“Digitalisierung wird verschoben“ – titelte eine Schlagzeile zu einer Studie im Jahr 2017, laut der über 50% der Unternehmen wegen Erfolges keine Zeit für digitale Strategien haben. Sind hier Parallelen zur DSGVO zu erwarten? Muss nicht sein, darf nicht sein, denn „Wissen sind Daten im Handlungskontext angewendet.“ So die Theorie. Aus meiner Erfahrung gebe ich eine persönliche Weisheit dazu: „Gestern haben wir Daten verwaltet, heute managen wir Informationen mit digitalen Methoden, morgen werden wir digitales Wissen für gute Strategien Compliance-konform & revisionssicher anwenden und DSGVO-gerecht abgelegen müssen.“ Das wird gelingen, wenn wir es angehen, nicht jammern oder wegdiskutieren. Und so stelle ich mich brav in revisionssidie Schlange der Ratgeber und gebe meine Herangehensweise an dieses Thema als Diskussionsgrundlage zum (praktischen) Besten:

Die zwei wesentlichsten Säulen sind:
1. Der Datenschutzbeauftragte ist nicht mehr für die Umsetzung des Datenschutzes verantwortlich, sondern er wird deren Einhaltung kontrollieren. Er soll die Organisation, den Arbeitgeber bei der Einhaltung unterstützen, überwachen und mit Rat und Tat zur Verfügung stehen.

2. Die betrieblichen Prozesse des jetzigen (alten) Datenschutzes sind anzupassen:
  a. neue Prozesse in der Kommunikation mit der Chef-Etage etablieren
  b. Datenschutzhinweise, -vorlagen und -erklärungen anpassen
  c. Einwilligungserklärungen überarbeiten und neu einholen
  d. neue Richtlinien der Auftragsbearbeitung in Organisationsprozesse integrieren
  e. in neue Pflichten (Datenschutz- Folgenabschätzung, Dokumentationspflichten, etc.) umzuwandeln.

Als Headline formuliert: „Ein „Stiefkind“ mutiert zum vollwertigen Familien(Unternehmens)mitglied!“
Wie im normalen Leben geziemt sich auch hierbei mit dem notwendigen Respekt und einer angemessenen (individuellen) Unternehmenskultur mit dem neuen Partner „DSGVO“ umzugehen. Es ist in der Familie wie im Unternehmen. Ein neues Mitglied kostet Aufwand, braucht Wertschätzung, Achtung und Pflege. Der Mehrwert oder Nutzen (Vorteil) wird meistens erst sichtbar, wenn sich Situationen einstellen, die wir gern als Herausforderungen bezeichnen. Seien wir also positiv und gehen in die Offensive.

Die wichtigsten Themen, Anforderungen und Informationen zur DSGVO in kompakter Form:

• Stärkere Einbindung des Datenschutzbeauftragten, Verantwortlichkeiten festlegen
• Datenschutz-Folgenabschätzung/ Privacy Impact Assessment als Prozess etablieren
• Prozesse gestalten: Meldepflichten bei Datenpannen
• Weitere Prozesse gestalten: Betroffenenrechte, Informationspflichten etc.
• Alle Prozesse dokumentieren
• Auftragsdatenverarbeitungs- (ADV)-Verträge anpassen
• Verfahrensverzeichnis überprüfen Für Auftragsverarbeiter: Neues Verzeichnis der Verarbeitungstätigkeiten erstellen
• Schulungsplanung aufstellen
• technische und organisatorische Maßnahmen (TOM) dokumentieren (lassen) und bewerten, Verantwortlichkeiten festlegen
• Wirksamkeit der TOM prüfen, Penetrationstests und Informationssicherheitsmanagement planen
• Ggf. technische Umsetzung der Betroffenenrechte planen - Auskunft, Datenübertragbarkeit etc.
• Formulare und Einwilligungen überprüfen
• Datenschutzerklärung anpassen, ggf. Webtracking anpassen

In Summe ergibt dies die Herausforderung, auf Daten, Informationen, Dokumente, Vereinbarungen und Verträge schnell, jederzeit und von jedem Ort aus zugreifen zu können. Dabei sind Organisationsabläufe und -prozesse so zu organisieren, dass ein effizientes Daten(schutz)- management für unternehmensweite Informationen abteilungsübergreifend erfasst und transparent gelebt werden kann.

Plakativ gesagt: „Nicht das Medium ist der Maßstab, sondern die Mitarbeiter sind es. Deren Handeln im Sinne transparenter Dokumentation, Ablage und Einhaltung von Organisationsprozessen lässt die EUDSGVO ordnungsgemäß in den Unternehmen verankern“. Dann ist sie keine Bedrohung, sondern vielmehr Nutzen im Sinne von Daten(schutz), sorgfältigem Umgang mit sensiblen Personendaten, und auch in Bezug der Löschung von Daten.

Wie können Sie also die EU-DSGVO praktisch und notwendigem Respekt umsetzen:

1. Interpretieren Sie für sich und ihre Organisation das Gesetz, definieren Ihre individuellen Anforderungen und erarbeiten eine kurzfristige Maßnahmenliste sowie langfristige Organisationsabläufe mit Terminen zur Kontrolle der Einhaltung und ggfs. auch einen KVP.

2. Nach den gesetzlichen Regelungen sind bestimmte personenbezogene Daten revisionssicher und mit Schutz vor Löschung und Manipulation zu verwahren. Eine wesentliche Neuerung in der EU-DSGVO ist das „Recht auf Vergessen werden“. Daten müssen also gelöscht werden können, ebenso Links und Verweise. Eine unternehmensweite, abteilungsübergreifende Informations- (Daten)Management-Lösung im Sinne von EIM (Enterprise Information Management) ist eine langfristig, messbare Investition für eine zukunftsorientierte Lösung, die vor allem modular ausbaufähig auf die agilen Veränderungen Ihres Unternehmens bei der digitalen Strategie (Datenschutz ist ein wichtiger Teil davon!) ist.

3. Bei der Sicherstellung Ihrer Daten und Einhaltung ist es meistens ratsam auf bewährte Unterstützung zu bauen. Beratungsunternehmen und Lösungsanbieter haben sich auf das Thema EU-DSGVO gut vorbereitet und mit entsprechenden Checklisten und Lösungen positioniert. Eine gute Entscheidung ist es, wenn Beratung und Lösung aus einem Haus kommt, wie z. B. die TQG businessApp platform mit einer App als „Datenschutz-Dashboard“. Hier haben Sie Verträge, Dokumente, Verfahrenskontrolle, Verantwortliche, Fälle und Nachweispflichten/ Reporting alles übersichtlich in einer App, konfigurier- und erweiterbar.

Die Verantwortung liegt jetzt, wie eingangs beschrieben, in der Organisation, nicht mehr nur beim DS-Beauftragten. Er überwacht und berät, die Organisation trägt die Maßnahmen des Managements in die Praxis, die Umsetzung und Einhaltung der EU-DSGVO. Mitarbeiter und Menschen mit Verantwortung stellen sich als Team den Herausforderungen! So wird es dauerhaft und ohne Panikmache gelingen die digitale Transformation so zu gestalten, dass wir eine der wertvollsten Ressourcen der Zukunft – Daten – mit höchstem Werteanspruch verbinden.