Insgesamt 44 Prozent der Unternehmen in Deutschland sind noch nicht ausreichend auf die Datenschutz-Grundverordnung vorbereitet, wie eine Studie der Marktforscher von IDC ergab. Vor allem der Mittelstand hat noch Nachholbedarf: In vielen Unternehmen fehlt der Überblick über die personenbezogenen Daten, die Mehrheit hat noch keinen Datenschutzbeauftragten bestellt, und es gibt deutliche Lücken bei den für die DSGVO relevanten Prozessen, darunter die Benachrichtigung der betroffenen Person und der Aufsichtsbehörden im Fall einer Datenschutzverletzung.

Tipp: Aufsichtsbehörden bieten Maßnahmenplan

Die Aufsichtsbehörden für den Datenschutz wissen um die Probleme, die die Unternehmen bei der Umstellung auf die DSGVO haben. Das Landesamt für Datenschutzaufsicht in Bayern bietet Unternehmen deshalb einen Fragebogen und einen Online-Test für die Selbsteinschätzung zu ihrem Umsetzungsstand der DSGVO. Die Datenschutzkonferenz der Aufsichtsbehörden hat einen Maßnahmenplan veröffentlicht, der bei dem Lückenschluss in den DSGVO-relevanten Prozessen helfen soll.

Umstellung in der Praxis: Das IT-Systemhaus Bechtle AG

Wie die Umstellung der Datenschutzorganisation von dem noch geltenden Bundesdatenschutzgesetz (BDSG) zur ab 25. Mai 2018 wirksamen Datenschutz-Grundverordnung in der Praxis aussehen kann, zeigt das Beispiel der Bechtle AG mit ihren 70 IT-Systemhäusern in der DACH-Region sowie IT-Handelsgesellschaften in 14 europäischen Ländern. Im Zentrum der Maßnahmen stehen ein strukturierter Ablauf und eine durchgehende Dokumentation der Datenschutzorganisation:

• Ermittlung des Anpassungsbedarfes: Zuerst führte die zentrale Datenschutzstelle von Bechtle eine Gap-Analyse bei den Bechtle-Systemhäusern durch. Ziel war es, den genauen Umstellungsbedarf zu ermitteln. Die bestehenden Datenschutzrichtlinien basieren auf dem noch geltenden BDSG, so dass je nach Richtlinie eine Anpassung auf die DSGVO vorgenommen werden muss. Dies ist zum Beispiel bei den Meldepflichten der Fall, die schon heute unter dem BDSG gefordert werden, sich aber durch die DSGVO verschärfen.

• Bereitstellung zentraler Datenschutzrichtlinien: Den Systemhäusern werden zentral von Bechtle entwickelte Richtlinien zur Verfügung gestellt, die dann individuell in den einzelnen Systemhäusern angepasst werden können. Ein Beispiel ist das Löschkonzept, das in einem Projekt zentral erstellt wird. Für verschiedene Anwendungsfälle erhalten die Systemhäuser danach jeweils ein Template für das konkrete Löschverfahren, das dann technisch umzusetzen ist.

• Sensibilisierung der Verantwortlichen: Parallel zur Gap-Analyse fand eine Schulung der Geschäftsleitung in den Systemhäusern statt, in der auf die Neuerungen durch die DSGVO eingegangen wurde. Entsprechende Schulungsangebote über eine Lernplattform für Mitarbeiterinnen und Mitarbeiter (iLearn) sind ebenfalls vorgesehen.

• Verzeichnis von Verarbeitungstätigkeiten: Neben den Datenschutzrichtlinien stellt das Verzeichnis von Verarbeitungstätigkeiten ein zentrales Instrument der Datenschutzorganisation dar. Hier werden die Verfahren und Prozesse dokumentiert, bei denen personenbezogene Daten verarbeitet werden.

• Bereitstellung von Muster-Verfahren: Die Analyse der Verfahrensverzeichnisse ergab eine Liste der Verfahren, die mit Blick auf die DSGVO angepasst werden müssen. Genau wie bei den Datenschutzrichtlinien erhalten auch hier die Systemhäuser zentrale Muster für die Verfahrensbeschreibungen, die bei Bedarf in dem jeweiligen Systemhaus angepasst werden können. Dies wird auch für die Verträge zur Auftragsverarbeitung der Fall sein, die entsprechend Artikel 28 DSGVO anzupassen sind.

Es zeigt sich: Ein strukturiertes Vorgehen, beginnend mit einer Gap-Analyse auf Prozess- und Dokumentenebene, führt zu den Bereichen, in denen die Datenschutzorganisation für die DSGVO angepasst werden muss. Der Dokumentation über Richtlinien und Verarbeitungsverzeichnissen kommt eine Schlüsselrolle zu, dadurch lassen sich Regeln und Verfahren einheitlich in der ganzen Organisation einführen. Begleitet wird dieser Prozess von einer Sensibilisierung der Verantwortlichen für den Datenschutz. Auf diesem Weg können vorhandene Lücken in der Umsetzung der DSGVO angegangen und geschlossen werden.