Checklist – Handelt Ihr Unternehmen DSGVO konform?

| Q1-online » MANAGEMENT » QUALITÄTSMANAGEMENT » Checklist – Handelt Ihr Unternehmen DSGVO konform?

Die neue europäische Datenschutz-Grundverordnung

Die neue DSGVO | Q1-Online | (c) www.istockphotos.com

Die neue europäische Datenschutz-Grundverordnung (EU DS-GVO), die die bisherigen Forderungen der Datenschutzrichtlinie 95/46/EG konkretisiert und erweitert, gilt seit dem 25. Mai 2018 verbindlich. Doch noch längst nicht alle Unternehmen haben sich im Vorfeld rechtzeitig darauf eingestellt und erfüllen bereits alle Vorgaben. Jetzt ist Eile geboten, denn Verstöße werden mit Bußgeldern von bis zu 20 Millionen Euro beziehungsweise von bis zu vier Prozent des weltweiten Jahresumsatzes geahndet.

TEXT: DR. IRIS BRUNS

"Wir raten allen Unternehmen, die personenbezogene Daten erfassen oder verarbeiten – und das betrifft eigentlich jede Organisation bis hin zu Vereinen mit ihren Mitgliedern und ehrenamtlichen Helfern – aufgrund der Haftungsrisiken spätestens jetzt schnell und nachweislich mit der Umsetzung zu beginnen und ein systematisches Datenschutzmanagement aufzubauen“, empfiehlt Dr. Stephan Killich aus der Geschäftsführung der ConSense GmbH, einem der führenden Anbieter von Software für das Qualitäts- und Prozessmanagement sowie Integrierte Managementsysteme.

Unsicherheit und Unruhe nach dem Stichtag

Mit Eintreten des Stichtags verbreitete sich große Unruhe quer durch sämtliche Branchen. Denn dass die einheitliche europäische Verordnung kommt, war zwar kein Geheimnis, doch zeitweilig entstand der Eindruck, dass das Thema zunächst nicht ganz ernst genommen wurde. Erst durch intensive mediale Berichterstattung und hitzige Diskurse kurz vor dem Stichtag der Anwendbarkeit, die sich natürlich auch um die gravierenden Bußgelder drehten, stieg das Bewusstsein. Dr. Stephan Killich erklärt: „Wir haben erlebt, dass sich die großen Unternehmen überwiegend rechtzeitig auf die neue Verordnung eingestellt haben. Mittlere und kleine Unternehmen beschäftigten sich jedoch erst relativ spät mit der konkreten Umsetzung.“

Kurzfristige Bekanntmachungen und unbelegte Gerüchte, die sich schnell verbreiteten, sorgten für großen Aufruhr. So gab die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) wenige Wochen vor Inkrafttreten der Verordnung in einer Positionsbestimmung Informationen zur Anwendbarkeit des Telemediengesetzes heraus¹, die zusätzlich zur Verunsicherung beitrugen, wie der ConSense-Experte beschreibt: „Darin ging es um das Tracking von Websites durch Cookies ohne die explizite Einwilligung der Nutzer. Nach Information der DSK sollte dies nach den Bestimmungen der neuen DS-GVO nicht mehr erlaubt sein.“ Ole Mundt, Data Privacy Expert bei der ConSense GmbH ergänzt: „Das Problem war, dass in vielen Fällen niemand mehr wusste, was wirklich gesetzlich erlaubt oder möglicherweise nun verboten war.

Für viele spezielle Fälle liegen eben noch keine konkreten Fakten oder Urteile von Behörden und Gerichten vor – das verunsichert natürlich noch mehr.“ Als Konsequenz und aus Angst vor Abmahnungen gingen zahlreiche Unternehmen mit ihren Homepages vorsichtshalber komplett vom Netz. Dr. Stephan Killich meint: „Eigentlich unvorstellbar, dass ein Unternehmen über Tage im Internet nicht existent ist ... Aber genau diese fast panikartige Reaktion ist aus Angst vor einem Verstoß eingetreten.“ Insgesamt waren also viele Unternehmen und Organisationen im Zeitraum rund um den Stichtag erst einmal hektisch damit beschäftigt, das nach außen hin Sichtbare, zum Beispiel eben die eigene Homepage, „wasserdicht“ im Hinblick auf die Verordnung zu gestalten.

Für die Datenschutzfolgeabschätzung kann die Risikobewertung mit der auch im QM eingesetzen Risikomatrix nach Nohl durchgeführt werden. (c) ConSense

Eine weitere Unsicherheit betraf den Umgang mit bestehenden Einwilligungen von Nutzern, etwa in Bezug auf den Newsletter-Verteiler. „Viele Unternehmen waren sich zwar sicher, dass diese Einwilligungen vorlagen, aber wenn man nicht wusste, ob die Dokumentation darüber in der Vergangenheit wirklich sauber und lückenlos geführt worden war, wurde im Zuge der Nachweispflicht vorsichtshalber von jedem Empfänger eine neue Einwilligung eingeholt, um auf der sicheren Seite zu sein – das erklärt auch die E-Mail-Flut in jenen Tagen kurz vor Eintritt der DS-GVO.

„Teilweise verbreiteten sich sogar Gerüchte, dass bestehende Einwilligungen nicht mehr gültig seien. Das gilt zwar nicht pauschal, sondern nur für bestimmte Fälle, zum Beispiel für Minderjährige, bei denen nun eine Einwilligung der Eltern eingeholt werden muss, aber auch hier wusste zuweilen niemand, woher verlässliche Informationen zu erhalten sind“, beschreibt Ole Mundt.
Damit erwähnt der Datenschutz-Experte ein grundsätzliches Problem: Selbst wer sich professionelle Unterstützung holen wollte, konnte diese Beratungsleistung nur schwer erhalten. DS-GVO-Experten, die zum Beispiel. als externe Datenschutzberater tätig sind, waren längst auf Wochen ausgebucht. So waren viele Unternehmen mit der Umsetzung der Verordnung komplett auf sich gestellt – und damit vielfach überfordert.

Auch die ConSense GmbH verzeichnet eine anhaltend hohe Nachfrage nach Unterstützung beim Datenschutz. „Insbesondere fragen Interessenten nach bestimmten Schlagworten, auf die man in der Flut von Artikeln zum Thema Datenschutz immer wieder stößt. So geht es in den Anfragen unter anderem um Vorlagen zu Bereichen wie Betroffenenrechte oder Datenschutzfolgenabschätzung: „Wie sieht so etwas aus? Wie setzt man es praktisch um? Das ist für alle neu und viele, die sich damit beschäftigen müssen, haben keine Vorstellung davon, wie man es in der Praxis umsetzen soll“, so Dr. Stephan Killich.

Handlungsbedarf ermitteln, DSGVO umsetzen

Der Experte empfiehlt allen, die mit der Umsetzung noch nicht so weit sind wie erhofft, nicht in Panik zu verfallen, sondern strukturiert vorzugehen. Im ersten Schritt gilt es, die geforderten Inhalte aufzubauen und diese dann in eine systematische Struktur zu bringen, um die Forderungen der DS-GVO effizient und systematisch umzusetzen. Dafür sollte zunächst der Handlungsbedarf ermittelt werden: Welche personenbezogenen Daten werden verarbeitet und in welchen Prozessen werden diese verarbeitet? Welche sind die jeweiligen Rechtsgrundlagen? Wie ist der Schutz personenbezogener Daten aktuell organisiert? Liegen hierzu bereits Dokumentationen wie Verfahrensverzeichnisse, IT-Sicherheitskonzepte oder ähnliches vor, lässt sich gut darauf aufbauen. Hier empfiehlt sich elektronische Unterstützung.
So hat etwa die ConSense GmbH mit ConSense DS-GVO eine Software entwickelt, mit der sich ein transparentes Datenschutzmanagementsystem aufsetzen lässt. Dr. Stephan Killich erklärt: „Ein elektronisches Managementsystem gibt einen Rahmen vor und unterstützt dabei, alle datenschutzrelevanten Aktivitäten in eine übersichtliche Struktur zu bringen. Es reduziert den Aufwand, denn es führt Routinetätigkeiten aus und automatisiert Abläufe.“

