28.02.2018 von

DSGVO: 12 Schritte zur Umsetzung in der Praxis – Vorbereitung

Seit 25. Mai 2018 ist es ernst: Wir zeigen 12 konkrete Schritte, mit denen Sie die Datenschutz-Grundverordnung in Ihrem Unternehmen umsetzen.

Lukas Feiler leitet das Team für IT-Recht bei Baker McKenzie in Wien. Er ist Autor folgender Bücher zur Datenschutz-Grundverordnung: 

 

Die ersten fünf Schritte im Wortlaut

Lukas Feiler: Ich darf Ihnen im Rahmen von zwei Videos einen konkreten Umsetzungsplan für die Datenschutz-Grundverordnung (zum Volltext) vorstellen – schließlich können die Strafen für Unternehmen existenzbedrohend sein. Im Rahmen dieser ersten Einheit darf ich Ihnen die ersten fünf Schritte vorstellen, die sich mit Vorbereitungsarbeiten im Unternehmen beschäftigen.

Im Rahmen der nächsten Einheit wird es dann um die darauffolgenden sieben Schritte gehen, die sich mit der konkreten Umsetzung im Unternehmen befassen.

Schritt 1: Unterstützung aus dem Management sichern

Ich darf beginnen mit Schritt 1, der schlicht darin besteht, sich die Unterstützung des Managements für das DSGVO-Implementierungsprojekt zu sichern. Denn ohne Unterstützung aus dem Management werden früher oder später auch politische Hindernisse im Rahmen der Organisation auftreten, die man alleine nicht überwinden kann.

Schritt 2: Datenschutzbeauftragten bzw. -manager ernennen und Zuständigkeiten klären

Schritt 2 beschäftigt sich mit der Frage der Organisation des Datenschutzmanagements. Ganz konkret: Wird ein Datenschutzbeauftragter bestellt oder nicht? Die Figur des  Datenschutzbeauftragten ist nahezu eine mythische Gestalt, weil sie in sich Eigenschaften vereinen muss, die so in der Realität sehr schwer zu finden und auch in einer konkreten Organisation schwer umzusetzen sind:

  • Er muss weisungsfrei sein;
  • er genießt Kündigungsschutz;
  • er muss an die höchste Managementebene berichten;
  • er muss unabhängig sein, das heißt er darf insbesondere nicht gleichzeitig als Leiter der IT-Abteilung fungieren, und
  • er muss weiters über hinreichende Fachkenntnisse im Bereich des Datenschutzrechts und der Datenschutzpraxis verfügen.

Viele Organisationen tun sich im Ergebnis schwer, einen entsprechenden  Datenschutzbeauftragten zu identifizieren, mit dem sie auch langfristig werden leben wollen – weil kraft Kündigungsschutz sie das dann auch werden tun müssen.

Insofern stellt sich für viele Unternehmen die Frage: Muss ich überhaupt einen bestellen? In vielen Fällen muss ich tatsächlich gar nicht. Ich werde viel besser beraten sein, wenn ich statt des Datenschutzbeauftragten einen Datenschutzmanager bestelle, der sich im Ergebnis um alle Fragen der DSGVO-Compliance kümmert und nicht nur um den kleinen Bereich, der dem
Datenschutzbeauftragten kraft Verordnung zugedacht ist, sondern sich wirklich mit allem, was für die Einhaltung der DSGVO notwendig ist, auseinandersetzt.

Schritt 3: Ersten Überblick verschaffen

Drittens sollte jedes DSGVO-Implementierungsprojekt damit beginnen, sich einen ersten Überblick darüber zu verschaffen, was das Unternehmen mit personenbezogenen Daten eigentlich tut. Diese kann man klassisch einteilen in Mitarbeiterdaten, Kundendaten und Lieferantendaten. An dieser Stelle sollte man noch nicht im Detail erheben, welche Datenkategorien in welchen Systemen gespeichert sind, sondern grundsätzlich einen Überblick erlangen: Gibt es beispielsweise ein Customer-Relationship-Management-System? Ist es lokal oder im ganzen Konzern implementiert? Auf dieser Ebene sollten Fragen adressiert werden. Genauso: Wenn es eine gesellschaftsrechtliche Struktur gibt im Konzern, sollte man diese grundsätzlich erheben. Sowie zu guter Letzt sollte man die Frage stellen, ob das Unternehmen im Bereich B2B oder B2C tätig ist. Das heißt: Hat man nur Business-to-Business-Kunden, also vor allem juristische Personen, oder
aber auch natürliche Personen, damit auch Betroffene als Kunden, wodurch Kundendatenschutz notwendigerweise einen wesentlich höheren Stellenwert bekommen muss.

