Kommt Zeit, kommt Rat? Geht es um die neue EU-Datenschutz-Grundverordnung „zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten“ (DS-GVO), sollten Unternehmen besser nichts dem Zufall überlassen. Die neue Gesetzgebung ist bereits am 25.05.2016 in Kraft getreten. Doch wiegt die ‚Schonfrist‘ bis zum 25.05.2018 viele noch in Sicherheit. Das könnte dramatische Folgen haben. Denn sind die umfangreichen Vorgaben zum Stichtag nicht komplett erfüllt, muss mit hohen Strafen gerechnet werden. Orientiert am europäischen Kartell- und Umweltrecht sieht der Bußgeld-Katalog Strafen vor, die bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens betragen. Der zusätzliche Schaden für das Image trifft die Unternehmen doppelt hart.

„Die neue DS-GVO bringt steigende Dokumentationspflichten zum Nachweis der datenschutzkonformen Arbeit mit sich“, erläutert Markus Weber, Datenschutzexperte und Geschäftsführer der Dokuworks GmbH in Siegen. „Hinzu kommt auch, dass ein betrieblicher Datenschutzbeauftragter gestellt werden muss. Er wird sehr aktiv agieren müssen und mit erweiterten Kompetenzen neue Aufgaben und Rollen erhalten.“ Diese Vorgaben gelten für jedes Unternehmen, das personenbezogene Daten verarbeitet und in dem mindestens zehn Mitarbeiter mit elektronischer Datenverarbeitung zu tun haben.

Die Datenschutz-Fallen liegen in alltäglichen Details, wenn etwa die Kopie des Personalausweises eines Mitarbeiters erstellt wird. Hier müssen dann laut neuer EU-Datenschutz-Grundverordnung alle Angaben, die für die Verwendung irrelevant sind, geschwärzt werden. Ein weiteres Beispiel: Versenden Unternehmen Newsletter, müssen sie sich hier auf eine Einschränkung der Abfrage personenbezogener Pflichtangaben einstellen.

Auch bei der Suche nach einem Datenschutzbeauftragten gibt es einige Hürden, denn er ist zukünftig Mentor, Berater und Kontrolleur und arbeitet eng mit der Aufsichtsbehörde zusammen. Er muss dafür Kompetenzen im Datenschutzrecht, in der Informations- und Kommunikationstechnologie und Betriebswirtschaft mitbringen. Hinzu kommen persönliche Merkmale wie Integrität, Beratungsfähigkeiten und Durchsetzungsvermögen.

Es gibt also viel zu tun und die verbleibende Zeit sollte jetzt genutzt werden, um sich vorzubereiten, rät Markus Weber: „Die Maßnahmen müssen zum Unternehmen passen. Da muss also zu Beginn erst einmal der Status quo ermittelt werden. Als Experten stehen wir natürlich auch gerne als externer Datenschutzbeauftragter zur Verfügung oder als Mentoren zur Seite. Manchmal macht es aber auch mehr Sinn, über unsere Inhouse-Schulung gleich mehrere Mitarbeiter zu internen Datenschutzbeauftragten auszubilden. Das gibt bei Personalausfällen Sicherheit in puncto Datenschutzerfüllung und die Kosten für die Weiterbildung werden durch mehrere Teilnehmer reduziert.“ Im Zuge der Schulung (ab 4 Tagen) wird auch gleich ein 100-Tage-Plan erarbeitet, sodass die frischgebackenen Datenschutzbeauftragten nicht mit leeren Händen dastehen, sondern sofort anpacken können. Und auch die Geschäftsführung wird mit ins Boot geholt.

In Anbetracht des sehr komplexen und fachspezifischen Themas ist es sinnvoll, eine persönliche Experten-Meinung einzuholen, um die verbleibende Zeit bis zum Stichtag effektiv nutzen zu können. Schritt für Schritt geht es dann an die Umsetzung. Zunächst wird gründlich analysiert – beispielsweise, welche Verarbeitung personenbezogener Daten gerade im Unternehmen erfolgt. Dieser Überblick liefert dann Optionen für Lösungen, um die strikten Vorgaben zu erfüllen. Ermittelt werden muss auch, was die DS-GVO und das Bundesdatenschutzgesetz 2018 vom Unternehmen genau fordern. Ein kompetenter Datenschutzbeauftragter spielt hierbei eine entscheidende Rolle.

Im Anschluss an die Analyse folgt das Erstellen eines sogenannten Action Memos mit Defizit-Überblick und entsprechenden Handlungsmaßnahmen. Verantwortliche für die Umsetzung werden ausgemacht und ebenfalls im Action Memo festgehalten.

Nachdem der Maßnahmenplan von der Geschäftsleitung geprüft und freigegeben wurde, geht es an die Umsetzung. Der Stand der Dinge sollte dabei natürlich immer im Auge behalten werden, damit garantiert alle Vorgaben erfüllt sind.

Fragen rund um das Thema der neuen DS-GVO und wie man den umfangreichen Anforderungen begegnet, beantwortet Markus Weber von Dokuworks per E-Mail unter info@doku.works oder telefonisch unter 0271 77237-10.