Probleme beim Einloggen

Der neue EU-Datenschutz: Wird er künftigen Herausforderungen gerecht?

Im Sommer 2018 tritt die europaweite Datenschutzgrundverordnung in Kraft. Was Verbrauchern Vorteile verspricht, bringt viele Unternehmen in Bedrängnis. Viele sind bislang nur unzureichend vorbereitet.

Diese fünf Tipps nehmen der Verordnung ihren Schrecken

Peter K. Albrecht
  • Viele Unternehmen hadern mit Betroffenenrechten und Meldepflichten
  • Verarbeitungsverzeichnisse und Einwilligungserklärungen sind Pflicht
  • Selbst wenn die Grundthemen geklärt sind, gibt es eine Menge zu tun

12.108 Reaktionen

Die Datenschutzgrundverordnung (DSGVO) tritt am 25. Mai 2018 in Kraft und stellt jedes Unternehmen vor große Herausforderungen. Man sollte bereits heute den Status der schon etablierten Maßnahmen und Prozesse kennen und kritische Themen zeitnah angehen. Dazu gilt es, folgende fünf Themen als Einstieg zu adressieren. Diese Aufstellung hilft im ersten Schritt, die Basis zu setzen, um im zweiten Schritt die DSGVO nachhaltig und vollständig zu erfüllen.

Betrachtet man die wesentlichen durch die DSGVO vorgegebenen Datenschutzprozesse (datenschutzkonforme Verarbeitung, Sicherstellung der Betroffenenrechte, Handhabung von Datenschutzverletzungen), so stellt man im Dialog mit Unternehmen fest, dass der erste Prozess noch weitgehend gut adressiert wird, die Themen Betroffenenrechte und Datenschutzverletzungen jedoch viele vor wirklich große prozessuale und technische Herausforderungen stellen. Darüber hinaus sucht man oft vergeblich nach einer Datenschutzleitlinie oder einem Verarbeitungsverzeichnis (zu Zeiten des Bundesdatenschutzgesetzes war dies das Verfahrensverzeichnis). Welches Unternehmen ist heute beispielsweise darauf vorbereitet, das Recht eines Betroffenen auf Zugriff oder Datenübertragbarkeit sicherzustellen?

  • Datenschutzbeauftragter

Als Erstes ist die Bestellung eines internen oder externen Datenschutzbeauftragten notwendig, diese ist nach Artikel 37 der DSGVO aufgrund diverser dort festgelegter Kriterien für die meisten Unternehmen verpflichtend. Das Grundhandwerkszeug des Datenschutzbeauftragten besteht, neben vielen anderen Dingen, aus dem Verfahrensverzeichnis (zukünftig Verarbeitungsverzeichnis genannt) sowie der regelmäßigen Durchführung aller notwendigen Mitarbeiterschulungen und Vorabkontrollen, deren Ergebnisse in einen regelmäßig zu erstellenden Datenschutzbericht einfließen. Basis für seine Arbeit ist die Datenschutzleitlinie.

  • Einwilligungserklärung

Alle Mitarbeiter des Unternehmens müssen eine Verpflichtungserklärung (DSGVO Artikel 32) unterschrieben haben; für die Speicherung und weitere Verarbeitung personenbezogener Daten sollte grundsätzlich eine Einwilligungserklärung (DSGVO Artikel 7) eines jeden Betroffenen vorliegen.

  • Vertrag zur Auftragsdatenverarbeitung

Werden Systeme mit personenbezogenen Daten außerhalb des eigenen Hauses betrieben, muss dies mit einem Vertrag zur Auftragsdatenverarbeitung (DSGVO Artikel 28) unterlegt werden. Liegen derartige Verträge nicht vor, sollten diese umgehend geschlossen werden. Bestehende Verträge wären zu überprüfen.

  • Zutritte, Zugänge und Zugriffe

Technisch muss es klar dokumentierte und angewandte Verfahren zu den Themen Zutrittskontrolle, Zugangskontrolle und Zugriffskontrolle (DSGVO Artikel 32) geben. Besonders wichtig hierbei ist die lückenlose Protokollierung aller Zutritte, Zugänge und Zugriffe.

  • Rechte aller Betroffenen

Man sollte im Hinblick auf die zukünftig deutlich detaillierter festgelegten Rechte der Betroffenen (DSGVO Artikel 13 ff.), zum Beispiel das Recht auf Löschung und das Recht auf Vergessenwerden, die vorhandenen Systeme und Prozesse dahin gehend prüfen, wie derartige Anforderungen umsetzbar sind.

Die zukünftig geltende Pflicht, Datenschutzverletzungen innerhalb von 72 Stunden zu melden, wird ebenfalls große Herausforderungen an die bestehende System- und Prozesswelt stellen.

Fangen Sie jetzt mit diesen fünf Hausaufgaben an, um auf den 25. Mai 2018 vorbereitet zu sein! Sind diese erledigt, gibt es eine Fülle weiterer Anforderungen, Maßnahmen und Prozesse, die bis zur vollständigen Adressierung der DSGVO umzusetzen oder einzuführen sind. Die Umsetzung dieser fünf Themen hilft, dem Thema DSGVO den Schrecken zu nehmen.

Veröffentlicht:

Peter K. Albrecht
© Peter K. Albrecht
Peter K. Albrecht

Digitalisierungsexperte, Scopar GmbH

Peter K. Albrecht ist Mitglied des Beratungsgremiums der Scopar GmbH und Experte für alle modernen Fragen des IT-Managements. Die Schwerpunkte seines Portfolios umfassen die Digitalisierung, Agilisierung, Big Data, Governance sowie alle Fragen des Sourcings, insbesondere im Zeitalter der Cloud. Albrecht war unter anderem Bereichsleiter Technologie bei Edeka Lunar, CIO bei Fielmann und Executive für Outsourcing bei IBM.

Mehr anzeigen

Werden Sie kostenlos XING Mitglied, um regelmäßig Klartext-Debatten zu aktuellen Themen zu lesen.

Als XING Mitglied gehören Sie zu einer Gemeinschaft von über 14 Mio. Berufstätigen allein im deutschsprachigen Raum. Sie erhalten zudem ein kostenloses Profil und den Zugang zu spannenden News, Jobs, Gruppen und Events.

Mehr erfahren