Umsetzung der DSGVO – So verschaffen Sie sich als Geschäftsführer, Vorstand oder Aufsichtsrat Sicherheit

veröffentlicht am 7. Februar 2018

Der Datenschutz wird durch die Datenschutz-Grundverordnung (DSGVO) aus dem Mauerblümchen-Dasein katapultiert und fordert neben rechtlichen zunehmend auch organisatorische und technische Fähigkeiten von allen Beteiligten. Insbesondere bedarf es für den Nachweis eines wirksamen Datenschutzes einer guten Datenschutzmanagementorganisation. Verschaffen Sie sich als Verantwortlicher Sicherheit, ob Ihr Unternehmen den Anforderungen gerecht wird.

Der Datenschutz und das dazugehörige Management ist ein System, das für alle Beteiligten eine Herausforderung darstellen kann. Neben rechtlichen Anforderungen sind erhebliche organisatorische und funktionale Sachverhalte zu bewältigen. Unternehmen sind gefordert, ihre personenbezogenen Daten datenschutzkonform zu verarbeiten. Sie müssen die Betroffenenrechte einhalten, sich bei Datenschutzverletzungen anforderungsgerecht verhalten und noch vieles mehr.

Für die Verantwortlichen in einem Unternehmen kann sich bei der Komplexität des Themas schon die Frage stellen, ob die eigene Organisation auf dem richtigen Weg ist und bei der Umsetzung der gesetzlichen Anforderungen auch rechtzeitig ankommt. Hierzu ist eine Art „laufende Positionsbestimmung” mit Hinweisen auf Handlungsbedarf sinnvoll.

Vom Assessment…

Für den Einstieg in die Umsetzung der DSGVO empfehlen wir ein erstes Assessment, das den Status Quo erfasst, den Handlungsbedarf erkennen lässt und sich auf folgende Themengebiete bezieht:

Umfeld, Aufbauorganisation (Governance, Datenschutzbeauftragter);
datenschutzkonforme Verarbeitung (z.B. Zweck, Rechtmäßigkeit, Verzeichnis der Verarbeitungstätigkeiten);
Betroffenenrechte;
Meldung von Datenschutzverletzungen;
Privacy by Default/Design;
Analyse und Bewertung datenschutzrechtlicher Risiken;
technische und organisatorische Maßnahmen (Verschlüsselung, Pseudonymisierung, Vertraulichkeit, Integrität, Belastbarkeit, Verfügbarkeit, Überwachung, Stand der Technik/Wirksamkeit)
Löschen von Daten/Datenportabilität;
Übermittlung/Offenlegung;
Sensibilisierung/Information und Kommunikation;
Nachweis- und Rechenschaftspflichten.

…über den Handlungsbedarf…

Nach einem solchen Assessment bietet es sich an, die Abarbeitung der Handlungsbedarfe laufend im Sinne einer „Positionsbestimmung” zu verfolgen. Sind alle Maßnahmen umgesetzt, kann das Assessment wiederholt werden und schließlich ein Wirtschaftsprüfer mit einer Prüfung beauftragt werden.

…zur Prüfung durch den Wirtschaftsprüfer

Die Datenschutz-Grundverordnung, die zugehörigen Erwägungsgründe sowie die nationalen Gesetze (z.B. in Deutschland die Neufassung des Bundesdatenschutzgesetzes) liefern eine belastbare Ausgangslage, um den in einem Unternehmen vorgefundenen Ist-Zustand zu beurteilen. Der vor Kurzem veröffentlichte Entwurf eines „IDW Prüfungsstandards: IT-Prüfung außerhalb der Abschlussprüfung” (IDW EPS 860) bietet eine gute Grundlage für die Durchführung einer solchen Prüfung mit entsprechender Berichterstattung in Form eines Prüfungsvermerks oder Prüfungsberichts. Sie beinhaltet einen bedeutenden Vorteil für das Unternehmen, denn

das Management kann sich ggf. entlasten,
die Geschäftspartner können informiert und überzeugt werden,
die Kunden können sich im Falle einer Auftragsverarbeitung von der Datenschutzkonformität überzeugen und
das Image des Unternehmens wird durch den eigenen Datenschutz weiter verbessert.

Aus einer Kombination von Assessment, Projektbegleitung und Prüfung durch den Wirtschaftsprüfer kann das Unternehmen einen bedeutenden Mehrwert generieren: einen Nachweis über eine wirksame Datenschutzmanagementorganisation.

Bitte beachten Sie:

Führen Sie frühzeitig ein Assessment zum Stand der Umsetzung der DSGVO durch.
Informieren Sie sich laufend über die Abarbeitung des Handlungsbedarfs.
Schließen Sie mit der Prüfung durch einen Wirtschaftsprüfer ab, bei der Sie eine Berichterstattung erhalten, die für das Unternehmen und ggf. dessen Geschäftspartner Nutzen stiften kann.