Das Ende der Umsetzungsfrist für die EU Datenschutz-Grundverordnung (DSGVO) liegt in greifbarer Nähe. Die Unternehmen haben nur noch wenige Tage Zeit die Anforderungen umsetzen. Wir wollen die Gelegenheit nutzen, um mit unserem Experten Rüdiger Giebichenstein in zwei Blogbeiträgen den aktuellen Umsetzungsstand sowie wesentliche Handlungsfelder zu diskutieren.
Kurze Vorstellung Rüdiger Giebichenstein:
Rüdiger Giebichenstein ist Partner im Bereich Risk Assurance Solutions Financial Services bei PwC und mit seinem Expertenteam bundesweit für Datenschutz- und Informationssicherheit, Business Continuity Management sowie IT-Compliance tätig.
In weniger als einem Monat tritt die neue EU Datenschutz-Grundverordnung (DSGVO) in Kraft. Wie ist Ihre Einschätzung zum aktuellen Umsetzungsstand der Mandanten?
Bezüglich des aktuellen Umsetzungsstands erleben wir ein eher verteiltes Bild. Einerseits haben einige Mandaten, insbesondere die große Unternehmen, hierzu bereits 2017 entsprechende Projekte gestartet und sind auf einem guten Weg die EU-DSGVO bis zum 25. Mai 2018 in zumindest den Grundzügen umzusetzen.
Es gibt aber Unternehmen, die den Umsetzungsaufwand und dazu zählen insbesondere die mit komplexen Geschäftsmodellen und IT-Landschaften deutlich unterschätzt und demzufolge die Projekte tendenziell zu spät gestartet haben. Für diese Unternehmen wird sich die Umsetzung der EU-DSGVO auch noch deutlich bis nach Ende Mai 2018 hinziehen.
Im Mittelstand zeigt sich, dass hier noch deutlicher Nachholbedarf existiert. Dort wurden die Entwicklungen zur DSGVO nicht oder nicht ausreichend verfolgt und beim Top Management wenige Projekte initiiert bzw. entsprechendes Bewusstsein geschaffen.
Wo sehen Sie noch die größten Hürden, Handlungsbedarf bzw. Unklarheiten im Rahmen der Umsetzung, die aktuell viele Mandanten vor Herausforderungen stellen?
Die wesentliche Herausforderung ist, dass die EU-DSGVO sehr generisch formuliert und die notwendige Konkretisierung an vielen Stellen bisher fehlt. Da es auch noch keine einschlägige Rechtsprechung gibt, sind die Unternehmen im Rahmen der Umsetzung dazu gezwungen, eigene Interpretationen zu liefern und entsprechende Annahmen zu treffen. Insbesondere sind dabei die Themen Datenschutzfolgeabschätzung oder Datenportabilität zu nennen, die so im BDSG bisher nicht aufgeführt waren. Je früher ein Unternehmen mit der Umsetzung dieser Themen begonnen hat, umso schwieriger war es für diese auf good-practices oder etablierten Lösungen zurückzugreifen. Vor diesem Hintergrund ist es auch durchaus nachvollziehbar, dass gerade kleine und mittelständige Unternehmen den Beginn der Umsetzungsprojekte verhältnismäßig lange hinausgezögert haben.
Auch die bisher im BDSG relativ konkret benannten technisch organisatorischen Maßnahmen (sog. TOM‘s), die zum Schutz von personenbezogenen Daten verpflichtend waren, sind durch generischere Formulierungen von sog. Schutzzielen abgelöst wurden, die allerdings z.T. bereits aus dem Bereich der Informationssicherheit bekannt sind. Dadurch werden den Unternehmen zwar zusätzliche Freiheiten eingeräumt, die Schutzmaßnahmen an den für sie relevanten Risiken auszurichten, gleichzeitig erfordert dies aber auch die Etablierung eines angemessenen Vorgehens zum IT-Risikomanagement was wiederum für viele Unternehmen neu ist.
Viele Unternehmen tun sich auch schwer damit, die abstrakt formulierten Anforderungen an die Nachweis und Rechenschaftspflichten in für den jeweiligen Kontext des Unternehmens passende Prozesse und Governance Strukturen zu überführen. Wir empfehlen daher unseren Mandanten den Aufbau eines sog. Datenschutzmanagementsystems (DSMS) und dieses eng mit ggf. bereits bestehenden Governance-Strukturen wie z.B. einem Informationssicherheitsmanagementsystem (ISMS) oder dem internen Kontrollsystem oder anderen Compliance-Funktionen zu verzahnen. Dadurch kann üblicherweise der Aufbau von unnötigen Doppelstrukturen vermieden werden und Synergien zu weiteren regulatorischen Anforderungen wie z.B. denen des IT-Sicherheitsgesetzes oder den MaRisk und den Konkretisierungen für die IT (BAIT und VAIT) wenn man beispielsweise den Finanzsektor betrachtet, erzielt werden.
Wie bereits erwähnt haben viele Unternehmen zudem den tatsächlichen Umsetzungsaufwand deutlich unterschätzt, da einige Anforderungen auch tiefgreifenden Anpassungsbedarf der einzelnen IT-Anwendungen erfordern. Insbesondere sind dabei das Recht auf „Vergessen werden“ und das Recht auf „Einschränkung der Verarbeitung“ zu nennen, da viele Anwendungen bisher gar keine Möglichkeiten geboten haben, Datensätze strukturiert und nachvollziehbar zu löschen und stattdessen die Datensätze einfach fortschreiben.
Gerade zum Abschluss der Projekte sehen wir derzeit häufig, dass es noch einmal erheblicher Anstrengung bedarf, um die umgesetzten Maßnahmen zum Datenschutz auch nachhaltig in der Unternehmenskultur zu verankern. Wir sind der Meinung, dass gelebter Datenschutz ein wirksames Instrument ist, um das Vertrauen der Kunden in eine Marke nachhaltig zu stärken. Die Unternehmen sollten sich nicht der „Verführung“ hingeben, Daten anders als zu dem Zweck zu dem sie erhoben wurden zu verwenden oder wichtige Maßnahmen zur Datensicherheit aus Kostengründen zu vernachlässigen und somit das Vertrauen der Kunden zu verspielen. Unabhängig hiervon hat der Gesetzgeber signifikante Sanktionsmaßnahmen vorgesehen (bis zu 20 Mio. EUR oder bis zu 4% des konzernweiten Umsatzes).
Teil 2 des Interviews finden Sie hier.
