Die Datenschutzgrundverordnung ist in aller Munde. Und doch hat sich laut einer aktuellen Umfrage des Digitalverbandes BITKOM jedes dritte Unternehmen noch nicht mit der Umsetzung der EU-DSGVO beschäftigt.
Nur 13% der Unternehmen haben erste Maßnahmen ergriffen oder realisiert. Als größter Hemmschuh bei der Umsetzung haben sich die Rechtsunsicherheit und der unklare Umsetzungsaufwand gezeigt*. Das hört sich beunruhigend an, bleiben nur noch wenige Monate Zeit bis zum Inkrafttreten. Grund genug, bei einem Experten nachzufragen. Genau das haben wir getan und Rüdiger Gropp, Datenschutzbeauftragter der IT-Consulting und Unternehmensberatung PRO-ICON, zu einem Gespräch eingeladen.
Herr Gropp, über die EU-DSGVO wird viel geschrieben und diskutiert. Wann wird es denn ernst?
Für alle europäischen Unternehmen gilt ab 25. Mai 2018 die Europäische Datenschutz-Grundverordnung (EU-DSGVO). Diese neue Verordnung hat Anwendungsvorrang vor jedem nationalen Gesetz. Das bedeutet, dass sie auch das bisherige deutsche Bundesdatenschutzgesetz ablöst.
Welche persönlichen Erfahrungen haben Sie bisher in Unternehmen gemacht?
Große Unternehmen und Konzerne sind in vielen Fällen bereits aktiv. Mittelständler noch nicht! Langsam drängt die Zeit und es ist wirklich wichtig, dass sich jetzt jedes Unternehmen unabhängig von der Größe – Start Up, Kleinbetrieb oder Mittelstand – konkret mit den Inhalten der DSGVO auseinandersetzt. Neben den rechtlichen Aspekten spielt auch die organisatorische und technische Umsetzung eine entscheidende Rolle.
Viele Unternehmer fürchten die Komplexität. Sie sehen einen enormen zusätzlichen Zeit- und Kostenaufwand. Sehen Sie auch Vorteile der DSGVO?
Ja, auf jeden Fall. Im Gegensatz zu vielen anderen europäischen Nachbarn existieren bei uns bereits seit den 70er Jahren gesetzliche Datenschutzregelungen. Allerdings wurde das Thema bisher häufig nicht ausreichend ernst genommen. Auch breitangelegte Hackerangriffe führten in Deutschland noch nicht zu einem radikalen Umdenken in Sachen Datenschutz. Durch die DSGVO sind Unternehmen jetzt gezwungen, sich intensiv mit der Datensicherheit im eigenen Unternehmen und mit den Risiken im Umgang mit Daten auseinanderzusetzen. Konkret bedeutet das, den Schutzbedarf in ihrer IT-Landschaft zu eruieren, Daten zu sichten und abzusichern. Auch wenn es in der DSGVO um personenbezogene Daten geht, wird die Verordnung dazu führen, dass Unternehmen insgesamt ihre eigenen Datenschutz- und IT-Sicherheitsprozesse analysieren, angehen und anpassen.
Das höchste Gut der meisten deutschen Unternehmen ist WISSEN und damit einhergehend ihre DATEN. Diese gilt es im eigenen Interesse bestmöglich zu schützen.
Kommen wir zu den DSGVO Inhalten. Eine Aussage, auf die man häufig stößt, ist das „Recht auf Vergessen werden“. Was bedeutet das genau für Unternehmen?
Die EU-DSGVO stellt neue Anforderungen im Hinblick auf die Dokumentation von Geschäfts- und IT-Prozessen, die Durchführung von Risikobewertungen und besonders auch Löschpflichten für personenbezogene Daten, wenn ein Betroffener dies z.B. vom Unternehmen fordert. Bei Verstößen gegen die EU-DSGVO werden Strafen von bis zu 4 Prozent des Jahresumsatzes oder bis zu 20. Mio. fällig.
Jedes Unternehmen muss sich also die Frage stellen, ob es dieses „Recht auf Vergessen werden“ in der Praxis gewährleisten kann, also das Löschen von Daten?
Ja genau. Nach Artikel 17 der DSGVO müssen nicht mehr erforderliche oder von betroffenen Personen widerrufene personenbezogene Daten unverzüglich gelöscht werden können. Das heißt, jedes Unternehmen muss in der Lage sein, diese Daten unlesbar zu machen (zu anonymisieren), deren Codierung oder Verknüpfung zu löschen, oder den Datenträger zu zerstören bzw. mithilfe einer Löschsoftware die Daten vernichten.
Gibt es ein Standardvorgehen für Unternehmen, wie sich die DSGVO umsetzen lässt?
Nein, leider nicht. Datenschutz ist kein standardisiertes Produkt, sondern ein kontinuierlicher Prozess. Im Schulterschluss von Rechtsabteilung und IT sollte jedes Unternehmen sein eigenes Datenschutzmanagement betreiben und ein Datenschutzkonzept bzw. eine Datenschutzrichtlinie erstellen. Organisation und Prozesse, Anforderungen und IT-Gegebenheiten sind sehr individuell.
Ähnlich wie beim Qualitätsmanagement und dem Einhalten von ISO-Richtlinien sind Unternehmen auch nach dem Stichtag angehalten, passende IT-Tools einzusetzen, organisatorische Maßnahmen zu treffen und ihre Datenschutz- und IT-Sicherheitsprozesse kontinuierlich zu verbessern und weiterentwickeln.
Was empfehlen Sie Unternehmen, die bis heute noch nichts oder nur wenig unternommen haben?
Im ersten Schritt gilt es, die derzeitigen Datenschutzmaßnahmen im eigenen Unternehmen zu sichten. Wo steht das Unternehmen jetzt und was ist wann zu tun, um den zukünftigen datenschutzrechtlichen Anforderungen gerecht zu werden. Ich empfehle, die einzelnen DSGVO Inhalte anhand einer strukturierten Checkliste zu überprüfen. Eine Risiko-Analyse kann helfen, potenzielle Risiken und Gefährdungen rechtzeitig zu erkennen. Ressourcen müssen im Hinblick auf Mitarbeiter und Budgets geplant werden. Das neue Datenschutzgesetz sieht umfassende Rechenschafts- und Dokumentationspflichten vor; diese müssen zukünftig gewährleisten werden.
Im nächsten Schritt gilt es, die technologischen Gegebenheiten im Unternehmen zu analysieren. Es muss sichergestellt werden, dass die Anforderungen aus der DSGVO auch technisch umsetzbar sind. Die Magic Integrationslösung xpi kann dabei helfen.
Herr Gropp, wir danken Ihnen für das informative Gespräch.
In unserem zweiten Beitrag sehen wir uns die technologischen Herausforderungen und mögliche Lösungsansätze genauer an.
Haben Sie Fragen?
Wir stehen gerne zur Verfügung und unterstützen Sie bei Fragen rund um Checkliste und Leitlinien, Prozesse zur Datenschutz-Folgeabschätzung (DSFA), Vorlagen der dazugehörigen Risikobewertung, Verarbeitungsverzeichnisse und Aufgaben des Datenschutzbeauftragten ab 2018.
Kontakt: Rüdiger Gropp, PRO-ICON
Kontakt: Monika Bielmeier, Magic Software
Link: Magic End-to-End Integration
Link: IT-Consulting & Unternehmensberatung PRO-ICON