Der Countdown läuft: Am 5. April sind es nur noch 50 Tage bis zum Inkrafttreten der EU-Datenschutz-Grundverordnung. Ab dann müssen die Änderungen in Unternehmen umgesetzt sein, da bei Verstößen empfindlich hohe Strafen drohen.
Jedes Unternehmen, das mit personenbezogenen Daten zu tun hat, ist davon betroffen. Dennoch hatten laut einer Umfrage des Zentrums für europäische Wirtschaftsforschung im Februar beispielsweise noch mehr als die Hälfte der deutschen Werbeunternehmen keinerlei Vorkehrungen getroffen. Wer sich über die Änderungen und Neuerungen, die die EU-DSGVO mit sich bringt, informiert, wird nahezu erschlagen von Details, die bis 25. Mai 2018 noch umzusetzen sind. Das sind die „Big Three“, um den Überblick zu behalten – oder einen ersten zu bekommen:
1. Datencheck durchführen
Zunächst gilt es, die Rechtsgrundlage zu klären. Welche personenbezogenen Daten werden aus welchem Grund verwendet? Und liegt für die Verwendung und Verarbeitung die datenschutzkonforme Einwilligung des Betroffenen und ein entsprechendes Verarbeitungsverzeichnis – eines der Schlüsselelemente in der DSGVO-konformen Prozess-Dokumentation – vor? Angesichts der Zeitknappheit empfiehlt es sich, die Unterstützung von fachkundigen Dritten einzuholen, beginnend bei der Klärung der juristischen Fragen bis hin zur Verwendung von bereits DSGVO-konformen Prozessen von externen Anbietern. Aber Achtung: Als „Verantwortlicher“ (im Sinne der DSGVO) sind Sie dazu verpflichtet, den „Auftragsverarbeiter“ sorgfältig auszuwählen und dessen Expertise zu prüfen. Achten Sie auf entsprechende Zertifizierungen und auf die Erfahrung des Dritten im Zusammenhang mit Datenschutz: Beschäftigt sich das Unternehmen schon seit Längerem damit? Gibt es ausgewiesene Inhouse-Experten für den Datenschutz?
2. Mitarbeiter vorbereiten
Datenschutz kann nie nur Aufgabe eines Einzelnen sein – selbst mit einem unternehmenseigenen Datenschutzbeauftragten. Jeder Mitarbeiter muss die internen Datenschutz-Prozesse kennen, der sorgsame Umgang mit sensiblen Daten sollte eine Selbstverständlichkeit sein. Dafür sind Schulungen von Nöten, in denen nicht nur die neuen Anforderungen veranschaulicht, sondern auch die möglichen Konsequenzen dargelegt werden. Alle Mitarbeiter und beauftragten Dienstleister sollten zudem schriftlich auf das Datengeheimnis verpflichtet werden.
3. IT-Lösungen implementieren
Ein häufig vergessener Punkt ist die Anpassung der IT an die Anforderungen der DSGVO. So muss es beispielsweise möglich sein, Datensätze vollkommen zu löschen, wenn Personen der Nutzung widerrufen haben. Außerdem muss ein Verarbeitungsverzeichnis geführt werden, das Verarbeitungstätigkeiten dokumentiert und Details des Datenverfahrens enthält. Ebenso sind rasche und automatisierte Lösungen für den Fall eines „data breach“, zum Beispiel bei einem Hackangriff, gefragt, da hier unmittelbar Meldungen an Behörden und an die Betroffenen erfolgen müssen. Auch hier ist es möglich, auf Lösungen Dritter, wie beispielsweise auf die EU-DSGVO-Toolbox, zu vertrauen. Dort sind alle Werkzeuge zur praktischen Implementierung der neuen Regelungen enthalten und durch Integration in die hochsichere Post Cloud Enterprise auch sofort verfügbar.
Zusatztipp: Communication is key!
Lassen Sie Ihre Kunden wissen, was Sie tun. Nicht nur, weil dies die DSGVO ohnehin vorschreibt, sondern weil die EU-Datenschutz-Grundvorordnung vor allem eines sein soll: eine Chance auf einen vertrauensvolleren Umgang und größere Transparenz.