Neue EU-Datenschutz-Grundverordnung: Das sollten Unternehmen jetzt wissen

Nach Jahren der Diskussion und über 3.000 Änderungsanträgen im Europäischen Parlament ist es soweit: Die neue Datenschutzgrundverordnung (DSGVO) tritt im Sommer 2018 in Kraft und bringt eine großflächige Neuordnung des EU-weiten Datenschutzes mit sich. Gerade Unternehmen sollten sich rechtzeitig auf das neue IT- und Datenregelwerk vorbereiten.

Knapp zweijährige Übergangszeit

Neue EU-Datenschutz-Grundverordnung: Das sollten Unternehmen jetzt wissen
Neue EU-Datenschutz-Grundverordnung: Das sollten Unternehmen jetzt wissen 1

Nach einer zweijährigen Übergangszeit wird die DSGVO mit ihren 99 Artikeln und 173 Erwägungsgründen am 25.05.2018 für Behörden und Unternehmen gültig. In Anbetracht der Fülle an Neuregelungen ist es ratsam, dass Unternehmen sich schon jetzt damit auseinandersetzen und daraus erfolgende Änderungen ihrer internen IT-Prozesse initiieren – denn die nun weniger als zwei Jahre dauernde Übergangsfrist ist eher kurz angelegt.

Datenschutz versus Big Data

Die neue Datenschutzgrundverordnung soll der Datenflut und Datennutzbarkeit Grenzen setzen und personenbezogene Daten als Schutzgut stärken: Ziel ist, generell so wenig persönliche Daten wie möglich abzufordern und zu verarbeiten, um das Recht auf informationelle Selbstbestimmung der Bürger zu schützen. Das umfangreiche Regelwerk dürfte viele Unternehmen vor neue Herausforderungen stellen. Besonders kleine und mittlere Unternehmen, denen Zeit und Ressourcen fehlen, können sich bei juristischen Fragen zur DSGVO Rat holen: In Sachen Datenschutzrecht und Datenschutzgesetz gibt es Fachanwaltskanzleien, die sich bereits seit geraumer Zeit auf das Thema spezialisiert haben und Unternehmen bei der Neustrukturierung ihrer IT unter DSGVO-Gesichtspunkten zur Seite stehen.

Was Unternehmen jetzt schon tun können

Wie schon erwähnt, ist es aufgrund der relativen kurzen Übergangsfrist ratsam, sich jetzt schon vorzubereiten. Zuerst verschafft man sich am besten eine Gesamtübersicht aller IT-Prozesse im Unternehmen, die den Transfer personenbezogener Daten beinhalten. Im nächsten Schritt ist es wichtig, diese Vorgänge nachvollziehbar zu dokumentieren. Dabei ist es klug, schon jetzt unter dem Aspekt der Datenminimierung zu prüfen, welche Datenverarbeitungen tatsächlich fürs Business erforderlich sind und welche nicht. Danach sollte man ein Konzept realisieren, das die Informationssicherheit innerhalb der eigenen IT regelt – Hilfestellung kann hierbei die ISO 27001 liefern, welche die Anforderungen an ein Informationssicherheits-Managementsystem definiert. Das Konzept sollte erste Richtlinien und neue Prozesse in Bezug auf die zukünftige Verarbeitung personenbezogener Daten beinhalten, die im Idealfall bereits als Grundlage für die Umsetzung der neuen DSGVO im Jahr 2018 dienen können.

Frank