Schritt 4: Ziele des Datenschutzmanagements in einer Unternehmensrichtlinie definieren

Schritt 4 ist jener, der in sehr vielen Projekten leider gänzlich außer Acht gelassen wird. Das ist die Frage: Was will ich überhaupt? Was ist Ziel dieses Projektes? Im Rahmen des Konzerns stellt sich die Frage: Geht es nur um die Datenschutz-Compliance der einen Gesellschaft oder mehrerer Gesellschaften? Ansonsten stellt sich für jedes Unternehmen die Frage, ob Datenschutz-Compliance eher als defensiver Ansatz verfolgt wird, das heißt, will man wirklich jenes Maß an Rechtskonformität herstellen, das unbedingt erforderlich ist?

Oder aber will man auf den Zug der Digitalisierung aufspringen und daher im Ergebnis versuchen, das Datenschutzrecht zurückzudrängen, um sich Handlungsspielräume zu verschaffen, um neue Geschäftsmodelle entwickeln zu können, die man vielleicht jetzt noch gar nicht kennt? Aber um dann frei denken und erfinden zu können in dem Bereich, ist es notwendig, sich von Anfang an diesen Handlungsspielraum zu
sichern.

Dazu kommt die in der Praxis vielleicht schmerzliche Frage: Wie rechtskonform will man denn eigentlich sein? Will man 100% Datenschutz-Compliance oder reicht es einem vielmehr aus, so rechtskonform zu sein, dass sich niemand beschweren wird? Das sind tatsächlich zwei sehr unterschiedliche Dinge, die auch sehr unterschiedliche Kosten auslösen werden.

Schritt 5: Passende IT-Tools für das Datenschutz-Management auswählen

Schritt 5 beschäftigt sich dann mit der Frage, wie ich konkret im Rahmen des Datenschutzmanagements eine möglichst hohe Effektivität und Effizienz sicherstellen kann, indem ich zum Beispiel bestimmte IT-Tools einsetze, um insbesondere die unternehmensinterne Dokumentation (wie das Verzeichnis der Verarbeitungstätigkeiten) zu führen. Je mehr Personen es gibt, die vielleicht sogar gleichzeitig auf diese Dokumentation zugreifen müssen, wie es beispielsweise in einem Konzern der Fall sein kann, umso eher wird es notwendig sein, über Word- oder Excel-Vorlagen hinaus mit ausgereifteren IT-Tools wie entsprechenden Online-Lösungen zu arbeiten, um wirklich ein teamübergreifendes, vielleicht auch länderübergreifendes Arbeiten zu ermöglichen.

Ausblick auf die nächsten sieben Schritte

Damit bin ich am Ende ersten Teiles angelangt. Ich darf dann in der nächsten Folge die letzten sieben Schritte für die konkrete Umsetzung der DSGVO im Unternehmen vorstellen:

  • Schritt 6: Informationen über alle Datenverarbeitungsprozesse erheben
  • Schritt 7: Verzeichnis der Verarbeitungstätigkeiten erstellen
  • Schritt 8: Rechtmäßigkeit der Verarbeitungstätigkeiten absichern
  • Schritt 9: Datenschutz-Folgenabschätzungen durchführen
  • Schritt 10: Datenschutzrelevante Unternehmensrichtlinien erstellen
  • Schritt 11: Konzept für unternehmensinterne Informationsmaßnahmen und Schulungen erstellen
  • Schritt 12: Datenschutz im täglichen Betrieb aufrechterhalten

Praktische Umsetzung der DSGVO in 12 Schritten

Zur Videoserie „Die DSGVO in der Praxis“

Dieses Video ist Teil einer mehrteiligen Serie, in der Lukas Feiler praktische Tipps gibt, wie Unternehmen die Datenschutz-Grundverordnung in der Praxis umsetzen können:

Diese Videoserie beruht auf dem neuen Buch von Lukas Feiler und Bernhard Horn: „Umsetzung der DSGVO in der Praxis – Fragen, Antworten, Muster“

Einführung in die Datenschutz-Grundverordnung

Für eine grundsätzliche Einführung in das Thema Datenschutz-Grundverordnung empfehlen wir Ihnen unsere erste Videoserie zur DSGVO:

Autor:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.