Daten

Jetzt die EU-DSGVO in Angriff nehmen

| Autor / Redakteur: Tilman Dralle, Thomas Werner* / Ines Stotz

Unternehmen, die in mehreren EU-Mitgliedstaaten präsent sind und dort personenbezogene Daten verarbeiten, ist grundsätzlich zu raten, die DSGVO über weite Strecken eins zu eins umsetzen. Warum – zeigt der Beitrag auf.
Unternehmen, die in mehreren EU-Mitgliedstaaten präsent sind und dort personenbezogene Daten verarbeiten, ist grundsätzlich zu raten, die DSGVO über weite Strecken eins zu eins umsetzen. Warum – zeigt der Beitrag auf. (Bild: gemeinfrei / CC0)

Ab dem 25. Mai 2018 wird die EU-Datenschutz-Grundverordnung die bisherigen nationalen Datenschutzgesetze der EU-Mitgliedstaaten verdrängen. Eine Verordnung, die es in sich hat: Ob verschärfte Wahrung von Betroffenenrechten oder massiv erhöhte Bußgelder – die EU-DSGVO bedeutet vor allem eines: viel Vorarbeit und Sorgfalt in punkto Implementierung.

Stand heute bleiben faktisch gerade einmal 11 Monate, um die Bestimmungen umzusetzen. Tilman Dralle und Thomas Werner, beide Juristen und Experten für Datenschutzmanagement bei TÜV Rheinland, ordnen die wichtigsten Punkte ein und geben Tipps, wie sich die Herausforderung erfolgreich meistern lässt.

Das europäische Datenschutzrecht harmonisieren und damit Rechtssicherheit, Wettbewerbsgleichheit und ein einheitliches, hohes Datenschutzniveau herstellen: Das war das Ziel, das der europäische Gesetzgeber mit der Datenschutz-Grundverordnung (DSGVO) verfolgte. Doch die erwünschte EU-weite Vereinheitlichung des Datenschutzrechts wurde nicht in allen Punkten konsequent umgesetzt. Denn die neue DSGVO umfasst rund 60 sogenannte „Öffnungsklauseln“, die es den Mitgliedstaaten in vielen Bereichen erlauben, unter gewissen Voraussetzungen von den europäischen Standards abzuweichen.

Diese Möglichkeit hat der Deutsche Bundestag genutzt und Ende April einen entsprechenden Entwurf verabschiedet: das DSAnpUG-EU („Datenschutz-Anpassungs- und -Umsetzungsgesetz EU“). Der Deutsche Bundesrat hat dem Gesetzentwurf in seiner Sitzung vom 12. Mai ebenfalls seine Zustimmung gegeben. Damit wird das DSAnpUG-EU pünktlich zum 25. Mai 2018 – also dem DSGVO-Stichtag – in Kraft treten und das bisherige Bundesdatenschutzgesetz durch ein vollständig reformiertes „BDSG 2018“ ersetzen.

Inwieweit relativiert das „BDSG 2018“ datenschutzrechtliche Verpflichtungen aus der DSGVO für Unternehmen? Lässt sich so der Ressourcen- und Kostenaufwand für deutsche Unternehmen senken?

Fakt ist: Kurzfristige Änderungen des Gesetzesentwurfs der Bundesregierung haben dazu geführt, dass beispielsweise die geplante Einschränkung der Transparenzpflichten und Betroffenenrechte wieder ein gutes Stück zurückgenommen wurde: Beim Recht auf Löschung wurde die von der Bundesregierung beabsichtigte Ausnahme bei „unverhältnismäßig hohem Aufwand“ auf Fälle nicht-automatisierter Datenverarbeitung begrenzt. Bei den Informationspflichten können sich verantwortliche Stellen ebenfalls nicht mehr auf einen „unverhältnismäßigen Aufwand“ berufen. Auch hier zielt die überarbeitete Formulierung darauf ab, ausschließlich kleine Unternehmen mit noch analoger Datenverarbeitung zu entlasten.

„DSGVO: Kosten sparen durch einheitliches Datenschutz-Management“?

Unternehmen, die in mehreren EU-Mitgliedstaaten präsent sind und dort personenbezogene Daten verarbeiten, ist grundsätzlich zu raten, die DSGVO über weite Strecken eins zu eins umsetzen. Die Vorteile eines klaren Bekenntnisses zur DSGVO liegen auf der Hand: Ein einheitliches Datenschutz-Management mit klaren Regeln in allen EU-Mitgliedstaaten ist effizienter und damit kostensparender als ein geografisch fragmentierter Datenschutz-Ansatz. Nichtsdestotrotz entscheidet am Ende der Einzelfall, ob und in welchem Ausmaß eine Nutzung von Ausnahmetatbeständen im BDSG 2018 unternehmerisch sinnvoll ist. Dies gilt sowohl für Konzerne als auch für KMUs.

Was sind die wichtigsten Schritte zur Umsetzung der DSGVO?

Unternehmen sollten zunächst alle relevanten Stakeholder über die wichtigsten Aspekte der DSGVO ausreichend informieren. Ansonsten wird ein Projekt dieser Größenordnung nicht erfolgreich zu bewältigen sein. Danach folgt die Gap-Analyse. Diese umfasst zunächst die Dokumentation des Ist-Zustandes: Wie haben wir den Datenschutz bisher gemanaged? Ist das Verfahrensverzeichnis aktuell? Welche Richtlinien zum Datenschutz und zur Datensicherheit liegen vor?

Anschließend ist der konkrete Handlungsbedarf durch einen Soll-Ist-Abgleich zu bestimmen. Hierfür ist es erforderlich, ein möglichst differenziertes Verständnis der neuen gesetzlichen Anforderungen zu besitzen. Die weiter unten aufgeführten Kernpunkte der DSGVO vermitteln einen Eindruck vom Aufwand, der mit der Umsetzung der DSGVO in einem relativ kurzen Zeitfenster verbunden ist. Eine sinnvolle Vorgehensweise ist es, in einer Gap-Analyse die Findings risikobasiert zu priorisieren. Bestimmte Gaps sollten nicht zuletzt wegen der immensen Bußgelder und dem drohenden Reputationsschaden als Erstes angegangen werden.

Wer das Know-how nicht im Hause hat und mit personellen Engpässen zu kämpfen hat, ist beim Aufsetzen oder der Weiterentwicklung seines Datenschutzmanagementsystems mit externer Unterstützung gut beraten. Die Consultants sollten die DSGVO nicht allein durch die juristische Brille betrachten, sondern über Erfahrung in der Umsetzung von Managementsystemen und über ein umfassendes Verständnis informationssicherheits-technologischer Zusammenhänge verfügen. Das Unternehmen wiederum sollte einen Projektverantwortlichen benennen können, der den externen Berater bei der Implementierung unterstützt und der auch für die Zeit nach der Implementierung gecoacht werden kann.

Die Suche nach Unterstützung fachkundiger Dritter sollten Unternehmen nicht auf die lange Bank schieben. Denn viele Unternehmen befinden sich in einer vergleichbaren Situation und die Zahl der verfügbaren Berater ist endlich. Organisationen, die zum Stichtag noch nicht alle Anforderungen erfüllen, riskieren empfindliche Sanktionen. Strafmildernd dürfte sich allerdings der Nachweis auswirken, dass sich das Unternehmen bereits eingehend mit der Thematik befasst hat.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44755999 / Datennetze)