DSGVO: Die Umsetzung ist Compliance-Thema und kein IT-Thema

Die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) ist seit Freitag in Kraft. Unternehmen stehen unter Zugzwang, ihren Umgang mit personenbezogenen Daten grundlegend zu überarbeiten. Jüngste Datenskandale und die Anhörungen des Facebook-Chefs Mark Zuckerberg verschaffen dem Thema zudem eine breite Aufmerksamkeit. Um Verstöße gegen die Verordnung zu vermeiden, sollten alle relevanten Verfahren auch unter Risikoaspekten beurteilt werden. Eine Analyse der Managementberatung Horváth & Partners zeigt: Das lässt sich nicht im Vorbeigehen erledigen. Empfehlenswert ist ein Vorgehen in drei Schritten.

Die vor zwei Jahren vom Europäischen Parlament und dem Europäischen Rat beschlossene neue EU-DSGVO ist seit 25. Mai 2018 endgültig in Kraft. Ziel ist es, die Rechte der von Datenverarbeitungen betroffenen Personen besser und europaweit einheitlich zu schützen. Dazu zählen unter anderem Kunden, Lieferanten, Geschäftspartner, aber auch Mitarbeiter. Betroffen sind alle in der Europäischen Union niedergelassenen und/oder geschäftstätigen Unternehmen. Sie müssen die betroffenen datenverarbeitenden Prozesse dokumentieren, anpassen sowie effiziente technische und organisatorische Maßnahmen definieren und implementieren, um die neuen Anforderungen der EU-DSGVO erfüllen zu können, zum Beispiel jederzeit Transparenz über sämtliche von einer Person gespeicherten Daten herzustellen – und das möglichst auf Knopfdruck.

Verstöße gegen die EU-DSGVO können nicht nur mit hohen Bußgeldern belegt werden, sondern auch der Reputation schaden. Unternehmen sollten daher Compliance-Lücken schnellstmöglich identifizieren und schließen.”

An­dre­as Hop­fe­ner, Experte im Beratungssegment Risikomanagement & Compliance von Horváth & Partners

In drei Phasen zur Compliance

Phase 1: Sie dient der Identifikation von Compliance-Lücken. Unternehmen sollten die Risiken analysieren, die individuell für sie bestehen. Hat eine Verletzung der EU-DSGVO arbeitsrechtliche Konsequenzen? Welche Bußgelder drohen? Führen Verstöße zu einer Rufschädigung? Zudem sollten bereits vorhandene Datenschutzprozesse mit den Vorschriften abgeglichen werden, um möglichen Handlungsbedarf zu identifizieren.

Phase 2: Hier werden die relevanten Handlungsfelder definiert und die nötigen Maßnahmen geplant, um die von der EU-DSGVO geforderten Standards einhalten zu können. Dabei geht es um die Anpassung von Prozessen, die Aktualisierung des Verarbeitungsverzeichnisses, die Überprüfung der technischen und organisatorischen Maßnahmen für die Datensicherheit sowie die Erarbeitung von Löschkonzepten. Auch sollten Betriebsvereinbarungen geprüft und gegebenenfalls neu verhandelt werden. Hier ist ratsam, juristische Expertise hinzuzuziehen.

Phase 3: Nun erfolgt die Umsetzung aller definierten Maßnahmen. Einer der Kernpunkte ist, ein stringentes Einwilligungsmanagement zu implementieren. Dieses hat die Aufgabe, strukturiert abzufragen und zu dokumentieren, welche Personen wann zugestimmt haben, dass und zu welchem Zweck ihre Daten im Unternehmen erhoben, gespeichert und verarbeitet werden dürfen. Zudem ist die Einrichtung eines risikorelevanten Beschwerdemanagements empfehlenswert.

Höherer Stellenwert für den Datenschutz

Grundsätzlich erhöht die EU-DSGVO den Stellenwert des Datenschutzes in Unternehmen, denn Verstöße werden nun deutlich Compliance-relevanter.”

Andreas Hopfener, Experte im Beratungssegment Risikomanagement & Compliance von Horváth & Partners

Klare Richtlinien können Unternehmen dabei unterstützen, Mitarbeiter für die Bedeutung des Datenschutzes zu sensibilisieren. Zusätzlich sind Schulungen sinnvoll, um die Notwendigkeit der getroffenen Maßnahmen im Rahmen der EU-DSGVO aufzuzeigen. Gleichzeitig ist jetzt eine gute Gelegenheit für strategische Überlegungen darüber, was die höheren Datenschutzanforderungen grundsätzlich für die Modernisierung des eigenen Geschäftsmodells bedeuten.

Zudem stehen Unternehmen auch vor einer Richtungsentscheidung, ob sie beim Datenmanagement und der Ableitung entsprechender Wettbewerbsvorteile führend sein wollen, oder ob sie bewusst sparsam bei der Speicherung von Daten sein wollen. Beide Varianten können sinnvoll sein.pp