In einer nicht repräsentativen Online-Umfrage von Tüv Rheinland gaben 22,5 Prozent der Teilnehmer an, sich gut für die Erfüllung der ab 25. Mai 2018 geltenden EU-Datenschutz-Grundverordnung (EU-DSGVO) gerüstet zu sehen. Dem gegenüber stehen rund 24 Prozent der 568 teilnehmenden Unternehmen, die sich noch nicht mit der Thematik befasst haben. Aufgrund der umfassenden Anforderungen der neuen Regelung und der Forderung des Gesetzgebers, Datenschutzrisiken erstmals aus Sicht der Betroffenen zu bewerten, ist es für diese Unternehmen wichtig, umgehend mit der Vorbereitung und der Umsetzung zu beginnen.
Die Verarbeitung personenbezogener Daten erfolgt in allen Unternehmensformen und verschiedenen Unternehmensbereichen: im Vertrieb bei der Erfassung und Speicherung von Kundendaten, im Marketing bei der Ansprache von Kunden, auf der Website oder den genutzten Social Media-Kanälen sowie in der Personalabteilung. Entsprechend vielfältig sind die Vorgänge, die auf ihre Rechtskonformität geprüft und gegebenenfalls angepasst werden müssen.
Der erste Schritt bei der Umsetzung der EU-DSGVO ist eine umfassende Analyse aller Datenverarbeitungsvorgänge im Unternehmen beispielsweise mit Hilfe des Datenschutz-Checks von Tüv Rheinland. Mögliche Fragen zur Ermittlung des Ist-Zustands sind: Welche Daten werden wo, wie, wofür und durch wen verarbeitet? Welche Maßnahmen zum Datenschutz sind an den betroffenen Stellen bereits getroffen? Findet eine Datenverarbeitung in der Form statt, dass Daten, beispielsweise zur Zahlungsabwicklung im Online-Shop, an Dritte übermittelt werden? Entsprechen die Verträge mit Dritten den Vorgaben der EU-DSGVO? In wieweit sind alle diese Vorgänge dokumentiert?
Die Frage nach der Dokumentation gewinnt ab dem ersten Geltungstag der neuen Regelung an Bedeutung: Die EU-DSGVO verpflichtet Unternehmen dazu zu belegen, dass die Verarbeitung personenbezogener Daten rechtskonform erfolgt. Möglich ist dieser Nachweis nur durch eine umfassende Dokumentation aller betroffenen Prozesse im Unternehmen. Mittlere und große Unternehmen können diese Verpflichtung vor allem durch die Einführung oder die Anpassung eines vorhandenen Datenschutzmanagementsystems erfüllen. Verstöße gegen die neue Verordnung können mit einem Bußgeld belegt werden, das bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes betragen kann. Da zur Umsetzung der neuen Regelung nur noch wenige Wochen Zeit bleibt, müssen bei der Abfolge der Maßnahmen Prioritäten gesetzt werden. Entscheidungshilfe bietet dabei die Frage: Wo klaffen die größten Lücken und welche Folgen können sich daraus für das Unternehmen ergeben? Der Abgleich zwischen dem ermittelten Ist-Zustand und den zu erfüllenden Vorgaben ermöglicht es dabei, den Handlungsbedarf im Unternehmen zu ermitteln.
Schon die ersten Schritte auf dem Weg zur Erfüllung der EU-DSGVO setzen umfassende Kenntnisse der neuen Verordnung voraus. Sie erfordern darüber hinaus Erfahrung in der Umsetzung von Managementprozessen sowie das Verständnis von Informationssicherheitstechnologien. Sind dieses Wissen und personelle Ressourcen nicht vorhanden, können externe Berater, beispielsweise von Tüv Rheinland, Unternehmen umfassend bei der Vorbereitung und Umsetzung der EU-DSGVO unterstützen. Dabei haben die Berater sowohl die Erfordernisse des neuen Gesetzes als auch die Interessen des Unternehmens im Blick. Vor allem für kleine und mittlere Unternehmen ist die Bestellung eines externen Datenschutzbeauftragten interessant: Sie können auf umfangreiches Fachwissen zurückgreifen ohne interne Kapazitäten für diese Aufgaben zu binden. Sind alle Vorgaben der EU-DSGVO erfüllt, schaffen Unternehmen mit dem Tüv-Siegel „geprüfter Datenschutz“ Vertrauen bei ihren Kunden – nicht nur für Unternehmen der Auftragsdatenverarbeitung ein wertvoller Wettbewerbsvorteil.
