Die Uhr tickt. Nach einer Übergangsphase von zwei Jahren ersetzt am 25. Mai 2018 die neue Datenschutz-Grundverordnung (DSGVO) das Bundesdatenschutzgesetz (BDSG). Die DSGVO enthält etliche Regelungen, die Datenschutzfachleuten und IT-Abteilungen vom BDSG her bereits bekannt vorkommen dürften.

Dazu zählt beispielsweise das Prinzip der Zweckbindung. Es besagt, dass ein Unternehmen personenbezogene Daten nur zu dem Zweck bearbeiten darf, zu dem es die Informationen erhoben hat. Kundendaten, die ein Unternehmen beispielsweise für die Abrechnung von Dienstleistungen erfasst hat, dürfen nicht ohne Zustimmung des Betroffenen zusätzlich für Werbung und Marketing verwertet werden.

Doch es gibt auch etliche Neuerungen, etwa das Recht auf Vergessenwerden, also einen Anspruch auf das Löschen von personenbezogenen Daten, wenn ein Betroffener dies verlangt. Auch der Grundsatz der Datensparsamkeit wird von der DSGVO verstärkt eingefordert. Er besagt, dass Unternehmen und öffentliche Einrichtungen nur diejenigen Informationen einholen dürfen, die für einen bestimmten Zweck unbedingt erforderlich sind.

Noch Nachholbedarf bei der Umsetzung

Allerdings haben Unternehmen in Deutschland noch Nachholbedarf, was die Umsetzung der DSGVO betrifft. Das belegen Studien von IDC und der Nationalen Initiative für Informations- und Internet-Sicherheit (Nifis). Nach Angaben der Marktforscher von IDC hatten sich im Sommer 2017 an die 44 Prozent der deutschen Unternehmen noch nicht oder nur ansatzweise mit der Datenschutz-Grundverordnung auseinandergesetzt.

Zu ähnlichen Resultaten kommt eine Studie der Nifis, die im Dezember 2017 veröffentlicht wurde. Demnach gingen 39 Prozent der Befragten davon aus, dass weniger als ein Viertel der Unternehmen bis zum Stichtag die Vorgaben der Verordnung umgesetzt hätten. Rund 57 Prozent taxierten diese Quote auf 26 bis 50 Prozent.

Nicht in Hektik verfallen

Wer mit den Vorbereitungsarbeiten für die DSGVO in Rückstand ist, sollte zwei Dinge vermeiden:

• In Hektik verfallen und überstürzt Maßnahmen ergreifen und datenschutzrelevante Prozesse ändern

• oder das Gegenteil tun, sprich abwarten und darauf bauen, dass die Kontrollen durch die Aufsichtsbehörden schon nicht so streng sein werden.

Beide Vorgehensweisen können negative Folgen haben: Wer allzu hektisch agiert, läuft Gefahr, dass er wichtige Dinge übersieht und nachbessern muss. Unternehmen, die auf eine laxe Prüfpraxis der Behörden setzen, riskieren unter anderem immense Geldstrafen. Sie können laut Artikel 83, Absatz 4 der DSGVO bis zu 4 Prozent des Jahresumsatzes betragen. In schweren Fällen sind zudem Haftstrafen für Führungskräfte von bis zu drei Jahren vorgesehen.

Hilfreich: Eine Gap-Analyse

Wichtig ist, dass Unternehmen gegenüber Prüfinstanzen nachweisen können, dass sie sich mit der DSGVO auseinandersetzen. Das heißt, es sollte beispielsweise ein Datenschutz-Beauftragter vorhanden sein. Laut der Studie von IDC verfügen nur 17 Prozent aller Firmen über einen solchen Fachmann. Und dies, obwohl bereits das alte Bundesdatenschutz-Gesetz eine solche Position in der Mehrzahl der Unternehmen vorschreibt.

Um zu ermitteln, welche Maßnahmen erforderlich sind, kann außerdem eine Gap-Analyse ("Lücken-Analyse") durchgeführt werden. Dieses Verfahren hat übrigens auch Bechtle im eigenen Haus eingesetzt, um sich für die Datenschutz-Grundverordnung "fitzumachen". Im Rahmen einer solchen Analyse wird unter anderem geprüft, welche Vorgaben der Verordnung bereits aktuell erfüllt werden und wo Nachholbedarf besteht.

