Der DSGVO-Stichtag ist da,
die Welt ist nicht untergegangen – und nun?
Es ist soweit, der Umsetzungs-Stichtag der DSGVO ist da – die Unsicherheit und Ratlosigkeit mit Blick auf die Vorgaben und Regelungen sind jedoch längst nicht verschwunden. Viele mittelständische Unternehmen beginnen erst jetzt zu realisieren, was die DSGVO für sie bedeuten könnte. Eine einfache Methode zur Umsetzung der Vorschriften gab es lange Zeit nicht, da die Thematik erst einmal zur Gänze durchdrungen werden musste. Wir haben gemeinsam mit unserem externen Datenschutzbeauftragen jedoch genau eine solche Methodik entwickelt und bereits im Rahmen unserer eigenen DSGVO-Konformität erprobt. Um der zunehmenden Panikmache entgegenzuwirken und den Glauben an eine Welt nach dem Stichtag zu festigen, wollen wir basierend auf ein paar Fragen anreißen, wie die DSGVO so schlank und effizient wie möglich umgesetzt werden kann.
Was sorgt mit Blick auf die Umsetzung der Vorschriften der DSGVO für die meiste Ratlosigkeit und Panik?
Die größte Herausforderung mit Blick auf die DSGVO ist die Komplexität und Fremdartigkeit des Themas. Sie gibt „Laien“, also gefühlt jedem, der keine Doktorarbeit zu dem Thema verfasst hat, nur wenige Punkte zum wirklichen „Anpacken“. Zudem fehlt ein klarer Umsetzungs-Leitfaden. Das, was wirklich wichtig und relevant ist, ist für viele schwer herauszufiltern. Aus Angst vor den hohen Strafen werden daher alle Punkte bis in das kleinste Detail versucht zu bearbeiten. Dies führt zu dem Ergebnis, dass alles nur ein bisschen und die wirklich wichtigen Themen nur oberflächlich umgesetzt werden. Die Angst wird zusätzlich durch eine Vielzahl an Profitgierigen gesteigert, die ihre Chance auf das große Geld durch Beratungsleistung und tausend verschiedenen Tools, die angeblich alles besser machen, sehen.
Warum beschäftigen sich so viele mittelständische Unternehmen erst jetzt oder sogar gar nicht mit der Umsetzung der DSGVO-Vorschriften?
Viele Unternehmen glauben, dass sie durch wenig vorhandenen Endkunden-Kontakt nicht betroffen wären. Dabei sind bereits die Daten der eigenen Mitarbeiter besonders zu schützen. Zudem drängt sich der Eindruck auf, dass sich einige in einer Art „Schockstarre“ befinden – ganz nach dem Motto: Besser nichts machen, als etwas falsch zu machen.
Die ahd ist auch ein mittelständisches Unternehmen. Was waren die größten Herausforderungen der ahd hinsichtlich der Umsetzung der DSGVO?
Eine Herausforderung bestand ganz klar darin, das eigene Verständnis für die Datenverarbeitung allumfassend zu schärfen und zu dokumentieren. Die Frage, um die sich hier alles dreht, ist folgende: Wo und wann genau werden eigentlich personenbezogene Daten verarbeitet? Wir haben zwar nicht bei null angefangen, was jedoch zunächst nach einem Vorteil aussah, stellte sich als neue Herausforderung heraus. Schließlich müssen bereits bestehende Sicherheitsmaßnahmen sowie Prozesse zur Datenverarbeitung mit Blick auf die Anforderungen der DSGVO angepasst und bereits etablierte Verfahren identifiziert werden. So schlug der anfängliche Triumph, bereits eine Basis geschaffen zu haben, in eine leichte Resignation um. Und dennoch gab es nur einen Weg für uns: einmal quer durch unser heiß und innig geliebtes DSGVO-Regelwerk.
Welche Methodik nutzt die ahd zur Umsetzung der DSGVO?
Die ahd arbeitet mit Hilfe eines Konzepts, das sich aus einer fixen Zahl an Einzelmaßnahmen zusammensetzt. Diese werden einzeln bearbeitet und nach einem festgelegten Muster analysiert, bewertet und dokumentiert. Das Ganze unterliegt einem Zyklus mit mehreren Schritten – so können einzelne Punkte planmäßig abgearbeitet und die ergriffenen Maßnahmen regelmäßig überprüft werden.
Auf welchen Überlegungen fußt diese Methodik?
Es ist allgemein wichtig, die DSGVO nicht als ein reines Gesetz, sondern vielmehr als ein Compliance-Management-Regelwerk zu betrachten. Zudem obliegen der Methodik zwei grundlegende Herangehensweisen:
1) Es werden die Risiken der zu verarbeitenden personenbezogenen Daten und der ihnen zugrunde liegenden Prozesse methodisch analysiert und schlussendlich bewertet. Man spricht hier von einem „risikobasiertem Ansatz“.
2) Auf der anderen Seite folgt aus der Bewertung der Risiken die Ableitung von etwaigen Maßnahmen. Diese sollten angemessen und auf das jeweilige Risiko abgestimmt sein. Hier arbeitet man nach dem „Verhältnismäßigkeitsprinzip“.
Können andere Unternehmen diese Methodik auch nutzen?
Das ist sehr gut möglich! Die genannte Methodik ist gerade für kleine und mittelständische Unternehmen, die noch kein allzu großes Know-how im Bereich des Datenschutzes aufweisen, attraktiv. Das konzeptbasierte Arbeiten gibt diesen Unternehmen einen Fahrplan an die Hand, der ihnen nicht nur die Richtung zeigt, sondern auch konkrete Maßnahmen vorschlägt und erläutert.
Wir können in diesem Kontext nicht nur mit der Methodik, sondern auch mit unseren eigenen Erfahrungswerten als mittelständisches Unternehmen sowie proaktiv mit Lösungsvorschlägen rund um das Thema Datenschutz und DSGVO unterstützen.
Zum Schluss ein kleiner Ausblick: Wie wird sich die DSGVO-Thematik nach dem Stichtag weiterentwickeln?
Was wirklich passieren wird, kann keiner sagen. Auch, wenn manche Glaskugel-Gucker dies von sich behaupten, wie die wilden Spekulationen in der Presse und in Internetforen zeigen. Wir gehen aber davon aus, dass die Thematik nicht die übermäßig großen Wellen schlagen wird, die manche prognostiziert haben, gerade hinsichtlich der Strafen. Wir können Sie also beruhigen: Die Welt wird nicht untergehen! Wer bisher nicht mutwillig gegen den Datenschutz verstoßen hat, dürfte auch jetzt nichts Großes zu befürchten haben. Dennoch bleibt die Tatsache bestehen, dass viele Unternehmen Nacharbeit leisten müssen. Falls nämlich Ungereimtheiten auftreten sollten, muss im Einzelfall der Nachweispflicht nachgekommen werden. Also: Sich als Unternehmen dem Thema überhaupt nicht zu widmen, ist definitiv der falsche Weg.
Sie benötigen Unterstützung bei der Umsetzung der DSGVO? Dann treten Sie jetzt mit uns in Kontakt oder informieren Sie sich zunächst über unsere Leistung auf unserer DSGVO-Seite. Wir unterstützen Sie gerne!