In nur fünf Monaten, am 26. Mai 2018, treten EU-weit eine umfassende Datenschutzreform sowie ein neues Bundesdatenschutzgesetz in Kraft. Laut zahlreichen Umfragen sind deutsche Unternehmen noch immer kaum vorbereitet, obwohl die Anforderungen anspruchsvoll und die Strafen bei Verletzung hoch sind. Das IT-Profimagazin iX gibt in seiner aktuellen Januar-Ausgabe Last-Minute-Tipps für die Umsetzung und liefert Checklisten sowie wichtige Informationen für Firmen.



Seit ihrer Verabschiedung im Frühjahr 2016 schafft die Datenschutz-Grundverordnung (DSGVO) einen in allen EU-Mitgliedsstaaten einheitlichen Rechtsrahmen für die Verarbeitung personenbezogener Daten. Um die Einhaltung des neuen Datenschutzrechts ab dem Stichtag zu gewährleisten, müssen sich Verantwortliche im Unternehmen mit der neuen Verordnung, aber auch mit der Neufassung des Bundesdatenschutzgesetzes auseinandersetzen. Die gute Nachricht: "Wer bisher das Datenschutzrecht ernst genommen und eingehalten hat, profitiert jetzt", sagt iX-Redakteurin Ute Roos: "Insbesondere wenn er die Datenschutzmaßnahmen gut dokumentiert hat, denn die Datenschutz-Compliance verlangt eine vollständige Dokumentation und Risikoanalysen im Rahmen der vorgeschriebenen technischen und organisatorischen Maßnahmen."



Die Verantwortlichen - dies können eigene Mitarbeiter oder externe Dienstleister sein - müssen das Ergebnis in Form eines Verarbeitungsverzeichnisses niederlegen und pflegen. Hierbei hilft beispielsweise ein vom Bitkom herausgegebener Leitfaden mit Beispielen für den Aufbau und die Ausgestaltung.



Der erste Schritt besteht in einer vollständigen Aufstellung aller Verarbeitungsvorgänge, die personenbezogene Daten betreffen. Keine Rolle spielt dabei zunächst, ob es sich um die Verarbeitung der Daten von Mitarbeitern, Lieferanten oder Kunden handelt. Das CRM-System ist ebenso zu berücksichtigen wie die Nutzung von Google Analytics auf Firmenwebseiten, die Reisekostenabrechnungen von Mitarbeitern in der Finanzbuchhaltung und auch die Bezahldaten beim Online- oder Offlinevertrieb. Es folgt eine Konsolidierungsphase, danach beginnt die Umsetzungsphase.



Unternehmen, die bislang noch keinen Datenschutzbeauftragten haben, sollten überprüfen, ob das nach neuem Recht so bleiben darf. Weit oben auf der To-Do-Liste sollte zudem die Anpassung der "Privacy Policy" stehen, um eventuellen Abmahnungen aus dem Weg zu gehen.



