DE EN
Zeit zu handeln!

Die EU-DSGVO kommt!

Dr. Frank Hülsberg Dr. Frank Hülsberg

Am 25. Mai 2018 tritt die neue EU-Datenschutzgrundverordnung (DSGVO) in Kraft. Mit der Verordnung hat Europa sein Datenschutzrecht angepasst und erneuert. Unternehmen und Behörden haben also noch rund 8 Monate Zeit, um sich auf die neue Rechtslage einzustellen. Die Verordnung verlangt ein teilweises Umdenken im Unternehmen, gerade auch bei der Gestaltung von internen Prozessen. Unser Experte Dr. Frank Hülsberg zeigt auf, in welchen Bereichen Handlungsbedarf besteht.

Welche Schritte sollten Unternehmen jetzt einleiten?

Um den mit der DSGVO verbundenen Herausforderungen zeitgemäß gerecht zu werden, sind organisatorische und technische Maßnahmen erforderlich. Hierzu gehören die Erstellung entsprechender Richtlinien sowie Schulungen der Mitarbeiter zum Thema Datenschutz. Zudem ist eine Übersicht aller bestehenden Leistungsbeziehungen und der beauftragten Kreditoren anzufertigen, um effektives Vertragsmanagement zu ermöglichen und ggf. Auftragsdatenverarbeitungsverträge abzuschließen. Aus praktischer Sicht müssen zahlreiche IT-Prozesse und datenschutzfreundliche Voreinstellungen implementiert bzw. angepasst und in einem Verfahrensverzeichnis erfasst werden, um Vorgänge datenschutzgerecht durchführen zu können. Auch räumlich gesehen haben Unternehmen Vorkehrungen zu treffen, um Unberechtigten Zutritt zu schutzbedürftigen Unterlagen und Zugriff auf diese zu verhindern. Zu empfehlen ist auch der Einsatz von gut geschulten – auch externen – Datenschutzbeauftragten, deren Rolle insbesondere vor dem Hintergrund zunehmender Digitalisierung auch im Mittelstand an Bedeutung gewinnt.

Was sind erfahrungsgemäß die größten Probleme?

Die größte Problematik liegt oft darin, dass Daten von mehreren Verantwortlichen an verschiedenen Stellen bearbeitet werden, nicht alle Speicherorte bekannt sind und damit die Vollständigkeit bei Auskunftsersuchen oder bestehenden Löschungspflichten nicht gewährleistet werden kann. Daneben gibt es häufig keine oder nur eine unzureichende Dokumentation von Verarbeitungsstellen und -prozessen, sodass im Falle einer Prüfung durch die Aufsichtsbehörde der Nachweis einer ordnungsmäßigen Organisation nicht erbracht werden kann. Schließlich gibt es noch ein praktisches Problem: Viele Unternehmen haben kein funktionierendes Vertragsmanagement, sodass Verträge mit Dienstleistern nicht auf Datenschutzkonformität geprüft werden können; in manchen Fällen wurden die Verträge mündlich geschlossen und es fehlen dann auch zukünftig wesentliche Vereinbarungen zum Datenschutz.

Was sind die zeitkritischen Themen, was kann noch warten?

In Hinblick auf die wenigen verbleibenden Monate ist es sinnvoll, sich sofort an die Umsetzung zu machen! Dies umfasst vorwiegend interne Organisationsmaßnahmen; so müssen etwa Löschprozesse im Mai 2018 bereits funktionstüchtig und nachweisbar sein. Ebenfalls zeitlich nicht zu unterschätzen ist die Gestaltung eines Vertragsmanagements, da hierzu eine Übersicht aller Leistungsbeziehungen nötig ist und dies von vielen Mitverantwortlichen abhängig sein kann: Also ist jetzt sofort mit der Inventur bestehender Lieferantenverbindungen zu beginnen, damit die Verträge bis Mai 2018 noch datenschutzkonform gestaltet werden können. Weniger zeitkritisch sind einige physische Maßnahmen. Hierunter fällt unter anderem die Anschaffung geeigneter Aktenvernichter, verschließbarer Schränke etc. Wichtig ist in jedem Fall, jetzt ein checklistenbasiertes Projektmanagement aufzusetzen, damit keiner der Umsetzungspunkte übersehen wird.