Wie implementieren Sie eine Infrastruktur gemäß der Datenschutz-Grundverordnung?

Clare Hopping

25/07/2017

In etwas unter einem Jahr tritt die EU-Datenschutz-Grundverordnung in Kraft. Viele Unternehmen sind aber noch nicht auf die neuen Anforderungen vorbereitet. Reicht es wirklich aus, einem Mitarbeiter Ihres Unternehmens die Verantwortung für die nötigen Änderungen zu übertragen?

Die neue Datenschutz-Grundverordnung der EU sorgt für viel Gesprächsstoff. Dabei geht es zum Beispiel darum, dass Unternehmen auf die anstehenden Änderungen alles andere als gut vorbereitet sind – teilweise aus Angst, teilweise weil einfach zu viel anderes zu tun ist. Einige Unternehmen haben die Vorbereitung einfach abgebrochen, weil sie glauben, dass der Brexit Ihnen einen einfachen Ausweg bietet. Das stimmt natürlich nicht.

Nur 54 Prozent der Unternehmen sind der Meinung, auf die Änderungen im Zuge der Datenschutz-Grundverordnung gut vorbereitet zu sein. Ein Viertel der Befragten hat der Direct Marketing Association (DMA) sogar mitgeteilt, ihr Unternehmen habe mit der Einplanung der neuen Bestimmungen noch nicht einmal begonnen. Das ist aber nicht unbedingt die Schuld der Unternehmen. Laut der DMA hat die britische Datenschutzbehörde, das Information Commissioner’s Office (ICO), keine ausreichenden Hilfestellungen angeboten, sodass die Verwirrung in vielen Unternehmen groß ist.

„Obwohl sich die meisten Unternehmen der Änderungen bewusst sind, sind ein Jahr vor Inkrafttreten der neuen Gesetze nur knapp über die Hälfte von ihnen der Meinung, bis dahin bereit für die Veränderung zu sein“, so Chris Combermale, CEO der DMA Group.

„Aktuelle Äußerungen und Hilfestellungen seitens des ICO haben Bedenken geweckt, dass die Interpretation der Gesetze übermäßig streng sei, sodass gerade die Unternehmen, die sich am stärksten für Best Practices, Ehrlichkeit und Transparenz engagieren, bestraft werden. Unternehmen brauchen stattdessen eine ausgeglichene und faire Anleitung seitens des ICO und der Artikel-29-Datenschutzgruppe. Es bleiben nur 12 Monate für die Vorbereitung, sodass die Unternehmen diese Unterstützung dringend jetzt benötigen“.

Denn eines ist klar: Die Änderungen kommen, egal ob die Unternehmen bereit sind oder nicht. Daher sollten alle nötigen Maßnahmen ergriffen werden. Aber ist es ausreichend, einen Datenschutzbeauftragten zu ernennen und ansonsten einfach wie gehabt weiterzumachen?

Bestimmungen einhalten oder untergehen

Unternehmen, die die neuen Bestimmungen nicht einhalten, müssen Geldstrafen von bis zu 20 Millionen Euro (bzw. vier Prozent des Gesamtumsatzes) zahlen. Die Datenschutz-Grundverordnung ist also eine ernst zu nehmende Angelegenheit. Einer aktuellen Veritas-Umfrage zufolge befürchtet eines von fünf Unternehmen, wegen der immensen Geldstrafen bankrott zu gehen.

Zweifelsohne kommt auf jedes Unternehmen, das mit öffentlichen Daten zu tun hat, einiges an Arbeit zu. Aber es muss nicht der Albtraum sein, den viele befürchten – einige Anpassungen sollten ausreichen, damit die meisten Unternehmen die Bestimmungen einhalten können.

Einige Unternehmen haben bereits einen Datenschutzbeauftragten ernannt, der die Unternehmensprozesse prüft und neue Prozesse einführt, die der Verordnung entsprechen. Kleinere Unternehmen möchten vielleicht nur ungern ein zusätzliches Gehalt zahlen, aber die Investition lohnt sich, wenn sich dadurch die deftigen Geldstrafen vermeiden lassen, die bei Nichteinhaltung der Verordnung drohen.

Laut Schätzungen der GO DPO müssen sogar mindestens 7000 Unternehmen in Großbritannien bis Mai 2018 entweder einen Datenschutzbeauftragten ernennen oder die Position outsourcen, um den Anforderungen der Datenschutz-Grundverordnung zu entsprechen.

Datenschutzhinweise

Wenn Sie die Position intern besetzen, sollten Sie sichergehen, dass öffentlich zugängliche Bereiche ganz oben auf der Aufgabenliste des Datenschutzbeauftragten stehen, und dementsprechend Zeit und Budget einplanen. So müssen zum Beispiel Ihre Datenschutzhinweise aktuell sein. Das Neuverfassen der Datenschutzhinweise mag einen ganzen Arbeitstag in Anspruch nehmen, schützt das Unternehmen aber vor Strafen.

Aus dem gleichen Grund ist es wichtig, eine Bestandsaufnahme der Daten, über die das Unternehmen verfügt, zu machen. Vielleicht stellen Sie fest, dass Sie Daten speichern, die nicht in Ihre Zuständigkeit fallen, oder es fehlen wichtige Informationen. Eine kurze Überprüfung kann also entscheidende Vorteile bringen – bei sehr geringen Kosten.

Ihre IT-Mitarbeiter werden ältere, angreifbare Systeme korrigieren und aktualisieren – eine gängige Praxis. Damit dieser Prozess möglichst reibungslos und effizient abläuft, sollten Sie sich die entsprechende Unterstützung sichern.

Wissen Sie, was im Fall einer Datenschutzverletzung zu tun ist?

Eine weitere unangenehme aber notwendige Aufgabe ist das Festlegen klarer Strategien für den Fall einer Datenschutzverletzung.

Darüber hinaus sollten Kommunikationspläne für Ihre Mitarbeiter, Kunden und das ICO eine Priorität sein. Wenn es darum geht, Ihre Kunden über eine Datenschutzverletzung zu informieren, kann die richtige Kommunikation den Schaden zumindest etwas abschwächen. Dies ist besonders wichtig, wenn finanzielle Informationen betroffen sind.

Sie sollten auch auf Anträge auf Datenlöschung bzw. Dateneinsicht vorbereitet sein. Da sich immer mehr Menschen des Werts Ihrer Daten bewusst werden, möchten viele sicherstellen, dass ihre Daten entsprechend geschützt sind.

Auch wenn viele Unternehmen momentan nicht ausreichend auf die Datenschutz-Grundverordnung vorbereitet sind, können Sie mithilfe eines einfachen Plans Ihre Compliance jetzt und bei Inkrafttreten der Verordnung am 18. Mai 2018 gewährleisten.

Wenn Sie für die nächsten 12–24 Monate einen Datenschutzbeauftragten einstellen oder unter Vertrag nehmen, kann die Umstellung gemäß den neuen Bestimmungen im ganzen Unternehmen reibungslos ablaufen – die Investition lohnt sich also.

Zwar können Sie Ihren Mitarbeitern die Änderungen auch auf andere Weise vermitteln, aber der Prozess wird wesentlich vereinfacht, wenn eine Person dafür verantwortlich ist, das Unternehmen auf die Datenschutz-Grundverordnung vorzubereiten.

DAS KÖNNTE IHNEN AUCH GEFALLEN...

Büro 2020

Was Unternehmen im 21. Jahrhundert wissen müssen