08.07.2019

DSGVO: Praxishinweise zur Umsetzung

Wie lässt sich die DSGVO bloß praktisch umsetzen? Manchmal hilft es, bei anderen zu schauen. Etwa in Anwenderberichten, die erfolgreiche Projekte zur Datenschutz-Grundverordnung beschreiben. Oder in die Tätigkeitsberichte der Datenschutzaufsichten.

DSGVO Umsetzung
© #Urban-Photographer /​ iStock /​ Getty Images

Tätigkeitsberichte: Einsichten in Datenschutzmängel

Um Schwachstellen aufzuspüren, die eventuell auch die eigene Datenschutz-Organisation hat, sind die aktuellen Tätigkeitsberichte der Aufsichtsbehörden für den Datenschutz äußerst hilfreich.

Sie machen deutlich, wo es Probleme gibt, die Datenschutz-Grundverordnung (DSGVO / GDPR) umzusetzen. Die Lektüre der Tätigkeitsberichte lohnt sich deshalb immer.

Bei der Stiftung Datenschutz finden Sie eine zentrale Übersicht über die Tätigkeitsberichte (ZafTDa).

Das ist ein guter Einstieg in die Recherche von Datenschutz-Mängeln, die womöglich auch im eigenen Unternehmen oder in der eigenen Behörde vorliegen.

Anwenderberichte zeigen Lösungen

Um in die eigene Analyse zu starten, sind die Tätigkeitsberichte also schon einmal ein guter Startpunkt.

Hilfreich sind zudem Anwenderberichte, die Verbände, IT-Hersteller, Datenschutz- und IT-Dienstleister sowie die Aufsichtsbehörden veröffentlichen.

Die Berichte zeigen, wie ein bestimmtes Unternehmen die Lücken in der Umsetzung der DSGVO angegangen ist.

Ein Beispiel für einen solchen Bericht, den eine Aufsichtsbehörde veröffentlicht hat, ist „Herausforderungen der Datenschutzgrundverordnung mit Bravour gemeistert“.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Baden-Württemberg berichtet darin von der erfolgreichen DSGVO-Umsetzung bei Rolls-Royce Power Systems.

Als Lösungsbausteine nennt er insbesondere,

  • den Datenschutz in ein Managementsystem zu integrieren sowie
  • eine übergeordnete globale Richtlinie zu erarbeiten, die festlegt, wie Beschäftigte mit personenbezogenen Daten umgehen, und die die Verantwortlichkeiten im Datenschutz klar regelt.

CRM und Datenschutz

Ein weiteres Beispiel: Der In(n) Energie, Tochterunternehmen der Elektrizitätswerk Simbach GmbH, war bei der Wahl ihrer CRM-Software wichtig, dass sie sich individuell anpassen lässt und über ein zuverlässiges Supportkonzept verfügt, so ein Anwenderbericht.

Der combit Relationship Manager in der Professional Edition mit der mitgelieferten Large Solution wurde auf die Bedürfnisse von In(n) Energie angepasst.

Auch die DSGVO-Features konnte der Anbieter mit wenigen individuellen Anpassungen übernehmen, so der Anwenderbericht.

Hier besteht der Lösungsbaustein darin, ein CRM-System mit DSGVO-Funktionen zu nutzen, die der Anbieter auf das jeweilige Unternehmen anpasst.

Dokumentation, Audit und Datenschutz

Auch von Canon Deutschland gibt es einen Anwenderbericht zur DSGVO. Die Darstellung betont die Bedeutung eines Datenschutz-Audits.

Für das (erste) Audit wählte Canon Deutschland eine Abteilung mit großer Nähe zu Kunden und Interessenten.

Die Prozess-Dokumentation zu prüfen, gehörte zum Herzstück des Audits, so Canon Deutschland. Die oftmals ungeliebte Dokumentation der Prozesse ist also wichtiger, als manches Unternehmen denkt.

Umfragen zeigen weiterhin Defizite bei der Umsetzung der DSGVO

Es ist zweifellos hilfreich und sinnvoll, sich darüber hinaus mit den Ergebnissen der verschiedenen Umfragen zur Umsetzung der Datenschutz-Grundverordnung zu befassen.

Solche Studien zeigen deutlich, wo bei der Mehrzahl der Unternehmen der Schuh drückt.

Mitunter sind dies Herausforderungen, die Sie selbst bisher vielleicht unterschätzt oder sogar übersehen haben.

Einige aktuelle Beispiele für solche Umfragen zur DSGVO:

  • Fehlende Zugangs- und Berechtigungsrichtlinien
    • In Deutschland sind zwar lediglich 0,63 Prozent der gespeicherten Dateien sensibler Natur. 19 Prozent davon sind jedoch sämtlichen Mitarbeitern zugänglich.
    • In deutschen Unternehmen unterliegen entsprechend durchschnittlich knapp 58.000 sensible Dateien keiner Zugriffsbegrenzung.
    • Hinzu kommt, dass Organisationen im Schnitt 58 Prozent der gespeicherten Daten nicht mehr nutzen. Das erhöht das Risiko, gegen die DSGVO zu verstoßen (Datenrisiko-Report von Varonis).
  • Unzureichende Aufklärung und Motivation
    • Zwei Prozent der Führungskräfte haben noch nie von der DSGVO gehört.
    • Mehr als die Hälfte der Mitarbeiter (54 Prozent) hat bereits Erfahrung mit der Grundverordnung gesammelt und ist der Meinung, dass die DSGVO ihre Arbeit erschwert (Business-Studie von Brabbler).

Diese Beispiele zeigen: Es lohnt sich, neben den Umfragen und Tätigkeitsberichten Anwenderberichte zur DSGVO zu analysieren.

So finden Sie Tipps, wie Sie die DSGVO praktisch umsetzen, die sich andernorts bereits bewährt haben.

Autor*in: Oliver Schonschek (Diplom-Physiker, IT-Analyst und Fachjournalist)