Hennig fordert Organisationen auf, beim Thema DSGVO schnell und dauerhaft ins Handeln zu kommen

“Datenschutz ist kein Projekt, sondern ein Prozess!”

Der Countdown läuft – und zwar unerbittlich. Am 25. Mai 2018 endet die Übergangsfrist und die vor zwei Jahren in Kraft getretene EU-Datenschutzgrundverordnung (DSGVO) wird in allen EU-Mitgliedsstaaten unmittelbar gültiges Recht.

Hartmut Hennig, Netzwerkpartner und u.a. Datenschutzberater der Organisations- und Qualitätsmanagementberatung Rhein S.Q.M. GmbH ist alarmiert, wenn er den aktuellen Umsetzungsstatus in deutschen Unternehmen betrachtet und die drohenden Strafen bei Datenschutzverstößen dagegenhält. Er unterstützt Organisationen mit einer “DSGVO-Roadmap”.

Hier beantwortet er Fragen zur Umsetzung der DSGVO und erklärt, wie Organisationen für Konformität sorgen können.

Redaktion:
Für Organisationen erscheint die DSGVO mit ihren Anforderungen in erster Linie wie eine zusätzliche Bürde, die sich der Gesetzgeber ausgedacht hat. Gefühlt wird allerorten geklagt und gejammert. Zu Recht?

Hartmut Hennig:
Viele Unternehmen stecken nun tatsächlich in einem Dilemma. Allerdings ist das ein Stück weit hausgemacht. Das Thema Datenschutz ist nicht neu und die DSGVO seit zwei Jahren bekannt, zu viele hatten es aber bis vor kurzem nicht auf dem Schirm und stellen jetzt fest: ‚Oje, ich habe noch gar nichts gemacht!‘ Meine dringende Empfehlung: Wer noch nicht begonnen hat, sollte das Thema jetzt zur Chefsache machen und- statt sich weiter zu ärgern – lieber Energie in die Umsetzung stecken. Anders ausgedrückt: Es wäre zu wünschen, dass mehr Organisationen aus den Steinen, die ihnen in den Weg gelegt werden, eine Treppe bauen, anstatt darüber zu fluchen.

Redaktion:
Die Motivation, diese Treppe zu bauen, kann ja auch aus dem drastisch erhöhten Bußgeldrahmen erwachsen. Wie schätzen Sie das ein?

Hartmut Hennig:
Es stimmt: Die hohen Strafen, die die DSGVO vorsieht – also bis zu 20 Millionen Euro bzw. vier Prozent des weltweiten Jahresumsatzes -, zwingen quasi zur Professionalisierung des Datenschutzes. Egal ob ich Großkonzern, KMU oder Einzelunternehmen bin: Wenn ich jetzt nichts tue und den Kopf in den Sand stecke, ist sowohl die Gefahr, bestraft zu werden als auch das zu erwartende Strafmaß sehr hoch. Ich rechne damit, dass die hohen Strafen auch gezogen werden. Schließlich sind die Datenschutzbehörden explizit angehalten, Verstöße effektiver und konsequenter als bisher zur prüfen und zu ahnden. Diejenigen, die Zeit und Geld investieren, um der EU-Verordnung gerecht zu werden, beugen dem vor.

Redaktion:
Wie genau sollte denn diese Vorbereitung auf die DSGVO aussehen und wie unterstützt die Rhein S.Q.M. GmbH dabei?

Hartmut Hennig:
Zunächst vorab: Durch die Rhein S.Q.M. GmbH erfolgt keine Rechts- oder Steuerberatung. Die Verantwortung liegt beim Kunden, sich von kompetenter rechtlicher Stelle beraten und die Maßnahmen auf Konformität prüfen zu lassen. Wir bieten mit unserer “DSGVO Roadmap” einen komplexen Ansatz, wie Organisationen mit einer strukturierten Herangehensweise und maximaler Effizienz und Effektivität die Weichen auf Konformität und damit auf “maximale Rechtssicherheit” stellen können.

