EU-DSGVO betrifft viele Unternehmensbereiche / Datenschutz-Check ermittelt den Ist-Zustand / Handlungsfelder priorisiert angehen
In einer nicht repräsentativen Online-Umfrage von TÜV Rheinland gaben 22,5 Prozent der Teilnehmer an, sich gut für die Erfüllung der ab 25. Mai 2018 geltenden EU-Datenschutz-Grundverordnung (EU-DSGVO) gerüstet zu sehen. Dem gegenüber stehen rund 24 Prozent der 568 teilnehmenden Unternehmen, die sich noch nicht mit der Thematik befasst haben. Aufgrund der umfassenden Anforderungen der neuen Regelung und der Forderung des Gesetzgebers, Datenschutzrisiken erstmals aus Sicht der Betroffenen zu bewerten, ist es für diese Unternehmen wichtig, umgehend mit der Vorbereitung und der Umsetzung zu beginnen. Grundlegende Fragen zum Thema beantwortet der Datenschutzexperte Harald RieboId im kostenlosen Webinar von TÜV Rheinland am 21. März um 16:30 Uhr: Was sind die Kernpunkte der neuen Verordnung? Was müssen Unternehmen tun? Welche Änderungen sind für sie relevant? Wie können die neuen Herausforderungen praxisorientiert bewältigt werden? Interessenten können sich hier zum Webinar anmelden oder unter www.tuv.com/webinar-dsgvo.
Viele Unternehmensbereiche sind betroffen
Die Verarbeitung personenbezogener Daten erfolgt in allen Unternehmensformen und verschiedenen Unternehmensbereichen: im Vertrieb bei der Erfassung und Speicherung von Kundendaten, im Marketing bei der Ansprache von Kunden, auf der Website oder den genutzten Social Media-Kanälen sowie in der Personalabteilung. Entsprechend vielfältig sind die Vorgänge, die auf ihre Rechtskonformität geprüft und gegebenenfalls angepasst werden müssen.
Der erste Schritt bei der Umsetzung der EU-DSGVO ist eine umfassende Analyse aller Datenverarbeitungsvorgänge im Unternehmen beispielsweise mit Hilfe des Datenschutz-Checks von TÜV Rheinland. Mögliche Fragen zur Ermittlung des Ist-Zustands sind: Welche Daten werden wo, wie, wofür und durch wen verarbeitet? Welche Maßnahmen zum Datenschutz sind an den betroffenen Stellen bereits getroffen? Findet eine Datenverarbeitung in der Form statt, dass Daten, beispielsweise zur Zahlungsabwicklung im Online-Shop, an Dritte übermittelt werden? Entsprechen die Verträge mit Dritten den Vorgaben der EU-DSGVO? In wieweit sind alle diese Vorgänge dokumentiert?
Umfangreiche Dokumentationspflicht
Die Frage nach der Dokumentation gewinnt ab dem ersten Geltungstag der neuen Regelung an Bedeutung: Die EU-DSGVO verpflichtet Unternehmen dazu zu belegen, dass die Verarbeitung personenbezogener Daten rechtskonform erfolgt. Möglich ist dieser Nachweis nur durch eine umfassende Dokumentation aller betroffenen Prozesse im Unternehmen. Mittlere und große Unternehmen können diese Verpflichtung vor allem durch die Einführung oder die Anpassung eines vorhandenen Datenschutzmanagementsystems erfüllen.
Hilfe bei der Umsetzung: Maßnahmen priorisieren
Verstöße gegen die neue Verordnung können mit einem Bußgeld belegt werden, das bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes betragen kann. Da zur Umsetzung der neuen Regelung nur noch wenige Wochen Zeit bleibt, müssen bei der Abfolge der Maßnahmen Prioritäten gesetzt werden. Entscheidungshilfe bietet dabei die Frage: Wo klaffen die größten Lücken und welche Folgen können sich daraus für das Unternehmen ergeben? Der Abgleich zwischen dem ermittelten Ist-Zustand und den zu erfüllenden Vorgaben ermöglicht es dabei, den Handlungsbedarf im Unternehmen zu ermitteln.
Schon die ersten Schritte auf dem Weg zur Erfüllung der EU-DSGVO setzen umfassende Kenntnisse der neuen Verordnung voraus. Sie erfordern darüber hinaus Erfahrung in der Umsetzung von Managementprozessen sowie das Verständnis von Informationssicherheitstechnologien. Sind dieses Wissen und personelle Ressourcen nicht vorhanden, können externe Berater, beispielsweise von TÜV Rheinland, Unternehmen umfassend bei der Vorbereitung und Umsetzung der EU-DSGVO unterstützen. Dabei haben die Berater sowohl die Erfordernisse des neuen Gesetzes als auch die Interessen des Unternehmens im Blick. Vor allem für kleine und mittlere Unternehmen ist die Bestellung eines externen Datenschutzbeauftragten interessant: Sie können auf umfangreiches Fachwissen zurückgreifen ohne interne Kapazitäten für diese Aufgaben zu binden.
Sind alle Vorgaben der EU-DSGVO erfüllt, schaffen Unternehmen mit dem TÜV-Siegel „geprüfter Datenschutz“ Vertrauen bei ihren Kunden – nicht nur für Unternehmen der Auftragsdatenverarbeitung ein wertvoller Wettbewerbsvorteil.
Weitere Informationen unter www.tuv.com/dsgvo bei TÜV Rheinland.
Firmenkontakt und Herausgeber der Meldung:
TÜV Rheinland
Am Grauen Stein
51105 Köln
Telefon: +49 (221) 806-2148
Telefax: +49 (221) 806-1567
http://www.tuv.com
Ansprechpartner:
Jörg Meyer zu Altenschildesche
+49 (221) 806-2255
Dateianlagen: