Daten­schutz im Grunde in Ord­nung: Ist Ihr Unter­neh­men DSGVO-Ready?

Da ist sie also end­lich: Die EU-Daten­schutz­grund­ver­ord­nung. Kurz­form: DSGVO. Damit ver­fügt die EU nun län­der­über­grei­fend über einen ein­heit­li­chen Daten­schutz. Zumin­dest in der Theo­rie, denn viele Betriebe sind noch nicht DSGVO-Ready. „Wir aktua­li­sie­ren unsere Daten­schutz­er­klä­rung“, „Ände­run­gen der Daten­schutz­richt­li­nie“, „Wir bit­ten Sie um Ihre Zustim­mung“ … Mit Betreff­zei­len wie die­sen bom­bar­dier­ten viele Unter­neh­men ihre Kun­den und Geschäfts­part­ner in den ver­gan­ge­nen Wochen. Auch wenn der eine oder andere über die Flut an Mails genervt war, war diese Maß­nahme not­wen­dig. Längst nicht jedes Unter­neh­men hat sämt­li­che Anpas­sun­gen durch­ge­führt, um in puncto Daten­schutz recht­zei­tig com­pli­ant zu sein. Erstaun­lich aller­dings, dass nur die wenigs­ten Unter­neh­men die neuen Anfor­de­run­gen ein paar Tage vor dem Stich­tag umge­setzt hat­ten und ent­spre­chend dar­über infor­mier­ten.

DSGVO noch nicht flä­chen­de­ckend umgesetzt

Auch wenn jetzt die Daten­schutz­er­klä­rung und die AGB moder­ni­siert im Netz zu fin­den sind, müs­sen nach Ein­schät­zung von Exper­ten viel­fach noch grund­le­gende „Haus­auf­ga­ben“ gemacht wer­den. Nicht sel­ten sind selbst simple Anfor­de­run­gen längst nicht über­all geset­zes­kon­form umge­setzt: Das ist etwa dann der Fall, wenn PC-Pass­wör­ter feh­len oder der Hin­weis auf das (nicht aus­rei­chende) Pass­wort „12345“ auch noch unter der Schreib­tisch­un­ter­lage auf­find­bar ist. Neben einer man­gel­haf­ten Authen­ti­fi­zie­rung über­se­hen viele Unter­neh­men auch klas­si­sche Risi­ken, wie sie etwa durch die unsach­ge­mäße Ver­wen­dung eines Eta­gen­dru­ckers bestehen: Kön­nen auf das Gerät theo­re­tisch alle Mit­ar­bei­ter zugrei­fen, dür­fen hier bei­spiels­weise nicht ohne wei­tere Vor­keh­run­gen sen­si­ble Schrift­stü­cke der Per­so­nal­ab­tei­lung aus­ge­druckt wer­den. Viel wäre häu­fig schon gewon­nen, wenn Pass­wör­ter gesetzt wür­den und nicht die Stan­dard­ein­stel­lun­gen seit der Inbe­trieb­nahme unver­än­dert ver­wen­det wür­den.

Trans­pa­renz in Pro­zes­sen schaffen

Doch wie beginnt man sys­te­ma­tisch damit, sein Unter­neh­men so aus­zu­rich­ten, dass es künf­tig mit Behör­den oder Anwäl­ten kei­nen Ärger gibt? Fast ein­hel­lig emp­feh­len Fach­leute, bei der Doku­men­ta­tion der Pro­zesse zu begin­nen. Denn erst, wenn interne Abläufe trans­pa­rent sind, kann man genau fest­stel­len, was bereits com­pli­ant ist und wo even­tu­ell noch nach­ge­bes­sert wer­den muss. Kern­fra­gen, die geklärt wer­den soll­ten: Wo wer­den im Unter­neh­men Daten ver­ar­bei­tet? Wie wer­den Daten gespei­chert? Wie lange und an wel­chem Ort wer­den Daten gespei­chert? Wer darf auf die gespei­cher­ten Daten zugrei­fen? Und nicht zuletzt: Ent­spricht diese Vor­ge­hens­weise den neuen recht­li­chen Rah­men­be­din­gun­gen? Um die Trans­pa­renz zu ver­bes­sern, sind zuvor­derst die ein­zel­nen Fach­ab­tei­lun­gen gefragt. Sie haben einen genauen Über­blick über ein­zelne Arbeits­ab­läufe und kön­nen den übli­chen Work­flow am bes­ten beschrei­ben. Ver­mes­sen wäre es jedoch, die Umset­zung der DSGVO pri­mär an Abtei­lungs­lei­ter zu dele­gie­ren. Das wäre in etwa so, wie einen ein­zel­nen Loko­mo­tiv­füh­rer für den Betrieb eines Groß­stadt­bahn­hofs ver­ant­wort­lich zu machen.

Externe Unter­stüt­zung meist notwendig

Gerade mit­tel­stän­di­schen Unter­neh­men sollte bewusst sein, dass die kom­ple­xen Anfor­de­run­gen der DSGVO meist nicht ohne externe Hilfe umge­setzt wer­den kön­nen. Selbst wenn intern ein erfah­re­ner Infor­ma­ti­ker vor­han­den ist und die­ser alle tech­ni­schen Vor­aus­set­zun­gen eigen­stän­dig umset­zen kann: Es gilt, auch orga­ni­sa­to­ri­sche Abläufe anzu­pas­sen und recht­li­che Fra­gen zu klä­ren. Je nach­dem, wie weit digi­tale Pro­zesse im Unter­neh­men bereits umge­setzt sind, kann die Ein­füh­rung eines Doku­men­ten­ma­nage­ment­sys­tems (DMS) ent­schei­dende Ver­bes­se­run­gen bewir­ken. Dabei las­sen sich DMS-Sys­teme häu­fig so zusam­men­stel­len, dass sie exakt an die Geschäfts­pro­zesse des Unter­neh­mens anschlie­ßen. Infor­ma­tio­nen wer­den schnel­ler und geziel­ter auf­ruf­bar. Gesetz­li­che Vor­schrif­ten wer­den ein­ge­hal­ten und ver­ein­barte Com­pli­ance-Anfor­de­run­gen umge­setzt. Durch ver­bes­serte Con­trol­ling-Mög­lich­kei­ten nimmt die Trans­pa­renz zu. Gleich­zei­tig ver­bes­sert sich die Doku­men­ten­si­cher­heit, und die Risi­ken des Doku­men­ten­ver­lus­tes sin­ken.

Bit­kom: Viele Unter­neh­men noch nicht DSGVO-Ready

Bit­kom-Prä­si­dent Achim Berg zum Sta­tus der DSGVO im Mittelstand

Daten­schutz durch DMS

Doch ganz gleich, wie die nächs­ten Schritte kon­kret aus­se­hen: Die Auf­re­gung der letz­ten Wochen um neue Daten­schutz­er­klä­run­gen soll­ten Unter­neh­men nut­zen, um noch ein­mal alle bereits umge­setz­ten Maß­nah­men zu prü­fen und wei­tere Schritte ein­zu­lei­ten. Um bald­mög­lichst alle Com­pli­ance-Anfor­de­run­gen zu erfül­len, müs­sen sich Manage­ment, EDV- und Rechts­be­ra­ter an einen Tisch set­zen und sich unter­ein­an­der abstim­men. Wei­tere Infor­ma­tio­nen fin­den Sie auch in unse­rem E‑Book “Rechts­kon­form dank DMS: Wie kleine und mitt­lere Unter­neh­men die DSGVO umsetzen”.