datenschutz.org logo

Ihr Ratgeberportal zum Datenschutz im Internet- und Arbeitsrecht

Datenschutz.org mobile logo

Datenschutzmanagement-Software, die effiziente Hilfe im DSGVO-Dschungel

  • Von alex
  • Veröffentlichungsdatum: 8. Mai 2018
Geschätzte Lesedauer: 6 Minuten

Am 25. Mai 2018 entfaltet die europäische Datenschutzgrundverordnung (EU-DSGVO) offiziell ihre Wirkung. Alle Unternehmen müssen den gesetzlichen Vorgaben nachkommen, da es sonst schnell teuer werden kann. Es drohen verschärfte Sanktionen, für kleine Betriebe können die hohen Bußgelder existenzbedrohend sein. Spätestens jetzt sollte der Datenschutz in Betrieben jeder Größe ernst genommen werden. Wer handelt, minimiert das Risiko für Verstöße und Abstrafungen.

Die Anforderungen der neuen Verordnung gehen teilweise weit über die Vorgaben des BDSG hinaus und stellen die Unternehmen vor große Herausforderungen. Ohne eine Systematik und ein entsprechendes Datenschutzmanagement-System wird es schnell unübersichtlich. Und ständig lauert die Gefahr doch nicht an alles gedacht zu haben. Wer keinen Fachmann engagieren möchte, sollte zumindest den Einsatz professioneller DSGVO-Datenschutzsoftware prüfen.

Die Datenschutzgrundverordnung und die Informationsflut

Online gibt es eine Flut an Daten.
Online gibt es eine Flut an Daten.

Die Trends in den Suchmaschinen zu Begriffen rund um den Datenschutz zeigen deutlich, dass in den letzten Wochen vor Einführung der EU-DSGVO ausgiebig recherchiert wird. Beinahe jedes Branchenmagazin, jeder Verband und jede Vereinigung verfassen einen Artikel mit persönlichen Empfehlungen.

Auch das Angebot an Schulungen, Veranstaltungen und Webinaren zur EU-DSGVO ist enorm. Externe Datenschutzbeauftragte und Auditoren können sich vor Anfragen kaum retten und schulen fleißig alle Mitarbeiter der beauftragten Unternehmen. Denn jeder Mitarbeiter, der mit personenbezogenen Daten arbeitet trägt auch ein Stück der Verantwortung.

Die Datenschutz-Aufsichtsbehörde – der große Schrecken der Unternehmen

Trotz des Informationsangebotes und der großen Nachfrage herrschen in den Unternehmen nach wie vor große Unsicherheiten.

Es wird erwogen, welche der zahlreichen Verpflichtungen aus der Datenschutzgrundverordnung als erste anzugehen sind und wie man mit dem Aufbau eines gesetzeskonformen Datenschutzes überhaupt beginnt. Eine Strategie muss festgelegt werden. Denn nicht die besuchte Schulung oder das Gelesene, erst die Umsetzung im Unternehmen ist der Schritt, der Verstöße verhindert.

Die gewagteste Strategie für Unternehmen ist abzuwarten, was nach dem 25. Mai 2018 passiert, mit der Option, dann noch immer reagieren zu können. Dies könnte aus mehreren Gründen gefährlich sein:

Die Datensicherheit sollte nicht unterschätzt werden.
Die Datensicherheit sollte nicht unterschätzt werden.
  1. Die Aufsichtsbehörde hat bereits aktive Überprüfungen von Unternehmen verschiedener Größen und Branchen angekündigt. Ein Brief mit der Bitte um die Beantwortung von Fragen und entsprechender Nachweise wird schnell unangenehm. Nicht zu vergessen – die kurzen Fristen zur Bearbeitung dieser Anfragen.
  2. Datenschutz ist ein komplexes Thema. Die gesetzeskonforme Ausrichtung des Unternehmens ist nicht in einer kurzen Zeit zu bewältigen und darf nicht unterschätzt werden.
  3. Ein Unternehmen kann ohne Wissen im Visier der Behörden landen, zum Beispiel über die eigene Webseite. Ist diese bereits nicht gesetzeskonform ist das Risiko einer tiefergreifenden Überprüfung der weiteren Prozesse sehr hoch.
Es ist also ratsam, in jedem Fall zu handeln und nicht den Kopf in den Sand zu stecken. Auch auf die Gefahr hin, dass es bis zum Stichtag mit einem datenschutzkonformen Zustand nicht klappt. Kleine erledigte Quickwins und ein Plan zur Erreichung der Konformität ist hier deutlich besser als nichts zu tun.

