DSGVO: Der IST-Zustand entscheidet über die zu treffenden Maßnahmen

Viele von ihnen haben weder ausreichende Maßnahmen zum Schutz personenbezogener Daten umgesetzt, noch Rechtstexte neu geplant oder aufgesetzt, geschweige denn eine leistungsstarke Software implementiert, mit denen sie ihren Rechenschafts- und Nachweispflichten auf Knopfdruck nachkommen können.

„Vielen Organisationen ist zwar klar, dass es Neuigkeiten im Bereich Datenschutz gibt. Die wenigsten jedoch wissen, was sie jetzt genau tun können oder müssen. Dabei sollten sich Unternehmen zunächst einmal einen Überblick verschaffen. Denn um ein ganzheitliches Datenschutzmanagement, wie per Gesetz gefordert, zu schaffen, muss der Gesetzestext zur EU-DSGVO mit dem Ist-Zustand in der Organisation abgeglichen werden. Hierfür werden sämtliche datenschutzrelevante Verfahren zunächst dokumentiert. Wer das nicht allein kann oder schafft, sollte sich Hilfe von einem zertifizierten Beratungsunternehmen holen“, rät Christian Heutger, Geschäftsführer der PSW GROUP.



Aus der Dokumentation ergeben sich Stärken und Schwächen im Datenschutz. Die Sicherheitslücken und Risiken werden anschließend technischen und organisatorischen Maßnahmen zugeordnet, um auf diese Weise die Risiken zu minimieren. „Nächster Schritt ist die Prüfung sämtlicher Rechtstexte wie Datenschutzerklärung, AGB sowie bestehender Verträge auf Rechtssicherheit. Bußgeldmindernde Zertifizierungen schaffen einen rechtssicheren Workflow und erleichtern den Start in die EU-DSGVO wesentlich“, so der IT-Sicherheitsexperte weiter.



Unternehmen, die für ihre Büro-Arbeiten auf gängige Office-Anwendungen setzen, sollten ihre Wahl zudem überdenken. Denn mit diesen Office-Anwendungen werden Informationen an mehreren Stellen im Unternehmen gepflegt, anstatt eine zentrale Basis zu schaffen. Informationen sind somit schon nach kurzer Zeit nicht mehr aktuell. „Wer mit der Datenschutz-Dokumentation beginnt, sollte eine Software-Lösung wählen, die dieses Problem klärt. Ideal ist eine Software, die die Vorgehensweisen selbst dokumentiert und die ohne großen Berateraufwand von den verschiedenen Mitarbeitern im Unternehmen bedient werden kann“, rät Christian Heutger.



Die EU-DSGVO verlangt Unternehmen reichlich technisch-organisatorische Maßnahmen ab. Dazu gehören Risikoanalysen genauso wie Dokumentationen, die den bisherigen Aufwand deutlich übersteigen. Zudem benötigen Unternehmen ein Notfall-Management. „All die getroffenen Maßnahmen müssen aber auch wirksam sein. Idealerweise streben Organisation deshalb die Einführung eines Information Security Management Systems zur Aufstellung von Verfahren und Regeln an“, fasst Heutger noch einmal zusammen.