Datenschutz: TAROX unterstützt Unternehmen bei Umsetzung zur Einhaltung der neuen DSGVO-Pflichten

Die europäische Datenschutz-Grundverordnung (EU-DSGVO) ist unmittelbar ab dem 25. Mai 2018 anzuwenden. Damit verbunden ist eine Reihe von Veränderungen beim Umgang mit personenbezogenen Daten. Die Aufsichtsbehörden sehen Unternehmen und hier ausdrücklich Unternehmer beziehungsweise Geschäftsleitungen sowie Verantwortliche für den Datenschutz in Unternehmen besonders gefordert. Der Geschäftsbereich TAROX Security hat deshalb auf kleine und mittlere Unternehmen (KMU) zugeschnitten ein eigenes Kompetenz-Team aufgebaut, das Systemhauspartnern und seinen gewerblichen Kunden sachverständig beratend zur Seite steht.

Der Anpassungsdruck lastet spürbar auf Unternehmen, so dass sie mit nahendem Ablauf der Zeitfrist händeringend nach fachlicher Unterstützung bei der Umsetzung suchen, um die neuen DSGVO-Pflichten ab Stichtag einzuhalten. Im Team der TAROX Security um Leiter Patrick Andreas ist deshalb ein Kreis von Datenschutz-Spezialisten zu diesem Zweck entstanden. Bei Bedarf kann die DSGVO-Crew zusätzlich auf externe Datenschützer zugreifen, so dass die konforme Betreuung ohne personelle Engpässe gewährleistet ist. Auch wenn Mitglieder des TAROX Teams wie Dirk Tscholitsch als IT-Consultant Datenschutz schon in gut gefüllte Terminkalender blicken.

In schnellen Schritten sollen Systemhauspartner und ihre Geschäftskunden bei der Umsetzung der notwendigen Anforderungen der DSGVO fachlich begleitet werden. Das Ziel: Ein gut organisierter Datenschutz vermindert die Schwachstellen, verringert das Risiko, schützt Betroffene und begrenzt potenzielle Schäden fürs Unternehmen. Für die Gefahrenabwehr orientiert sich das TAROX Team an den Richtlinien der renommierten VdS Schadenverhütung, insbesondere an deren Werk VdS 10010. Auf Basis der dort festgelegten Empfehlungen hat TAROX den Quick Check aufgegriffen, mit dem Unternehmen relativ zügig relevante Angaben zum Stand des umgesetzten Datenschutzes ausfüllen können. Im zweiten Schritt erstellt der externe Datenschutz-Experte von TAROX mit dem beauftragten Systemhaus im Unternehmen eine Ist-Analyse, um den konkreten Umsetzungsbedarf zu ermitteln. In der dritten Phase stellt TAROX optional die passende IT-Infrastruktur und einen externen Datenschutzbeauftragten zur Verfügung, damit das Unternehmen allen DSGVO-Anforderungen gerecht wird.

Praxistauglicher Support trifft exakt den Bedarf im Mittelstand

Dieser praxistaugliche Support scheint angesichts der Anfragen von Anfang an genau das Bedürfnis des Mittelstands zu treffen. Denn die neuen Datenschutzregelungen, die ab diesem Jahr greifen, stellen Unternehmen allein vor große Herausforderungen. Insbesondere fehlt vielen von ihnen zur Umsetzung häufig ausreichend qualifiziertes Personal. Repräsentative Unternehmensumfragen etwa des Digitalverbandes Bitkom haben ergeben, dass mehr als jeder zweite Betrieb in Deutschland keine Vollzeitstelle für einen eigenen Datenschützer eingeplant hat. Nach einer Studie des ITK-Marktforschungs- und Beratungsunternehmens IDC hatte fast die Hälfte der befragten Entscheider im Mittelstand noch keine organisatorischen oder technologischen Maßnahmen gestartet. Dabei sind die Unternehmen nach zweijähriger Umsetzungsfrist verpflichtet, ab dem 25. Mai 2018 nach DSGVO-Regeln zu arbeiten. Was Behörden prüfen und bei Nichtachtung ahnden können.

So schreibt Artikel 5 II der EU-DSGVO beispielsweise die Rechenschaftspflicht der Verantwortlichen in Unternehmen fest. Danach ist die Einhaltung der Gesetzesänderung jederzeit nachzuweisen. Zudem benötigt jetzt jedes Unternehmen mit relevanter Verarbeitung persönlicher Daten einen internen oder externen Datenschutzbeauftragten. Ein eigenes Datenschutzhandbuch und ein Verfahrensverzeichnis hat das Unternehmen auf Verlangen vorzuweisen. Letztgenanntes bestimmt etwa, wie personenbezogene Daten gespeichert und wann sie wieder gelöscht werden. Bei risikoreicher Datenverarbeitung hat die Unternehmensführung zudem die Pflicht, eine Datenschutz-Folgeabschätzung durchführen zu lassen. Daraus resultieren künftig bei Datenpannen verschärfte Informationspflichten gegenüber Betroffenen.

Empfindliche Geldstrafen drohen Unternehmen und Unternehmern

Die staatlichen Aufsichtsbehörden haben bereits empfindliche Bußgelder angedroht, wenn die neuen DSGVO-Regeln nicht eingehalten werden. Das Risiko, mit Geldbußen bis zu 20 Millionen Euro bestraft zu werden, ist nicht gerade gering für Unternehmen ab einer bestimmten Größe. Mit vier Prozent des weltweit erzielten Jahresumsatzes können Unternehmen und privat auch Unternehmer haften. Besser beginnen ihr Business also Unternehmen abzusichern, indem sie sofort mit der Umsetzung der DSGVO-Pflichten anfangen. Zum schnellen Start kann schon der Quick Check von TAROX helfen, die wichtigen Maßnahmen zum eigenen Schutz und zum Schutz von Kunden auf den Weg zu bringen. Zu den wichtigen Aufgaben bezüglich der Änderungen nach DSGSVO zählen für Unternehmen:

  • Die Rechtsgrundlagen der Datenverarbeitung sind zu prüfen und an die Anforderungen anzupassen
  • Die Anforderungen müssen nicht nur erfüllt, sondern auch dokumentiert werden
  • Die datenschutzfreundliche Architektur und Voreinstellung ist zu untersuchen und sicherzustellen (Privacy by Design, Privacy by Default)
  • Das Gewährleisten sogenannter Betroffenen-Rechte muss in einem Prozess beschrieben und dokumentiert sein (z.B. zu Auskunft, Berichtigung, Löschung und Übertragbarkeit von Daten)
  • Verstöße des Datenschutzes müssen gemeldet und Maßnahmen festgeschrieben werden (Prozesse nach Datenpanne, Informationswege zu Aufsichtsbehörden)
  • Zusammenfassung aller Schritte in einem einheitlich verfassten Datenschutz-Management-Konzept

Schnittstellendaten aus AIS

TAROX berät zum Schutz vor Strafen, denn bei Verstößen gegen die DSGVO können nicht nur Unternehmen haften, sondern auch die Unternehmer persönlich!

Dirk Tscholitsch, IT-Consultant Datenschutz, TAROX Security