Die EU-DSGVO und die umfassenden Dokumentationspflichten

Nicht alles ist bei der EU-DSGVO Verordnung neu. Viele der Pflichten bestehen bereits aktuell nach dem aktuellen Bundesdatenschutzgesetz (BDSG – alt). Wer also auch bisher schon den Datenschutz ernst genommen und seine dokumentierten Prozesse meist mittels Excel und Word erstellt hat, hat eine sehr gute Basis, um darauf weiter aufzubauen. Die neue Verordnung ist jedoch weitaus komplexer. Es kommen weitere zahlreiche Änderungen und somit auch weitreichende Dokumentations- und Nachweispflichten auf die Unternehmen und Datenschutzbeauftragten zu.

Das Bundesdatenschutzgesetz dient als Basis für die neue Dokumentationspflicht.
Das Bundesdatenschutzgesetz dient als Basis für die neue Dokumentationspflicht.

Unternehmen müssen etwa genau belegen können, welche Daten wie erhoben und wie sie verarbeitet werden. Das sogenannte Verzeichnis von Verarbeitungstätigkeiten (Vorgänger war das Verfahrensverzeichnis) spielt auch bei der neuen Gesetzgebung eine äußerst wichtige Rolle. Mit der Erweiterung der Betroffenenrechte inkl. der neuen Hinweispflichten bei der Erhebung von Daten wird nun eine einfache Verwaltung des Datenschutzes unübersichtlich bis unmöglich.

Mit einer Datenschutzmanagement-Software der EU-DSGVO mit geringem Aufwand gerecht werden

Spätestens jetzt empfiehlt es sich, ein strukturiertes Datenschutzmanagement-System (DSMS) einzuführen. Die bisherigen Dokumente müssen ebenfalls pflichtbewusst verwaltet werden. Es gibt Lösungen am Markt, um den Datenschutz mit vergleichbar geringem Aufwand verlässlich zu organisieren ohne ein Datenschutz-Experte sein zu müssen. Eine Datenschutzmanagement-Software beispielsweise hilft den Datenschutz gesetzeskonform aufzubauen und effizient sowie kostengünstig zu managen.

Tiefgreifendes Know-How im Datenschutz ist oft nicht notwendig, die Systeme weisen meist automatisiert auf Lücken und Pflichten zum Datenschutz hin . Vorlagen für EU-DSGVO-konforme Verträge oder Datenschutzerklärungen oder Bausteine für Datenschutzkonzepte sind ebenfalls innerhalb der Systeme verfügbar. Die Unternehmen müssen nicht mehr im Detail in die Thematik einsteigen, die Fachkompetenz und die Führung durch den Datenschutz-Dschungel übernimmt die Software. Wer also den Datenschutz professionell in die Hand nehmen will wird mit einem solchen Tool bestens unterstützt.

„Eine klare Empfehlung ist jetzt in jedem Fall ein aktives Handeln“, so Mirko Tasch von der Datenschutz-Software DSM-Online. „Wir empfehlen eine Kombination aus Basisinformationen über den Datenschutz sowie den Einsatz einer EU-DSGVO-fähigen Software.

Besser jetzt anfangen, um bei Kontrollen ein Konzept vorweisen zu können, als nichts zu haben. Wenn Sie bei etwaigen Prüfungen nachweisen können, dass Sie an Prozessen bereits arbeiten, drückt die Behörde eventuell noch ein Auge zu. Haben Sie dagegen keine Maßnahmen vorzuzeigen, könnte das Verhalten als fahrlässig interpretiert und direkt mit hohen Geldbußen belegt werden.“

Wenig Know-How? Ganz einfach mit Hilfe einer speziellen Software der neuen EU-DSGVO gerecht werden.
Wenig Know-How? Ganz einfach mit Hilfe einer speziellen Software der neuen EU-DSGVO gerecht werden.

Bei der Auswahl des Tools sollten allerdings die Bedürfnisse des Unternehmens beachtet werden, etwa ob die Software zur Unternehmensgröße passt. Zahlreiche Systeme sind so komplex, dass sie abschreckend wirken und gekauft aber nicht genutzt werden. Da der Datenschutz in vielen Unternehmen historisch gewachsen ist und zahlreiche Dokumente bereits bestehen, ist es ebenfalls wichtig zu überprüfen, ob diese im System entsprechend abgelegt werden können.

Die Verwaltung und Organisation aller Themen wird damit einen großen Schritt erleichtert. Ein kostenloser Testaccount sollte vorab bei der Entscheidungsfindung helfen, um zu sehen und zu prüfen, ob mit der Software auch umgegangen werden kann. Die Kosten für ein solches System sind recht überschaubar, so ist beispielsweise die Datenschutz-Software von DSM-Online bereits für 49 € im Monat erhältlich.

