INFORMATIONEN

Zehn Schritte zur Umsetzung der DSGVO-Konformität

Vor etwa zwei Jahren hat die Durchsetzung der Datenschutz-Grundverordnung (DSGVO) die Art und Weise, wie Unternehmen personenbezogene Daten erfassen, erheblich verändert. Da es sich um eine Umstellung handelte, die viel Zeit und Geld in Anspruch nahm, ist die Einhaltung der Vorschriften für viele Unternehmen auch heute noch eine Herausforderung. Tatsächlich gaben von 1.000 Unternehmen nur 28 Prozent an, dass sie im vergangenen Jahr die DSGVO eingehalten haben.

Wenn Ihr Unternehmen noch dabei ist, die Durchsetzung der DSGVO auf den Weg zu bringen, machen Sie sich keine Sorgen: Es handelt sich zwar um eine Investition, die sich aber lohnt, da sie langfristige Chancen für Ihr Unternehmen, Verantwortlichkeit, Transparenz und eine verbesserte Kundenerfahrung schafft. Unsere Datenschutzexperten haben zehn konkrete Maßnahmen zusammengestellt, die Ihr Unternehmen ergreifen sollte, um die Vorschriften einzuhalten.

1. Das Wichtigste zuerst: Beginnen Sie mit einer Struktur für die Verwaltung der Privatsphäre

Beginnen Sie mit der Formulierung eines Systems für die Verwaltung des Datenschutzes: Welche Stellen, Funktionen und Personen sind zuständig? Wie würden die allgemeinen Richtlinien der Organisation aussehen? Erst dann können die damit verbundenen aktuellen Prozesse geändert oder neue Methoden hinzugefügt werden, wie z. B. die Einrichtung eines Registers der Verarbeitungstätigkeiten, die Durchführung von Bewertungen der Auswirkungen auf die Datensicherheit und die Registrierung (und Meldung) von Verletzungen der personenbezogenen Daten. Für diese zweite Phase ist es wichtig, die Verfahren, Software und Systeme zu kennen, die innerhalb der Organisation verwendet werden. Ohne ein einheitliches organisationsweites Ziel und eine einheitliche Struktur für den Datenschutz können Sie die Prozesse nicht in Ordnung bringen.

2. Erfolgreiches Management des Datenschutzes beginnt mit der Unterstützung des Vorstands

Alles beginnt an der Spitze des Unternehmens. Ein wirksames Programm zur Durchsetzung des Datenschutzes ist ohne die Unterstützung mindestens eines Befürworters des Programms in der Vorstandsetage des Unternehmens fast unmöglich.

Wie man einen Sponsor findet, ist sehr schwer zu sagen, aber etwas oder jemand, der Ihnen hilft, einen möglichen Sponsor zu kontaktieren, wäre hilfreich. In den Personen, die für die Personalabteilung, die Risikominderung oder die Durchsetzung der Vorschriften zuständig sind, finden Sie vielleicht einen natürlichen Partner, aber sie sollten in der Geschäftsleitung und nicht nur in der Chefetage sitzen. Letztendlich ist der Vorstand für diese Vorgänge verantwortlich und hat somit ein Interesse daran, dass das Unternehmen die Vorschriften einhält.

3. Multidisziplinär sein: die benötigten Informationen einholen und andere Personen einbeziehen

Die Datenschutz-Grundverordnung ist zwar ein rechtliches Instrument, aber um wesentliche Fragen stellen zu können, benötigen Sie zumindest einige IT-Informationen. Was ist, wenn „Anonymisierung“ in Wirklichkeit „Pseudonymisierung“ ist? Fragen Sie die IT-Mitarbeiter, mit denen Sie zu tun haben, und finden Sie es besser frühzeitig heraus. Ein Mangel an „Eigenverantwortung stellt jedes Programm zur Durchsetzung der DSGVO-Datenschutzvorschriften in Frage“.

Wenn es also um die Verarbeitung und Verwaltung von Daten geht, müssen Sie andere Personen mit anderen Aufgaben einbeziehen und die Positionen eindeutig festlegen. In Anbetracht der Transparenz würde dies auch eine bessere Einhaltung der Vorschriften gewährleisten. Sicherheit und Datenschutz sind einfach zwei Seiten derselben Medaille – man sollte sich zusammentun und gemeinsam stärker sein.

4. Keine Vermischung von Aufgaben: Sie können keine Unternehmens- und Aufsichtsfunktionen kombinieren.

Am besten wäre es, wenn Sie als Datenschutzbeauftragter völlig unabhängig wären. Diese Tätigkeit kann nicht mit der eines Personalleiters oder eines IT-Managers kombiniert werden.

Sie würden sonst Ihre eigene Arbeit beurteilen, und das steht im Gegensatz zu den Verpflichtungen, die mit der Position einhergehen. Die Anforderungen für diese Unabhängigkeit werden vom Europäischen Datenschutzausschuss (EDPB) und der Datenschutz-Grundverordnung (DSGVO) festgelegt, z. B. die Verantwortung für Ihr Budget, die direkte Berichterstattung an den Vorstand und der Zugang zu Unterstützung (Personal und andere Ressourcen).

5. Trommeln Sie das Team zusammen: Sie können das nicht allein tun.

In einer großen Organisation sind Sie nur als Datenschutzbeauftragter benannt worden – und der Vorstand ist der Meinung, dass „das alles ist“. Denken Sie noch einmal darüber nach, Herr Vorstand, wir stehen erst am Anfang. Ein (leitender) Datenschutzbeauftragter braucht ein Team, das die Arbeit erledigt, z. B. den Datenschutz-Governance-Plan einführt und alle Verfahren einführt.

