DSGVO: 5-Meilenstein-Plan für die richtige Umsetzung

DSGVO

Am 25. Mai tritt die Datenschutz-Grundverordnung (DSGVO) der EU in Kraft. Mit einem 5-Meilenstein-Plan bereiten wir unsere Kunden auf den Stichtag vor. Das gleicht manchmal einem “Frühjahrsputz”.

Um die kommenden Dokumentationspflichten erfüllen zu können, durchleuchten Unternehmen ihre Prozesse und Datenstrukturen. Dabei stoßen sie immer wieder auf teure Redundanzen, die sich über die Jahre etabliert haben. Die Einführung der DSGVO hat also auch positive Begleiteffekte, ähnlich wie bei einem “Frühjahrsputz”. Wer hier gründlich vorgeht, kann bestenfalls “nebenbei” Prozesse verschlanken, bislang versteckte Kosten einsparen, und so mittelfristig vom heutigen Mehraufwand profitieren.

Damit das klappt braucht es ein strukturiertes Vorgehen. Größere Unternehmen arbeiten dafür in der Regel mit externen Beratern zusammen und haben zusätzlich dedizierte Fachkräfte im eigenen Haus. Kleinere Unternehmen können sich schnell selbst helfen, indem sie externe Datenschutzbeauftragte für niedrige Monatspauschalen buchen.

Auf Standards zu setzen senkt zudem die Kosten bei der Analyse: Es gibt etliche Anbieter von Vorlagen, Checklisten und benutzerfreundlicher Software, die durch den Prozess führt. Dieser effizienten Hilfsmittel bedienen sich auch externe Experten.

5 Meilensteine bis zur DSGVO

Die folgenden fünf Meilensteine setzen wir bei unseren Kunden als Leitfaden ein. Es empfiehlt sich immer, Juristen und IT-Experten hinzuziehen, um nicht nur schnelle, sondern auch belastbare Ergebnisse zu erzielen. Wir arbeiten deshalb in einem Expertenverbund, der alle Themen abdeckt.

  1. Impact-Analyse zur Ermittlung relevanter Bereiche
    Welche Daten fallen überhaupt an, welche Prozesse gibt es bei Erhebung und Verarbeitung? Für diese Analyse sollten Workshops und Interviews mit den Mitarbeitern durchgeführt werden. Hierbei fallen oft die ersten Redundanzen bei Prozessen auf, die abgebaut werden können. Das erleichtert dann auch die spätere Dokumentation, siehe Punkt 3.

  2. Bewertung der Daten
    Die Erkenntnisse aus Punkt 1 müssen jetzt rechtlich und finanziell bewertet werden, um einen Status Quo herauszufinden und zu entscheiden, wo welcher Handlungsbedarf vorhanden ist. Vor allem hierbei ist juristisches Knowhow gefragt.

  3. Dokumentieren der Datenstruktur
    Jetzt ist der richtige Zeitpunkt gekommen, die Dokumentation zu starten. Das ist gar nicht so schwer, wenn man auf rechtssichere Vorlagen setzt, statt das Rad neu zu erfinden. Zudem: Sind die Punkte 1 und 2 abgehandelt, ist das Dickicht bereits weitgehend gelüftet.

  4. Herstellen von IT-Sicherheit
    Auf Grundlage der Dokumentation kann nun die eigentliche IT-Arbeit beginnen: Viele Prozesse bei Datenübertragung, Verschlüsselung oder der Verwaltung von Zugriffsrechten werden bereits DSGVO-konform sein, bei anderen müssen nun die Experten ran und entsprechende Standards einführen. Das kann sehr einfach und schnell, aber auch extrem aufwändig und langwierig sein.

  5. Bestätigung der Datensicherheit
    Sind die Punkte 1 bis 4 abgehandelt, sollten wieder interne oder externe Prüfer einen kritischen Blick darauf werfen. Finden diese keinen Hinderungsgrund, steht einer Bestätigung der DSGVO-konformen Datensicherheit durch Organisationen wie etwa dem TÜV nichts mehr im Wege. Und spätestens im Nachgang kann mit dem Abbau enttarnter Redundanzen begonnen werden.

“Nur” fünf Punkte. Je nach Unternehmen und je nach dem bisherigen Umgang mit Datenschutzbestimmungen kann das sehr schnell gehen oder extrem aufwändig sein. Aber es lohnt sich, denn nicht nur Prozesse, die lange nicht entstaubt wurden, sondern auch Verstöße gegen die DSGVO können teuer werden. Allerdings ist bei der Berichterstattung über die Strafmaße auch viel Panikmache dabei.

Gewinnwarnung nach DSGVO-Verstoß?

Bis zu vier Prozent des globalen Umsatzes sieht die Verordnung als höchstes Strafmaß bei Verstößen gegen die DSGVO vor. Ein börsennotierter Konzern wie Siemens mit 83 Mrd. Euro Jahresumsatz müsste bei einer Strafzahlung von 332 Mio. Euro vermutlich adhoc eine Gewinnwarnung ausgeben. Aber bis es soweit kommt, werden viele Prozesse geführt werden.

Neben der immer wieder zitierten Maximalstrafe gibt es aber noch weitere Schadenszenarien, die deutlich wahrscheinlicher sind. Darunter fällt vor allem die Gefahr einer negativen Außenwirkung, die teurer als manche Strafzahlung werden kann, wenn Kunden abspringen. Und auch wenn alles ordnungsgemäß umgesetzt ist – es bleibt immer noch das Risiko, dass die Erfüllung des eigentlichen Geschäftszwecks durch die Bearbeitung von Auskunftsersuchen massiv eingeschränkt wird. Die DSGVO ist also nicht nur informationstechnisch und juristisch eine Herausforderung, sondern auch prozessual.

 

©Artikel-Thumbnail: Fred MARVAUX (Quelle)

Zur Blog-Startseite