DSGVO – der Countdown läuft (Teil 2)

Teil 1 des Interviews finden sie hier.


Teil 2:

Was sind aus Ihrer Sicht die Aspekte mit der höchsten Priorität, die im Rahmen der Umsetzung zu beachten bzw. umgesetzt werden sollten um das Risiko von Sanktionen zu minimieren?

In erster Linie ist es natürlich ratsam alle Anforderungen die sich z. B. auf die Kommunikation gegenüber dem Kunden auswirken bzw. in der Außendarstellung des Unternehmens liegen möglichst bis zum 25. Mai 2018 abzuschließen. Im Moment versenden sehr viele Unternehmen ihre an die EU-DSGVO angepassten allgemeinen Geschäftsbedingungen und/oder neue Einwilligungserklärungen. Sofern dies noch nicht geschehen ist, empfehlen wir dringend dies kurzfristig nachzuholen.

Zudem erwarten wir ab dem 25. Mai 2018 einen sprunghaften Anstieg von Auskunftsersuchen der Betroffenen. Daher empfehlen wir den Unternehmen einen strukturierten Prozess zu etablieren, um die Anfragen effizient und compliant beantworten zu können.

Aus unserer Sicht hat es sich in der Praxis bewährt zuerst die Zielaufbau- und Ablauforganisation zu konzipieren und hieraus resultierend einzelne Teilprojekte und Maßnahmen umzusetzen.

Die nach innen gerichteten Maßnahmen, wie z.B. die bereits erwähnte Anpassungen von IT-Systemen zur Umsetzung der Sperr- und Löschfunktionen können durchaus in einer späteren Projektphase umgesetzt werden, dürfen aber abschließend nicht vernachlässigt werden.

Grundsätzlich empfehlen wir aber die Projekte nicht unnötig in die Länge zu ziehen, da es sich um die Umsetzung notwendiger regulatorischer Anforderungen handelt.

 

Besteht die Möglichkeit für unsere Mandanten im Rahmen eines DSGVO-Pre-Checks dem eigenen Umsetzungsstand prüfen zulassen und mögliche Lücken zu identifizieren?

In vielen Fällen existieren bereits teilweise Prozesse und Verfahren zum Datenschutz, welche am BDSG ausgerichtet aber für die DSGVO-Compliance nicht ausreichend sind. Daher empfehlen wir ein Projekt immer mit einem solchen Pre-Check zu starten. Dabei können relativ schnell diejenigen Handlungsfelder identifiziert werden, die den größten Handlungsbedarf und die höchste Priorität haben sollten. Darauf aufbauend kann dann eine dem Kontext der Organisation angepasste Projektplanung für eine Umsetzung erstellt werden. Bei komplexen und langlaufenden Projekten empfehlen wir, auch sogenannte Quality Gates mit Zwischenprüfungen durchzuführen.

Selbstverständlich unterstützen wir unsere Mandanten bei der Durchführung eines Pre-Checks / einer Zwischenprüfung und begleiten auch die Umsetzung mit unseren interdisziplinären Expertenteams aus dem Rechtsbereich sowie der Beratung.

Zusätzlich können wir die Wirksamkeit des Datenschutzmanagementsystems (DSMS) bescheinigen. Dies bietet sich insbesondere dann an, wenn das Unternehmen sein DSGVO-Projekt abgeschlossen hat und einmalig oder regelmäßig die DSGVO-Konformität bescheinigt haben möchte. Hierzu prüfen wir das im DSMS verankerte Kontrollsystem auf Basis des internationalen Prüfungsstandard ISAE 3402 oder ISAE 3000. Da es derzeit noch keine sonstigen Instanzen gibt, die eine Datenschutzzertifizierung anbieten, erscheint uns dieses Vorgehen derzeit als die beste Möglichkeit, um den Kunden gegenüber die Wirksamkeit der zum Datenschutz ergriffenen Maßnahmen nachweisen zu können.