Redaktion:
Wie sieht diese “DSGVO Roadmap” aus?

Hartmut Hennig:
Sie umfasst fünf Phasen oder Schritte:

Bestandsaufnahme & Schwachstellenanalyse
Dieser erste Schritt findet vor Ort im Unternehmen statt. Anhand einer von uns entwickelten Checkliste werden im Rahmen von Betriebsbegehungen und Interviews alle Dinge abgeprüft, die zum Thema Sicherheit und Schutz von Daten natürlicher Personen gehören. Falls vorhanden wird auch die Webseite auf Konformität überprüft. Hierzu gehört auch der Austausch mit einem eventuell vorhandenen internen oder externen Datenschutzbeauftragten. Daraus entsteht dann ein erster Bericht zum “Status Datenschutz”, in dem die Schwachstellen aufgezeigt werden.
Auswertung & Konzepterstellung
Aus der Schwachstellenanalyse wird anschließend ein Konzept entwickelt. Gegebenenfalls werden weitere notwendige Recherchen durchgeführt, um auf dieser Basis dann ein Datenschutzmanagement-System zu konzipieren.
Implementierung
In diesem Schritt werden alle Verfahren zur Auftrags(daten)verarbeitung dokumentiert und daraus wird schließlich die Verfahrensübersicht und die Risikobewertungen erstellt. Dafür ist es in der Regel auch nötig, Dokumentationen für ausgelagerte Tätigkeiten aktiv einzusammeln – also beispielsweise beim Steuerberater, beim Lohndienstleister, dem CRM-Anbieter oder bei anderen Dritten. Ebenfalls erstellt wird ein Datenschutzhandbuch sowie die Datenschutzpolicy.
Überprüfung der DSGVO-Umsetzung
In der Überprüfungsphase geht es darum, zu kontrollieren, inwieweit die Policy und die Richtlinien eingehalten werden und ob die Mitarbeiter regelmäßig geschult werden. Es werden – ggf. auch durch einen Datenschutzkoordinator – Audits durchgeführt, die Ergebnisse dokumentiert und in Form eines Datenschutzberichts an die oberste Leitung weitergegeben.
Kontinuierliche Weiterentwicklung
Zum Datenschutz kommt den Organisationen und ganz explizit auch dem Datenschutzbeauftragten ab dem 25. Mai 2018 eine viel aktivere Rolle als früher zu. Daher muss das Datenschutzmanagement-System regelmäßig überprüft und weiterentwickelt werden. Die Verpflichtung zu einer alljährlichen Weiterbildung des Datenschutzbeauftragten soll dazu beitragen.

Redaktion:
Das klingt doch nach einiger Arbeit! Ist unter diesen Voraussetzungen eine gewisse Panik auf Unternehmensseite nicht doch berechtigt? Oder anders gefragt: Ist das Ganze realistisch betrachtet überhaupt noch zu schaffen?

Hartmut Hennig:
Wer noch nichts unternommen hat sollte sofort starten und die erforderlichen Projekttage blocken um mit dem Aufbau eines Datenschutzsystems zu starten. Wenn ich allerdings – weil ich mehr als 9 Mitarbeiter habe – neu gezwungen bin, einen Datenschutzbeauftragten (DSB) zu benennen, wird es tatsächlich kritisch. Denn der DSB muss “geeignet” und qualifiziert sein. Einer, der das nicht ist, gilt als nicht bestellt! Auf der anderen Seite muss man sagen, dass die Organisationen, die schon in der Vergangenheit einen DSB benötigt und installiert haben, erfahrungsgemäß gut gerüstet sind, da sie seit zwei Jahren an dem Thema arbeiten und sich in Ruhe darauf vorbereitet haben.

Generell kann man festhalten: Organisationen, die ein Qualitätsmanagement-System haben, tun sich leichter mit der DSGVO, weil sie das Arbeiten in Prozessen, die Bearbeitung von Verfahren und die Dokumentation beherrschen. Das ist ein Vorteil, wenn man bedenkt, dass es in Punkto Datenschutz jetzt auch viel mehr um dokumentierte Prozesse geht als früher und außerdem Kontrollen, ob die Verfahren in der notwendigen Form Anwendung finden – sprich Audits – wesentlicher Bestandteil sind.