Außerdem müssen die Protokolle befolgt werden, und das schließt eine Menge anderer Personen in der Organisation ein, die ebenfalls behandelt werden müssen. Eine einzelne Person kann das nicht alleine tun. Also, ja, man braucht ein Budget dafür, und das muss vom Unternehmen zur Verfügung gestellt werden.

6. Das Programm zum Laufen bringen: auch das ist eine Arbeit für sich

Ein guter Datenschutzbeauftragter ist nicht von Natur aus ein guter Manager von Dienstleistungen. Wenn Sie also Ihr Team zusammenstellen, sollten Sie in Erwägung ziehen, jemanden für die letztgenannte Position einzustellen, insbesondere in großen, komplexen Organisationen. Sie sollten sich auf die Materie konzentrieren und die Verwaltung der Arbeit jemand anderem überlassen. Das kann eine große Erleichterung für Sie sein, und durch die Gleichgewichtung von Inhalt und Prozess kann die Qualität des Gesamtprogramms gesteigert werden. Denken Sie daran, dass Sie nicht in allen Bereichen, die mit dem Datenschutz zusammenhängen und für ihn wichtig sind, ein Experte sein müssen und sollten.

7. Entwickeln Sie auf bestehenden Grundlagen: Es gibt Dinge, die Sie wiederverwenden können

Der Mechanismus für die Kontrolle des Datenschutzes ist vielleicht nicht vorhanden, aber andere Verfahren schon. Wenn es bereits eine Grundlage gibt, warum eine neue schaffen? Versuchen Sie, die am besten „abgestimmten“ aktuellen Verfahren und Richtlinien zu definieren und zu erweitern.

Dies fördert die Anerkennung, erleichtert die Produktivität und erhöht die Investitionsrendite. In vielen Fällen sind bereits solide Sicherheitsrichtlinien vorhanden, die erweitert und aktualisiert werden können, um den Anforderungen eines umfassenden Programms zur Durchsetzung des Datenschutzes gemäß der DSGVO gerecht zu werden.

8. Seien Sie ein Mensch von einem Volk: Sie brauchen alle ies, eine Menge von ihnen

Neunzig Prozent der Kontakte erfordern Datenschutz-Governance und Datenschutz-Wissen. Um überall im Unternehmen Augen und Ohren zu haben, müssen Sie mit vielen Leuten zusammenarbeiten. Dies wird sich auszahlen, wenn es darum geht, die Haftung zu vermeiden, die durch den Tunnelblick einzelner Agenturen entsteht. Um die benötigten Daten zu erhalten, sind informelle Kontakte ein Muss. Damit Sie Ihre Inventare erstellen können, müssen die Leute Sie finden und fragen können, ob ein erwarteter Herstellungsvorgang durchgeführt werden kann.

9. Welch eine Überraschung: Plötzlich gibt es Datenschutzverletzungen,

Wie durch ein Wunder werden Sie nach der Schulung der Personalabteilung über (potenzielle) Verstöße informiert. Ja, es kann sein, dass Verstöße schon früher vorgekommen sind, aber sie wurden nicht als solche gemeldet, so dass sie nie auf Ihrem Schreibtisch gelandet sind.

Die Schulung der Mitarbeiter bedeutet eine Sensibilisierung, denn ein unbemerkter Verstoß stellt eine größere Belastung dar als ein Verstoß, der auf Ihrem Schreibtisch landet, was sich auszahlen wird. Denken Sie aber daran, dass diese Zunahme von Verstößen zunächst gegen Sie verwendet werden könnte. Ber
eiten Sie den Vorstand mit Daten vor, die bisher entdeckt wurden. Machen Sie sich klar, dass dies ein Zeichen von Widerstandsfähigkeit und nicht von Unsicherheit ist.

10. Initiativwechsel: Die Leute werden deinem Beispiel folgen

Sobald Ihr Unternehmen ausreichend über die Datenschutz-Grundverordnung informiert ist, werden die Bürger von sich aus Kontakt mit Ihnen aufnehmen. Am besten wäre es, wenn Sie die Position wechseln würden, anstatt der „nichtssagende“ Datenschutzbeauftragte zu sein. Die Fragen können vorsichtiger formuliert werden, weil die Betroffenen zu verstehen beginnen, dass ein Projekt erhebliche Auswirkungen auf den Datenschutz haben kann. Sie werden sich sagen, dass das Projekt vielleicht doch keine so gute Idee ist. Sie können in einem solchen Umfeld die „ermöglichende“ Partei sein, die dazu beiträgt, die Bedingungen zu schaffen, unter denen das Projekt schließlich doch durchführbar ist.

Einhaltung der DSGVO: Ein Vorteil, kein Hindernis

Es ist nicht einfach, die DSGVO zu erfüllen. Unternehmen, die die DSGVO einhalten, profitieren jedoch nicht nur von einer verbesserten Rechenschaftspflicht, sondern auch von Kundentreue, Marktoffenheit, Kundenbindung und sogar verkürzten Verkaufszyklen. Wenn Ihr Unternehmen eine Struktur braucht, um loszulegen, gibt es heute glücklicherweise viele Instrumente, die den Prozess nahtloser und effizienter machen können.