Zeit, sich aus der Ruhe bringen zu lassen
Dr. Philipp Kramer
Chefredakteur
Datenschutz-Berater
Unternehmen unterschätzen den Umsetzungsbedarf aus der Datenschutz-Grundverordnung (DSGVO). Die DSGVO ist längst in Kraft (wenn auch noch nicht wirksam) und wir Datenschutzbeauftragte sind uns dessen bewusst. Am 25.05.2018 soll die Umsetzung erfolgt sein. Zwei Jahre hatten die Unternehmen insgesamt Zeit – davon verbleiben jetzt noch 10 Monate. Das ist wenig, wenn man bedenkt, dass vor der Umsetzung eine Datenschutz-Bestandsaufnahme nötig ist. Die Neuheit der Regelungen, ihr hoher Abstraktionsgrad und die vielerorts bestehende Unsicherheit führen teilweise zu einer „Wird-schon-schiefgehen“-, „Man-kann-ja-nicht-allesauf-einmal-umstellen“- oder „Im-Zweifel-ist-alles-irgendwie-erlaubt“-Haltung. Natürlich bedeuten die Neuformulierungen in der DGSVO und im BDSG 2018 nicht, dass das Datenschutzmanagement komplett auf den Kopf zu stellen ist. Vieles ändert sich nicht, doch einiges eben schon. Das betrifft insbesondere die Dokumentationspflichten. Unternehmen müssen umfangreicher nachweisen können, dass sie datenschutzkonform arbeiten und das auch auflisten. Man muss sich überlegen, wie man so informiert, dass die Information als nützlich und nicht als irritierend wahrgenommen wird. Da helfen Pilotprojekte, um Erfahrungen zu sammeln. Doch das kostet Zeit. Folgende Schritte sind zu unternehmen:
-
Ermitteln, welche Verarbeitungen personenbezogener Daten im Unternehmen gerade erfolgen. Dabei kann auf ein bestehendes Verfahrensverzeichnis zurückgegriffen werden. Nach Art. 30 DSGVO ist es übrigens leicht erweitert als Verarbeitungsverzeichnis fortzuführen.
-
Soll-Ermittlung: Bestimmen, was DSGVO und BDSG 2018 vom Unternehmen verlangen und dies praktisch handhabbar machen.
-
Maßnahmenplan für Defizite und notwendige Handlungen schreiben (Action Memo).
-
Verantwortliche für die Umsetzung ausmachen und im Action Memo eintragen.
-
Maßnahmenplan von der Geschäftsleitung freigeben lassen.
-
Vor dem 25.05.2018 Umsetzungsstand prüfen und der Geschäftsleitung mitteilen.
Ihr
Dr. Philipp Kramer