DSGVO-Implementierung mit „Gap Analysis“

 

Zur Feststellung des datenschutzrechtlichen Handlungsbedarfs eines Unternehmens sollten zuerst rechtliche, organisatorische und IT-technische „Lückenanalysen“ durchgeführt werden. Dabei wäre die gegenwärtige Datenschutz-Compliance mit den Anforderungen der DSGVO abzustimmen. Hierbei sollte auch eine mögliche Non-Compliance im Hinblick auf die bereits bestehenden Vorgaben der europäischen Datenschutzrichtlinie 95/46/EG identifiziert werden.

Der nächste Schritt besteht in einer Risikoanalyse, mit bereichsübergreifenden und daher für Entscheidungsträger sehr relevanten kaufmännischen Bewertung von juristischen, technischen und organisatorischen Risiken in einer Zusammenschau. Unbedingt betrachtet werden müssen in dieser Phase auch die Risiken der persönlichen Haftung und in welchen denkbaren Schadensfällen diese wie schlagend werden könnten.

 

Projektsteuerung und Ressourcen-/Budgetplanung

Das Unternehmen muss die notwendigen Ressourcen zur Verfügung stellen. Die Budgetplanung sollte insbesondere interne Ressourcen, wie für die Umsetzung benötigtes internes Personal, rechtlichen Beratungsaufwand sowie IT-Kosten (z.B. für unterstützende Software; IT-Überprüfungen etc.) berücksichtigen.

Die Kosten eines DSGVO-Projekts können als Investition („Einzahlung“) in eine „Datenschutzrisiko-Versicherung“ verstanden werden.

Wie die betriebliche Praxis zeigt, sind zu Jahresende 2017 die wenigsten Organisationen auf die immerhin bereits seit April 2016 bekannten DSGVO-Anforderungen weder inhaltlich noch personell vorbereitet! Die erforderlichen Ressourcen können zweckmäßigerweise nur durch die Zusammenarbeit mit dafür qualifizierten externen Partnern (wie Rechtsanwälten, Unternehmensberatern, IT-Consultants) rasch und ergebnisorientiert beschafft werden. DSGVO-Schulungen und Kurse sind überbucht.

Zwei Gründe sprechen vor allem dagegen zu glauben, sich in dieser Situation, wie der berühmte Baron Münchhausen „am eigenen Schopf aus dem Schlamm ziehen“ zu können:

  • Die Materie ist schlichtweg zu komplex, um sie in wenigen Tagen zu erlernen.
  • Die möglichen operativen und strategischen Schäden sowie die umfassenden Haftungsrisiken sind zu massiv, um sie „auf die leichte Schulter“ zu nehmen.

 

Im Überblick: Umsetzung einer Datenschutz-Struktur

Die DSGVO enthält eine Reihe zusätzlicher wesentlicher Anforderungen im Verhältnis zum bisher geltenden Recht:

Stärkere Rechte der betroffenen Personen (z.B. auf Information, Auskunft und Berichtigung/Löschung; das Recht auf Datenübertragbarkeit; das Recht auf Widerspruch gegen bestimmte Datenverarbeitungstätigkeiten; das „Recht auf Vergessenwerden“ – die Verpflichtung der Verantwortlichen, Auskunfts- oder Löschanträge an dritte Datenempfänger weiterzuleiten; strengere Anforderungen an Einwilligungserklärungen etc.).

  1. Strengere organisatorische Anforderungen (z.B. die Verpflichtung, ein Verfahrensverzeichnis von internen Datenverarbeitungstätigkeiten zu erstellen und fortan zu führen; die Notwendigkeit, in verschiedenen Fällen eine Datenschutz-Folgenabschätzung durchzuführen ggf. und einen Datenschutzbeauftragten zu ernennen; Datenschutz durch Technik („privacy by design“) und Datenschutz durch datenschutzrechtliche Voreinstellungen („privacy by default“); die Verpflichtung zur Verknüpfung personenbezogener Daten mit dem Zweck ihrer Erhebung und der Ermächtigungsgrundlage für ihre Verarbeitung; die Dokumentation von Datenübermittlungen; Erstellung diverser Löschungskonzepte etc.).
  2.  

  3. Strengere Meldepflichten (z.B. die Verpflichtung, im Falle einer Verletzung des Schutzes personenbezogener Daten binnen 72 Stunden die Datenschutzbehörde sowie ggf. die betroffenen Personen zu informieren).
  4.  

  5. Höhere Cyber-Sicherheitsanforderungen an die IT
  6.  

  7. Strengere vertragliche Anforderungen (mit externen Service-Providern, Auftragsverarbeitern und unter Umständen auch innerhalb der Unternehmensgruppe).

Um allen neuen Verpflichtungen nachzukommen, von denen massive kaufmännische Risiken ausgehen können, muss das Unternehmen eine robustere Datenschutzstruktur einführen.

Dieser Blog ist der dritte Auszug von fünf aus einem Whitepaper von RA Mag. Andreas Schütz LL.M., Rechtsanwaltssozietät Taylor Wessing, 1030 Wien, Schwarzenbergplatz 7 und Dr. Lambert Gneisz MAS, CMC, SV im Dezember 2017. Das vollständige Whitepaper können Sie hier anfordern: post@DSGVO-Performer.com