Die Software übernimmt zeitaufwendige Arbeiten zur Erfüllung der Dokumentationspflicht mit den zugehörigen Revisionen. Außerdem stellt sie sicher, dass immer auf aktuelle Dokumente und Prozesse zugegriffen wird. Prozesse für die Meldepflicht bei Datenschutzverstößen sowie für das Löschen von Informationen können abgebildet werden. Zudem wird der konforme Umgang mit Betroffenenrechten und Informationspflichten unterstützt.

Die Struktur von Dokumenten für den Datenschutz kann sich sehr gut an der Struktur von QM-Dokumenten orientieren.

Qualitätsmanagement und Datenschutz „unter einem Hut“: Synergien nutzen

Um den Aufwand zu minimieren und die Umsetzung schnellstmöglich zu erreichen, raten die Experten der ConSense GmbH, auf Bestehendem aufzubauen und bereits im Unternehmen vorhandene Ressourcen, Strukturen, Inhalte und Methoden zu nutzen. Insbesondere das Qualitätsmanagement nach DIN EN ISO 9001 ist dafür geeignet, denn es weist viele Parallelen in Vorgehensweisen und Strukturen mit der EU DS-GVO auf:

  • Vorgabedokumentation mit Revisionierung: Nach EU DS-GVO müssen bestehende Prozesse systematisch auf datenschutzrechtliche Aspekte geprüft werden. Für den Aufbau der Vorgabedokumentation lassen sich die im QM-System bereits dokumentierten Prozesse, Abläufe und Verantwortlichkeiten nutzen. Eine geeignete Managementsoftware unterstützt mit workflowgestützten Verfahren zur Revisionierung, Prüfung, Freigabe oder Wiedervorlage und reduziert so den Aufwand für Dokumentationspflichten.
  • Datenschutzfolgenabschätzung (DSFA) und Maßnahmen: Zur Aufstellung der geforderten DSFA können bestehende Mechanismen des Risikomanagements aus dem QM angewendet werden. Wie die QM-Norm, so fordert auch die EU DS-GVO im Falle von Abweichungen das Ergreifen geeigneter Lenkungsprozesse beziehungsweise Maßnahmen. Mit einer geeigneten Software können den Maßnahmen Verantwortlichkeiten zugewiesen werden. Die Durchführung und Kontrolle der Umsetzung werden durch standardisierte Workflows gelenkt.
  • Verzeichnis der Verarbeitungstätigkeiten: Viele Informationen für das erforderliche Verfahrensverzeichnis können aus der QM-Dokumentation generiert werden. Eine Software für ein Integriertes Managementsystem aus QM und Datenschutz ermöglicht unter anderem die Analyse der QM-Dokumentation im Hinblick auf die Verarbeitung personenbezogener Daten. Relationen zwischen den Prozessen und den zugehörigen Verarbeitungstätigkeiten werden hergestellt, um daraus das Verzeichnis abzuleiten.
  • Verantwortlichkeiten und Kenntnisnahmen: Wie im QM müssen auch im Datenschutzmanagement Verantwortlichkeiten und Kenntnisnahmen nachvollziehbar geregelt sein. Mit einem Managementsystem lassen sich zum Beispiel die Verantwortungen für jeden Prozess(schritt) und jedes Dokument festlegen und dokumentieren. Mitarbeiter werden von der Software zur Kenntnisnahme von neuen Inhalten, Anweisungen und Änderungen aufgefordert. Diese werden elektronisch und somit jederzeit nachweisbar erfasst.
  • Schulungen/Unterweisungen: Nach EU DS-GVO sind Unterweisungen der Mitarbeiter im Umgang mit vertraulichen Daten durchzuführen. Hier lassen sich bestehende Schulungs- und Qualifikationskonzepte aus dem Qualitätsmanagement anwenden. Ein softwaregestütztes System bietet zum Beispiel die Möglichkeit, eine Qualifikationsstruktur anzulegen und Fachqualifikationen der Mitarbeiter mit Gültigkeitsdauer zu versehen. Nützliche Extras wie eLearning und Tutorials ermöglichen orts- und zeitunabhängige Unterweisungen.
    Die zahlreichen Parallelen legen es nahe, eine integrierte Lösung aus Datenschutzmanagement und Qualitätsmanagement umzusetzen und ineffiziente Insellösungen zu vermeiden. „Denn wer zwei getrennte Systeme betreibt, läuft Gefahr, Wesentliches zu übersehen“, meint Dr. Stephan Killich.

