Expertentipps
EU-DSGVO - höchste Zeit zu handeln
Fortsetzung des Artikels von Teil 3
Der Datenschutzbeauftragte
Datenschutzbeauftragter: Auf den ersten Blick ändert sich in punkto Bestellpflicht wenig: Auch in Zukunft müssen alle Unternehmen, die mindestens zehn Personen mit automatisierter Verarbeitung beschäftigen, einen Datenschutzbeauftragten bestellen. Dies ergibt sich aus der DSGVO in Verbindung mit dem BDSG 2018. Allerdings sieht die DSGVO auch eine Bestellpflicht für Unternehmen vor, deren Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten besteht. Hierzu gehören u.a. Gesundheitsdaten sowie Daten zur Religionszugehörigkeit oder sexuellen Orientierung.
Unsere Empfehlung: Die Bestellpflicht bei einer umfangreichen Verarbeitung besonders sensitiver personenbezogener Daten könnte beispielsweise ärztliche Gemeinschaftspraxen oder mit genetischen Analysen befasste Labors treffen, auch wenn diese unter der 10-Personen-Grenze liegen und daher bisher keinen Datenschutzbeauftragten benennen mussten. Hier gilt es, die weiteren Entwicklungen speziell auf Seiten der Aufsichtsbehörden genau zu verfolgen.
Zertifizierung: Die DSGVO bietet Verantwortlichen und Auftragsverarbeitern die Möglichkeit, sich einem gesetzlich festgelegten Zertifizierungsverfahren zu unterziehen. Das Zertifizierungsverfahren dient dazu, nachzuweisen, dass die Bestimmungen der DSGVO vollumfänglich eingehalten werden. Das Vorliegen einer entsprechenden Zertifizierung wird zukünftig eine wichtige Rolle spielen, so u.a. bei der Entscheidung über das Ob und die Höhe von Bußgeldern.
Unsere Empfehlung: Die Option einer DSGVO-Zertifizierung hat zweifelsohne großes Potenzial als wettbewerbsdifferenzierendes Element. Unternehmen, für die die Verarbeitung personenbezogener Daten Teil ihres Kerngeschäftes ist, kann daher geraten werden, Datenschutz als Wettbewerbsvorteil zu begreifen und die Vorteile und Kosten einer Zertifizierung in diesem Lichte sorgsam abzuwägen.
Was sind die nächsten Schritte zur DSGVO?
Unternehmen sollten zunächst dafür sorgen, dass alle relevanten Stakeholder über die wichtigsten Aspekte der DSGVO ausreichend informiert werden. Ohne eine entsprechende Awareness für die mit der DSGVO verbundenen Herausforderungen wird ein Projekt solcher Größenordnung nicht erfolgreich zu stemmen sein. Danach folgt die Gap-Analyse. Diese umfasst zunächst die Dokumentation des Ist-Zustandes: Wie haben wir den Datenschutz bisher gemanaged? Ist das Verfahrensverzeichnis aktuell? Welche Richtlinien zum Datenschutz und zur Datensicherheit liegen vor?
In einem zweiten Schritt muss dann der konkrete Handlungsbedarf durch einen Soll-Ist-Abgleich bestimmt werden. Hierfür ist es erforderlich, ein möglichst differenziertes Verständnis der neuen gesetzlichen Anforderungen zu besitzen. Die oben angeführten Aspekte sind nur die Spitze des Eisbergs, vermitteln aber einen Eindruck vom Aufwand, der mit der Umsetzung der DSGVO in einem relativ kurzen Zeitfenster verbunden ist. Eine sinnvolle Vorgehensweise ist es, in einer Gap-Analyse die Findings risikobasiert zu priorisieren. Bestimmte Gaps sollten nicht zuletzt wegen der immensen Bußgelder und dem drohenden Reputationsschaden als Erstes angegangen werden.
Wer das Know-how nicht im Hause und mit personellen Engpässen zu kämpfen hat, ist beim Aufsetzen oder der Weiterentwicklung seines Datenschutzmanagementsystems mit externer Unterstützung gut beraten. Die Consultants sollten die DSGVO nicht allein durch die juristische Brille betrachten, sondern über Erfahrung in der Umsetzung von Managementsystemen und über ein umfassendes Verständnis informationssicherheits-technologischer Zusammenhänge verfügen. Das Unternehmen wiederum sollte einen Projektverantwortlichen benennen können, der den externen Berater bei der Implementierung unterstützt und der auch für die Zeit nach der Implementierung gecoacht werden kann.
Wer mit Blick auf den 25. Mai 2018 die Unterstützung fachkundiger Dritter sucht, sollte dies nicht auf die lange Bank schieben. Denn viele Unternehmen befinden sich in einer vergleichbaren Situation und die Zahl der verfügbaren Berater ist endlich.
Organisationen, die zum Stichtag noch nicht alle Anforderungen erfüllen, riskieren empfindliche Sanktionen. Strafmildernd dürfte sich allerdings der Nachweis auswirken, dass sich das Unternehmen bereits eingehend mit der Thematik befasst hat.
Tilman Dralle und Thomas Werner sind Juristen und Experten für Datenschutzmanagement bei TÜV Rheinland
- EU-DSGVO - höchste Zeit zu handeln
- Verschärfte Bußgelder drohen
- Das Recht auf Vergessenwerden
- Der Datenschutzbeauftragte
Lesen Sie mehr zum Thema
