“Die Datenschutz-Grundverordnung erfordert ein Umdenken bei der Datensicherheit”
Ab 25. Mai 2018 müssen Unternehmen bei der Verarbeitung personenbezogener Daten die Vorgaben der Datenschutz-Grundverordnung (DSGVO) erfüllen. In vielen Betrieben herrscht jedoch weiterhin eine gewisse Unsicherheit bezüglich der neuen Anforderungen. Wir sprachen mit Datenschutzexpertin Sabine Köhler von der Ceyoniq Technology GmbH über die wesentlichen Herausforderungen des neuen Datenschutzrechts.
Frage: Die Datenschutz-Grundverordnung hat weitreichende Auswirkungen auf betriebliche Abläufe. Wo sehen Sie die größten Herausforderungen für Unternehmen durch das neue Datenschutzrecht?
Sabine Köhler: Zu den größten Herausforderungen der DSGVO zählt vor allem der Grundsatz der transparenten Datenverarbeitung. Unternehmen müssen ihre Verarbeitungstätigkeiten umfassend dokumentieren und sind gegenüber den Aufsichtsbehörden hierfür rechenschaftspflichtig. Wer seine Prozesse noch nicht dokumentiert hat, muss dies also schleunigst nachholen, was vor allem bei historisch gewachsenen Unternehmensstrukturen herausfordernd sein kann.
Nach den neuen Vorgaben zu Privacy by Design und Privacy by Default, die Datenschutzaspekte bereits in der Prozessgestaltung verankern, können auch umfassende Anpassungen der Arbeitsprozesse notwendig werden. Dazu gehört beispielsweise auch das Löschen von nicht mehr benötigten personenbezogenen Daten nach Ablauf aller Aufbewahrungsfristen. Diese Pflicht ist zwar nicht neu, wird nun aber erstmals mit einem Bußgeld geahndet und ist im Großteil der Unternehmen noch keine gelebte Praxis.
Auch bei der Datensicherheit muss ein Umdenken stattfinden. Konnte man seine technisch-organisatorischen Maßnahmen bisher nach Gutdünken zusammenstellen, ist für alle Verarbeitungstätigkeiten künftig eine Risikoanalyse durchzuführen, auf deren Basis dann entsprechende Sicherheitsmaßnahmen zu definieren sind.
Frage: Welche Arbeitsbereiche und welche IT-Systeme im Unternehmen sind von der Datenschutz-Grundverordnung besonders betroffen?
Sabine Köhler: Hier trifft es primär die Abteilungen, die auch bisher schon besonders im Fokus des Datenschutzes waren: Personal, Marketing, Vertrieb und natürlich die IT. Kritisch sind dabei vor allem die Systeme, in denen besonders viele personenbezogene Daten vorgehalten werden, wie ERP, CRM, DMS, aber auch HR-Lösungen und Kundenportale. Hier fehlt oftmals ein Überblick darüber, welche personenbezogenen Daten überhaupt vorhanden sind, wo diese gespeichert werden und ob sie ausreichend gegen Manipulation und Datendiebstahl abgesichert sind. Zudem sollte hinterfragt werden, ob die bestehenden IT-Lösungen überhaupt die notwendigen Funktionen mitbringen, um die Anforderungen der DSGVO umzusetzen.
Frage: Wie hat sich Ihr Unternehmen auf die Datenschutz-Grundverordnung vorbereitet?
Sabine Köhler: Die Anforderungen der DSGVO machen es unumgänglich, Datenschutz stärker als bisher zu steuern und zu überwachen. Für uns war deshalb klar, dass wir ein Datenschutzmanagementsystem einführen. In diesen Prozess haben wir alle Abteilungen miteinbezogen. Das trägt nicht nur dazu bei, dass trotz erhöhter Datenschutzanforderungen alle Arbeitsprozesse auch in Zukunft flüssig ablaufen können, sondern erhöht auch die Akzeptanz und das Bewusstsein für das Thema unter den Kollegen.
Frage: Welches Vorgehen empfehlen Sie Unternehmen, die noch nicht DSGVO-ready sind?
Sabine Köhler: Für diese Unternehmen wird die Zeit definitiv knapp. Ich empfehle jedoch, nicht in blinden Aktionismus zu verfallen, sondern sich umfassend zu den Inhalten der Datenschutz-Grundverordnung und entsprechenden Umsetzungsempfehlungen schulen zu lassen. Im Anschluss sollten die Anforderungen an das eigene Unternehmen evaluiert, Zuständigkeiten definiert und ein Projektplan erstellt werden.
Bildquellen: traffic_analyzer/iStockphoto.com (Beitragsbild oben), privat (Porträt)
Schreiben Sie einen Kommentar
Ihre E-Mail Adresse wird nicht veröffentlicht. Es gilt unsere Datenschutzerklärung.