Nummerschnild mit DSGVO, Bild: © n8aktiver - Fotolia

Die EU-DSGVO muss bis zum 25. Mai 2018 in allen Unternehmen umgesetzt werden. Sonst drohen drastische Bußgelder. Bild: © n8aktiver - Fotolia

Verstöße werden mit bis zu 20 Millionen Euro geahndet, bei Konzernen sogar mit bis zu vier Prozent des weltweiten Umsatzes des Vorjahres. Auch deshalb sollten Unternehmen alle Prozesse, alle Verträge und alle Vereinbarungen im Hinblick auf das neue Datenschutzrecht überprüfen. Und bis zum Stichtag ist nicht mehr viel Zeit. „Handlungsbedarf besteht ab sofort“, sagt Datenschutzexpertin Melanie Braunschweig von der TÜV Nord Akademie. „Wie hoch der Aufwand für die Einführung der DSGVO ist, hängt vor allem davon ab, wie gut der Datenschutz im Betrieb bereits verankert ist.“

Außerdem stellt sich die Frage nach der Art der personenbezogenen Datenverarbeitung. Die Thematik muss in einem Krankenhaus sehr viel gründlicher geprüft werden als in einem produzierenden Gewerbe, denn Krankenhäuser verarbeiten besonders sensible Daten.

Datenschutzbeauftragter bleibt Pflicht

Die DGSVO kennt keine Pflicht zur Benennung eines Datenschutzbeauftragten. Laut neuem EU-Recht ist nur dann ein Datenschutzbeauftragter notwendig, wenn die Kerntätigkeit des Unternehmens die personenbezogene Datenverarbeitung ist. Also wenn die Firma Profile erstellt, Gesundheitsdaten erhebt oder mit Daten im Zusammenhang mit strafrechtlichen Verfahren zu tun hat. Für jedes Unternehmen ab zehn Mitarbeitern sieht das deutsche Anpassungsgesetz allerdings weiterhin zwingend einen Datenschutzbeauftragten vor.

6 Praxis-Tipps für das Umsetzen der neuen DSGVO

  1. Projektteams bilden. „Neben den Mitarbeitern, die mit Datenschutz im Unternehmen zu tun haben, sollten auch Vertreter von IT, Recht, Revision und Compliance beteiligt sein“, rät Tim Wybitul, Datenschutzanwalt und Partner bei Hogan Lovells.
  2. Konkrete Projektziele definieren. Diese müssen vom Management abgesegnet werden.
  3. Ein angemessenes Budget einplanen. Da die Einführung der DSGVO ein Projekt von erheblicher Tragweite ist, sollte es auch mit entsprechenden finanziellen Mitteln ausgestattet sein. Beim Kalkulieren sollten Unternehmen auch an die drohenden Bußgelder denken.
  4. Eine gründliche Risikoanalyse der Datenverarbeitung erstellen. Risiken lassen sich nach ihrer Eintrittswahrscheinlichkeit und dem Ausmaß der negativen Folgen bewerten. Anschließend können die Möglichkeiten zur Risikovermeidung oder -verringerung geprüft werden.
  5. Den Ist-Zustand mit dem Soll-Zustand abgleichen. Bei der Gap-Analyse folgen auf die Bestandsaufnahme Überlegungen zur Umsetzung des neuen Rechts. Dabei muss das Rad nicht neu erfunden werden: Unternehmen können auf bestehende Strukturen aufbauen.
  6. Mitarbeiter schulen. Die Belegschaft sollte auf das neue EU-Recht vorbereitet werden. Die DSGVO sieht ausdrücklich die „Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter“ vor. Bildungsanbieter wie die TÜV Nord Akademie bieten entsprechende Seminare an. hei