Außerdem lässt sich durch eine Gap-Analyse feststellen, welche der vorhandenen Datenschutz-Richtlinien angepasst werden müssen. Ein Beispiel sind die Meldepflichten. Auch das BDSG enthält bereits entsprechende Regelungen, jedoch sieht die DSGVO andere Fristen vor. Es bietet sich somit an, im ersten Schritt solche Anpassungen vorzunehmen. Dies lässt sich mit überschaubarem Aufwand bewerkstelligen. Sollte eine Prüfung durch die Datenschutz-Aufsichtsbehörde eines Bundeslandes erfolgen, kann ein Unternehmen dann anführen, dass es bereits mit der Umsetzung der Datenschutz-Grundverordnung begonnen hat.

Übersicht über Verarbeitung sensibler Daten

Ein probates Mittel besteht zudem darin, sich einen Überblick darüber zu verschaffen, welche Abteilungen und Geschäftsprozesse in die Verarbeitung personenbezogener Daten involviert sind. Solche Verarbeitungstätigkeiten müssen nicht unbedingt im eigenen Haus angesiedelt sein. So kann ein Unternehmen solche Informationen einem externen Dienstleister zur Bearbeitung übergeben, etwa einem Inkasso-Unternehmen. Auch diese Auftragsdaten-Verarbeitung gilt es zu berücksichtigen.

Generell sollten Unternehmen eine "Inventur" aller Verfahren und Prozesse durchführen, bei denen Daten im Spiel sind, die gemäß der DSVGO in besonderem Maße geschützt werden müssen. Die Dokumentation ist jedoch kein statisches Element. Vielmehr sollte es regelmäßig überprüft und angepasst werden. Stehen im eigenen Haus nicht die erforderlichen Ressourcen bereit, lässt sich diese Aufgabe auch einem externen IT-Dienstleister wie Bechtle übertragen.

Zentrale Richtlinien erarbeiten

Vor allem für Unternehmen mit mehreren Niederlassungen und Tochterfirmen empfiehlt es sich, zentrale Datenschutz-Richtlinien zu erarbeiten, die auf die DSGVO zugeschnitten sind. Solche Leitlinien lassen sich bei Bedarf an die individuellen Anforderungen der Niederlassungen anpassen. Ein Vorteil dieses zentralen Ansatzes ist, dass es zu keinem Wildwuchs bei der unternehmensweiten Umsetzung der DSGVO kommt. Dies ist übrigens nicht nur eine Herausforderung, mit der sich Großunternehmen konfrontiert sehen, sondern auch Mittelständler.

Eine zentrale Datenschutz-Richtlinie kann beispielsweise regeln, wann und auf welche Weise personenbezogene Daten gelöscht werden müssen ("Löschkonzept"). Das ist wichtig, weil die DSGVO ein "Recht auf Vergessenwerden" von Personen vorsieht, deren Daten ein Unternehmen nicht weiter benötigt. Zudem hat der Gesetzgeber Aufbewahrungsfristen für personenbezogene Informationen vorgesehen. Nach deren Ablauf müssen diese Daten fachgerecht gelöscht werden.

Die Mitarbeiter sensibilisieren

Ein zentraler Aspekt jeder Datenschutz-Strategie sind die Mitarbeiter. Die besten Richtlinien und technischen Vorkehrungen helfen wenig, wenn sich die Beschäftigten darüber hinwegsetzen oder die Vorgaben nur halbherzig umsetzen. Daher ist es notwendig, Geschäftsverantwortliche und IT-Fachleute, aber auch "normale" Mitarbeiter mit den Grundzügen DSGVO vertraut zu machen. Ein probates Mittel sind entsprechende Schulungen.

Wer zumindest einige der oben genannten Maßnahmen umsetzt, muss keine Angst vor dem 25. Mai 2018 haben. Denn selbst Juristen vertreten die Meinung, dass bis dahin die DSGVO "im Grundsatz" umgesetzt sein sollte. Das zumindest sollten Unternehmen und deren Datenschutz-Fachleute anstreben. Hilfestellung geben dabei Systemhäuser wie Bechtle, zu deren Beratern zertifizierte Datenschutzbeauftragte gehören.

Schlecht beraten sind dagegen Unternehmen, welche die neue Verordnung auf die leichte Schulter nehmen. Wer nach dem Motto handelt "Wir brauchen diesen EU-Kram nicht", darf sich nicht wundern, wenn ihm eine Aufsichtsbehörde eine empfindliche Strafe aufbrummt.