Abgesehen davon ist das Datenschutzthema eine existenzielle Frage für Organisationen. Heißt: Auch wenn ich es nicht mehr schaffe, bis zum 25. Mai 2018 eine alles umfassende Lösung zu erreichen, befreit mich das ja letztendlich nicht davon, die Verfahren (Prozesse) dann eben bis zu einem späteren Zeitpunkt durchzuexerzieren und die Zeitspanne, in der ich mit einer Risikosituation lebe, möglichst kurz zu halten.

Redaktion:
Apropos Zeitspanne: Lässt sich sagen, mit welchem Zeitaufwand und mit welchen Kosten Organisationen kalkulieren müssen, um die Anforderungen der DSGVO umzusetzen?

Hartmut Hennig:
Das ist die Frage, die mir vermutlich am häufigsten gestellt wird und die ich dennoch stets mit einem “Nein” beantworten muss. Um ein Invest in Zeit, in Personal und in Infrastruktur kommt man im Zusammenhang mit der DSGVO nicht herum. Pauschale Aussagen zur Höhe sind aber schlicht nicht seriös, denn sowohl Zeitaufwände als auch Budgets sind abhängig von der Organisationsgröße, der Organisationseffektivität, der Kritizität der Organisation und dem bisherigen Reifegrad ihres Datenschutz- und -sicherheitsmanagements.

Man muss daher in jedem Fall erst einmal eine Ist-Aufnahme machen, also den ersten Schritt unserer DSGVO Roadmap. Erst auf dieser Basis kann man dann eine einigermaßen solide Aufwandsschätzung erstellen, die dann gegebenenfalls zur Bildung eines Sonderbudgets genutzt werden kann. Für diese Sonderinvestition ist dann, soviel kann ich an dieser Stelle sagen, nicht selten ein guter vier- bis fünfstelliger Betrag einzuplanen.

Redaktion:
Viele Organisationen wollen das Thema DSGVO jetzt nur noch vom Tisch haben. Sie halten von dieser Haltung beziehungsweise Einstellung wenig.

Hartmut Hennig:
Ja, denn jede Organisation muss sich darüber klar werden: Es gibt nicht das “Projekt Datenschutz”, sondern es ist ein “Prozess Datenschutz und Datensicherheit”, der ein Unternehmen so lange begleitet, wie es am Markt existiert. Wir unterstützen unsere Kunden gerne auch punktuell und temporär, um einen konformen DSGVO-Status herzustellen. Aber auf Wunsch begleiten wir auch langfristig, wenn es darum geht, die geforderten Datenschutzmaßnahmen kontinuierlich weiterzuentwickeln.

Fact Sheet: EU-DSGVO

Vollständiger, korrekter Titel der Verordnung (EU) 2016/679:
“Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG“
.
Kurztitel: Datenschutz-Grundverordnung
.
Abkürzung: DSGVO
.
Umfang: 173 Erwägungsgründe, 99 Artikel, 11 Kapitel
.
Historie:
- Erster Entwurf: 2012
- Inkrafttreten: 24. Mai 2016
- Ende der Übergangsfrist, unmittelbar gültig, anzuwenden als alleiniges Recht ab: 25. Mai 2018
  .
Link zum offiziellen Text:
Dieser findet sich im Beitrag „Die Reform des Europäischen Datenschutzrechts“ auf der Seite der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI)

Selbstverständlich unterstützen wir – bei frühzeitiger Planung – auch Ihre Organisation bei der Umsetzung der DSGVO!

Nehmen Sie gerne dazu Kontakt mit uns auf!

Unser DSGVO-Experte

Hartmut Hennig ist im Partnernetzwerk der Rhein S.Q.M. GmbH Experte für Datenschutz.

“Datenschutz ist kein Projekt, sondern ein Prozess!”

Unser DSGVO-Experte

Aktuelles