Bürokratie-Monster oder sinnvolle Schutzmaßnahme?

Insgesamt, so findet der Experte, ist die DS-GVO in der öffentlichen Wahrnehmung viel zu schlecht weggekommen: „Viele sehen in der Verordnung vor allem ein bürokratisches Monster. Vergessen wird zuweilen, dass eine Reihe der Bestandteile auch schon zuvor Pflicht waren, jedoch aufgrund weniger gravierender Konsequenzen einfach nicht umgesetzt wurden. Und dabei ist jeder von uns daran interessiert, dass sorgfältig mit seinen persönlichen Daten umgegangen wird. Jetzt ist das Problembewusstsein insgesamt gestiegen und wird mit größerem Ernst diskutiert – das sehe ich positiv. Unternehmen und Organisationen sollten bedenken: Der Aufbau eines systematischen Datenschutz-Managementsystems lohnt sich nicht nur im Hinblick auf die Vermeidung der empfindlichen Bußgelder. Bestehende Prozesse, die auch datenschutzrechtlich abgesichert sind, erhöhen das Vertrauen von Kunden und Kooperationspartnern.“

(c) ConSense
(c) ConSense

bezahlte Anzeige

¹ „Zur Anwendbarkeit des TMG für nicht-öffentliche Stellen ab dem 25. Mai 2018“ – Positionsbestimmung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder – Düsseldorf, 26. April 2018. Abrufbar hier.

DIESE BEITRÄGE KÖNNTEN SIE AUCH INTERESSIEREN

ANBIETER ZUM BEITRAG
SPONSORED

ConSense-TP-Logo

bezahlte Anzeige

PMA Sky ROS Juli bis Oktober 2018

ÜBER DEN AUTOR

Dr. Iris Bruns

Foto Iris Bruns | Geschäftsführung | ConSense GmbH | Q1-Online | (c) ConSense
Dr. Iris Bruns verwaltet bei der ConSense GmbH als kfm. Geschäftsführerin u. a. die Geschäftsfelder Projektmanagement/Consulting, Marketing und Human Resource Management.
Mehr zum Autor ...

ANFRAGE ZUM BEITRAG

Sie möchten nähere Details zu diesem Beitrag? Haben Fragen zu den dargestellten Themen oder zu vorgestellten Produkten und Lösungen? Schreiben Sie uns Ihr Anliegen und wenn wir die Antwort nicht parat haben, finden wir sie gerne für Sie heraus.

Please enter your name.
Please enter a subject.
Please enter a message.

Zur Beantwortung Ihrer Frage speichern wir die von Ihnen eingegebenen Daten. Unsere Datenschutzrichtlinien können Sie hier einsehen.

You must accept the Terms and Conditions.

AM MEISTEN GELESEN

Q1-online » MANAGEMENT » QUALITÄTSMANAGEMENT » Checklist – Handelt Ihr Unternehmen DSGVO konform?