Das Projekt EU-DSGVO-konforme Ausrichtung beginnen

Wer den Datenschutz ernst nimmt, muss in jedem Fall über die eigenen Prozesse nachdenken. Trotz der Unterstützung, die eine Datenschutzmanagement-Software bietet, einige Punkte müssen vor und während der Abarbeitung bedacht werden. Der Einsatz der Software erleichtert vieles, erübrigt aber nicht die Analyse der eigenen Prozesse und die Sensibilisierung aller Mitarbeiter für die Thematik.

Zuständigkeiten festlegen

Die Verantwortung für den Datenschutz ist laut Gesetz klar geregelt, Datenschutz ist Chefsache. Zumindest trägt er die Verantwortung und die Haftung bei Verstößen. Die inhaltliche Verantwortung kann auf einen internen oder externen Datenschutzbeauftragten übertragen werden. Der Datenschutzbeauftragte berät dabei die Geschäftsführung, die Verantwortung bleibt bei dieser.

Die Dokumentation spielt eine wichtige Rolle in der neuen DSGVO.
Die Dokumentation spielt eine wichtige Rolle in der neuen DSGVO.

Bei internen Mitarbeitern muss man sich die Frage stellen, ob die Kompetenzen ausreichen, ob es Interessenskonflikte geben kann, oder doch ein externer Experte hinzugezogen werden sollte. Prüfen Sie, ob eine Software-Lösung Ihren Anforderungen gerecht wird. Generell müssen alle Abteilungen, in welchen personenbezogene Daten verarbeitet werden, in die Thematik mit eingebunden werden.

Analyse der Prozesse

Es muss dokumentiert werden, wo und von wem im Unternehmen personenbezogene Daten erhoben werden. Das ist oft an mehr Stellen der Fall als es zunächst scheint. Jedes Mal wenn im Unternehmen personenbezogene Daten in den Rechner eingetippt werden, muss die Verarbeitung aufgenommen werden. Weiterhin muss erfasst werden, wo und von wem die Daten verarbeitet und gespeichert werden. Auch oder gerade Daten, die über Dienstleister verarbeitet werden, sind relevant.

Es müssen gesonderte Verträge abgeschlossen werden. Weiterhin muss die Zweckbindung der erhobenen Daten betrachtet und überprüft werden. Was ist die Grundlage, auf der wir die personenbezogenen Daten verarbeiten? Wie bereits jetzt im alten BDSG gilt auch in der EU-DSGVO das Verbot mit Erlaubnisvorbehalt, also wir dürfen keine personenbezogenen Daten verarbeiten, wenn wir nicht eine erlaubende Basis dafür haben. Die könnte z. B. eine Einwilligung, ein Vertrag oder auch eine gesetzliche Pflicht sein.

Dokumentation

Die Dokumentations- und Nachweispflichten sind ein zentraler Punkt bei der neuen Verordnung. Alle Prozesse müssen dokumentiert werden, soweit sie den Kriterien der EU-DSGVO entsprechen. Diese Massen an Dokumenten strukturiert darzustellen gilt sowohl für interne Mitarbeiter als auch für Profis als eine Herausforderung. Eine gute Struktur ist jedoch grundlegend für eine datenschutzkonforme Ausrichtung des Unternehmens. Das Management der vielen Dokumente wird durch ein gutes Datenschutzmanagement-System erleichtert. Eine nachhaltige Struktur muss aufgebaut werden.

Kurz und knapp zusammengefasst

Wer nicht nur dokumentiert, sondern die Prozesse auch im Unternehmen lebt und umsetzt, erreicht den besten Schutz vor Datenschutz-Verletzungen. EU-DSGVO ist nicht nur derzeit ein heißes Thema, es bleibt dauerhaft wichtig. Es empfiehlt sich spätestens jetzt das Projekt anzugehen, um sich mit gutem Gewissen wieder auf sein Kerngeschäft fokussieren zu können.

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (76 Bewertungen, Durchschnitt: 4,05 von 5)
Loading ratings...Loading...

Weiterführende Suchanfragen

Das könnte Sie auch interessieren:

Über den Autor

Avatar-Foto
alex

Leser-Interaktionen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

✖ Anzeige
Haben Sie eine Rechtsfrage zum Thema DSGVO / Datenschutz?
Finden Sie jetzt mit Klugo einen Fachanwalt und lassen sich helfen!
Kostenlose Ersteinschätzung
X
Bleiben Sie über alle Änderungen sowie Tipps & Tricks informiert
Jetzt kostenlos per E-Mail abonnieren:
Mit dem Absenden akzeptieren Sie unsere Datenschutzerklärung.