführung der DSGVO ein Projekt von erheblicher Tragweite ist, sollte es auch mit entsprechenden finanziellen Mitteln ausgestattet sein. Beim Kalkulieren sollten Unternehmen auch an die drohenden Bußgelder denken.
  • 4. Eine gründliche Risikoanalyse der Datenverarbeitung erstellen. Risiken lassen sich nach ihrer Eintrittswahrscheinlichkeit und dem Ausmaß der negativen Folgen bewerten. Anschließend können die Möglichkeiten zur Risikovermeidung oder -verringerung geprüft werden.
  • 5. Den Ist-Zustand mit dem Soll-Zustand abgleichen. Bei der Gap-Analyse folgen auf die Bestandsaufnahme Überlegungen zur Umsetzung des neuen Rechts. Dabei muss das Rad nicht neu erfunden werden: Unternehmen können auf bestehende Strukturen aufbauen.
  • 6. Mitarbeiter schulen. Die Belegschaft sollte auf das neue EU-Recht vorbereitet werden. Die DSGVO sieht ausdrücklich die „Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter“ vor. Bildungsanbieter wie die TÜV NORD Akademie bieten entsprechende Seminare an.

  

Mehr zu den Datenschutz-Seminaren der TÜV NORD Akademie unter: www.tuev-nord.de/weiterbildung/Datenschutz/

Über die TÜV NORD GROUP

Als anerkannter Technologie-Dienstleister stehen wir weltweit für Sicherheit und Vertrauen. Dabei haben wir die digitale Zukunft fest im Blick. Unabhängige Ingenieure und IT-Security-Fachleute bieten exzellente Lösungen für Sicherheit, Qualität und eine hervorragende Position im Wettbewerb. In mehr als 70 Ländern stärken wir Unternehmen und Partner bei der Wahrnehmung ihrer Verantwortung für Menschen, Technologie und Umwelt.