DSGVO – die Unsicherheit in den Unternehmen ist recht hoch

Expertentipp DSGVO

Am 25. Mai 2018 greift die Datenschutz-Grundverordnung. Sind die Unternehmen auf diesen Stichtag vorbereitet? Welche Hilfen gibt es für sie bei der Umsetzung? Zeit für ein Gespräch mit Susanne Dehmel, Mitglied der Geschäftsleitung Recht & Sicherheit beim Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. (Bitkom).

Frau Dehmel, warum sollten Unternehmen sich jetzt intensiv mit der Datenschutz-Grundverordnung (DSGVO) auseinandersetzen?
Susanne Dehmel: Ein wichtiger Stichtag naht: Ab dem 25. Mai 2018 müssen alle datenverarbeitenden Stellen in Deutschland neue Anforderungen für die Verarbeitung von personenbezogenen Daten umgesetzt haben. Ab dann greift auch der sogenannte risikobasierte Ansatz der Verordnung. Und das hat Konsequenzen für jedes Unternehmen, das Daten verarbeitet – also quasi für alle Unternehmen.

Susanne Dehmel

Expertin für die DSGVO: Susanne Dehmel, Mitglied der Geschäftsleitung Recht & Sicherheit beim Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. (Bitkom)

Sind die Unternehmen in Deutschland entsprechend vorbereitet?
Susanne Dehmel: Unsere Umfragen zeichnen ein anderes Bild. Demnach ignoriert bislang jedes dritte Unternehmen die DSGVO. Die Gründe dafür sind vielfältig, zum Beispiel ist der Umsetzungsaufwand für die Unternehmen nicht abschätzbar und die Frist zu kurz oder es werden geeignete Hilfen bei der Umsetzung vermisst. Die Unsicherheit in den Unternehmen ist rund 100 Tage vor Geltungsbeginn recht hoch.

Jedes dritte Unternehmen in Deutschland ignoriert bislang die Datenschutz-Grundverordnung.
Bitkom

Was ändert sich konkret?
Susanne Dehmel: Bislang gab es einen Katalog, der definiert hat, welche Maßnahmen Unternehmen für eine sichere Datenverarbeitung treffen müssen. Ab Mai ist das anders. Dann müssen die Unternehmen bei jeder Datenverarbeitung das Risiko der Betroffenen feststellen, es einstufen und entsprechende Maßnahmen zu deren Schutz umsetzen. Ist das Risiko für die Betroffenen hoch, muss auch umfangreicher geprüft werden, wie es sich konkret auswirkt, und gegebenenfalls müssen weitere Schutzmaßnahmen ergriffen werden. Zudem müssen Unternehmen ihre Datenverarbeitungsprozesse nicht nur datenschutzkonform gestalten, sondern diese Konformität auch dokumentieren können. Für besonders risikobehaftete Datenverarbeitungen wird eine Datenschutz-Folgenabschätzung vorgeschrieben.

Was empfehlen Sie den Unternehmen?
Susanne Dehmel: Als Erstes sollten sich die Unternehmen genau ansehen, welche datenverarbeitenden Prozesse sie überhaupt haben. Dann sollten sie prüfen, ob sie über Verfahren, Methoden und Tools verfügen, auf die sie aufsetzen können, um den Anforderungen der DSGVO zu entsprechen. Damit können sie Synergien schaffen und müssen nicht jeden Prozess komplett neu aufsetzen. Schließlich müssen adäquate technische und organisatorische Maßnahmen bestimmt werden.

Wo liegen die Stolpersteine?    
Susanne Dehmel: Das ist pauschal und knapp schwer zu sagen. Aber beispielsweise ist es so, dass der europäische Gesetzgeber immer wieder auf den Begriff des Risikos für die Rechte und Freiheiten der Betroffenen verweist, aber der Risikobegriff der DSGVO gar nicht exakt definiert wird. Es wird nicht beschrieben, was der Gesetzgeber unter einem Risiko bzw. unter einem großen Risiko versteht. Offen ist auch, welche Vorgehensmodelle von den Aufsichtsbehörden akzeptiert werden. Wir müssen hier grundsätzlich ein Auge darauf haben, dass die Masse der Unternehmen die Anforderungen auch stemmen kann.

Welche praxisorientierten Hilfen gibt es für Unternehmen?
Susanne Dehmel: Wir haben beispielsweise mit unserem Arbeitskreis „Datenschutz“ den Leitfaden zum „Risk Assessment & Datenschutz-Folgenabschätzung“ nach der DSGVO veröffentlicht. Der bietet eine detaillierte Beschreibung, wie Unternehmen den Vorgaben der DSGVO gerecht werden und ihr Risikomanagement an die Verordnung anpassen können. Unter anderem beinhaltet er auch eine Liste mit den neun wichtigsten Schritten, die Unternehmen nun einleiten sollten. Dazu gehört die Einbindung des obersten Managements, aber auch, Verantwortlichkeiten festzulegen sowie die Risiken zu analysieren und zu bewerten und schließlich zu überwachen und zu überprüfen.


Vielen Dank, Frau Dehmel, für das Gespräch.


Der Bitkom-Leitfaden kann hier kostenlos heruntergeladen werden:
https://www.bitkom.org/Bitkom/Publikationen/Risk-Assessment-Datenschutz-Folgenabschaetzung.html
 

Digitale Sicherheit

EU-Datenschutz-Grundverordnung umsetzen

Digitale Sicherheit

Die Deutschen und der Datenschutz

Wenn ein US-Unternehmen Fotos von frei zugänglichen Straßen macht, ist das in Deutschland ein Skandal. Unser Autor aber sagt: Wir brauchen nicht weniger, sondern mehr Öffentlichkeit.

Digitale Sicherheit

Fünf Merkmale einer vertrauenswürdigen Zertifizierungsstelle

Der Markt für Zertifikate befindet sich im Umbruch. Mehr und mehr Certificate Authority (CA)-Anbieter trennen sich von ihrem Zertifikate-Geschäft. Lesen Sie hier die fünf wichtigsten Qualitätsmerkmale einer vertrauenswürdigen Zertifizierungsstelle.