Das ist zu beachten
Wie lange ein solches Projekt dauert und welchen Aufwand es erfordert, lässt sich nur im Einzelfall abschätzen. Denn es hängt nicht nur von der Anzahl der Mitarbeiter, den eingesetzten Prozessen und Webdiensten sowie der Art der Kundenkontakte ab, sondern auch von der Verbindung mit anderen Unternehmen, den genutzten Kommunikationsmitteln, der Datenverarbeitung und -speicherung und vielem mehr. Dabei ist zu berücksichtigen, dass in den jeweiligen Firmen alle Abteilungen betroffen sind, die mit personenbezogenen Daten umgehen. Dazu gehören in der Regel IT, Personal, Marketing, Vertrieb und Recht. Auch der Datenaustausch mit zahlreichen externen Partnern ist zu prüfen, etwa Lieferanten für die Produktion, Logistik-Partnern, Web-Hostern, Cloud-Providern, Datenanalysten oder Personaldienstleistern. Daher gibt es auch keine Standardlösung für die Compliance und den Datenschutz gemäß EU-DSGVO.
Foto: IDC
In jedem Fall muss der Datenschutzbeauftragte als Stabstelle umfassendere Rechte besitzen, denn sein Haftungsrisiko steigt. Auch der IT-Leiter hat das Datenschutzrecht nun mit einer deutlich höheren Priorität zu behandeln, da er die IT-Sicherheit der personenbezogenen Daten nun nach "Stand der Technik" erfüllen muss und ebenso stärker in Haftung genommen werden kann. Entsprechend ist ein strengeres und umfassenderes Risikomanagement nötig, um mögliche Gefahren zu ermitteln, geeignete Maßnahmen zu entwickeln und umzusetzen sowie ein transparentes, zuverlässiges Reporting einzuführen.
Schritt für Schritt zum Datenschutz
Was sollten Unternehmen also tun? Im ersten Schritt müssen sie abklären, wo sie derzeit stehen und welche Aufgaben zu erledigen sind. Diese Ist-Analyse kann zu durchaus überraschenden Erkenntnissen führen. Zum Beispiel war in der Praxis ein Unternehmen mit nur elf Mitarbeitern, das ein Webportal im sozialen Umfeld betreibt, nicht weniger als zwei Monate nur mit der Umsetzung der Datenschutzanforderungen beschäftigt. Schließlich gehen die Mitarbeiter und externen Dienstleister mit hochsensiblen persönlichen Daten um.
Auch ein kleiner Handwerksbetrieb oder ein Händler mit Online-Shop muss aufgrund der gesammelten Kundendaten entsprechende Maßnahmen ergreifen - sowohl in Bezug auf IT-Sicherheit wie Firewalls, Intrusion Detection und Verschlüsselung, als auch bezüglich Datenschutz wie Anonymisierung, transparente Speicherung und Verwendung der Informationen sowie das Einholen der Einwilligung zur Verarbeitung der persönlichen Daten. Je mehr Prozesse hier online ablaufen, desto aufwändiger ist die Umsetzung des Datenschutzes.
Eine große Herausforderung kann dabei auch die Existenz veralteter Infrastrukturen darstellen. Diese wurden nur selten nach dem Prinzip "Security by Design" aufgebaut. Doch eine stringente und konsequente Erkennung und Behebung von Schwachstellen bereits bei Entwicklung und Installation der Lösungen wird immer wichtiger, um das erstellte Sicherheitskonzept nicht zu gefährden. Entsprechend müssen Unternehmen herausfinden, welche Sicherheitsmaßnahmen sie für die Compliance mit dem EU-DSGVO benötigen. Dabei sind auch damit vernetzte Systeme wie Cloud-Lösungen, Partner-Anwendungen oder Lieferketten zu berücksichtigen. Anschließend ist zu ermitteln, ob diese Maßnahmen mit der bisherigen Infrastruktur realisierbar sind oder ob neue Hardware und Software nötig wird.
Die größten Hürden
Die Compliance mit der EU-DSGVO ist daher ein aufwändiges Projekt, das zahlreiche Maßnahmen für die rechtliche, organisatorische und technische Umsetzung erfordert. Doch bei vielen Unternehmen muss sie sozusagen nebenher laufen, da zum Beispiel große Migrationsprojekte, die Erfüllung neuer Marktanforderungen, die Einführung von Industrie-4.0-Projekten oder andere Aufgaben mit hoher Priorität anstehen. Entsprechend werden die Investitionen in den Datenschutz normalerweise über einen Zeitraum von ein bis drei Jahren verteilt. Trotzdem müssen die Vorgaben der EU-DSGVO bis 18. Mai 2018 umgesetzt sein. Dies erfordert eine strukturierte Vorgehensweise.
Dabei sind häufig interne Hindernisse zu überwinden. Gerade bei kleinen und mittelständischen Unternehmen herrscht oft eine Haltung nach dem Motto: "Das haben wir schon immer so gemacht und es ist noch nie etwas passiert." Häufig liegt es aber nur an einer guten Portion Glück, dass das Unternehmen noch nicht von Cyberkriminellen angegriffen wurde, die persönliche Kundendaten ausgelesen haben. Daher müssen Berater oft erst ein gewisses Bewusstsein in der obersten Führungsebene schaffen, damit sie die Problematik und die Risiken erkennt.
- Ein Gesetz für alle
EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten. - "Recht auf Vergessen"
Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen. - "Opt-in" statt "Opt-out"
Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher). - Recht auf Transparenz
Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden. - Zugang und Portabilität
Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können. - Schnellere Meldung
Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen. - Weniger Behördenchaos
Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben. - Grenzübergreifend
Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden. - Erweiterter Geltungsbereich
Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben. - Höhere Bußgelder
Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes. - Bürokratieabbau
Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen. - Erst ab 16
Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen. - Stärkung der nationalen Aufsichtsbehörden
Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)
Aber auch wenn durch die angedrohten drakonischen Strafen bereits die Erkenntnis gereift ist, ein Compliance-Projekt anzugehen, wird häufig noch nicht verstanden, dass eine strukturierte Vorgehensweise gemäß zu ermittelnder Prioritäten nötig ist. Zudem erfordert ein solches Projekt Zeit, Manpower, finanzielle Ressourcen und die ausdrückliche Unterstützung durch die Führungsebene. Schließlich darf der Datenschutzbeauftragte mit der Aufgabe nicht alleine gelassen werden, da ansonsten die Veränderungen im Unternehmen nicht umgesetzt werden können und scheitern. Zudem kann sich die Geschäftsführung vor der Aufgabe nicht verstecken, da die Bußgeldbescheide auch an sie zugestellt werden.