Es ist nur noch etwas mehr als ein Jahr Zeit um die Anforderungen der DSGVO in den Unternehmen umzusetzen. Eine gute Vorbereitung setzt bei den unternehmensinternen Prozessen an und bezieht alle datenschutzrechtlich relevanten Abläufe im Unternehmen ein. Dabei sollte zunächst eine Ist-Analyse den gegenwärtigen Stand in Bezug auf die Umsetzung und Einhaltung von Datenschutzvorgaben erfolgen. Auf der Grundlage einer Risikoanalyse sollten dann bereits etablierte Sicherheitsmaßnahmen überprüft und dokumentiert werden. Wichtig ist, systematisch und zielgerichtet entlang der einzelnen Prozesse vorzugehen. Bei der Planung von neuen Maßnahmen ist auf den Einsatz datenschutzfreundlicher Technologien von Anfang an zu achten.
Weder die zurzeit gültigen Datenschutzgesetze noch die DSGVO schreiben konkret bezeichnete technische Kontrollmechanismen vor. Zentral ist aber in beiden Fällen die von den Datenschutzgesetzen geforderte Absicherung der personenbezogenen Daten gegen unbefugte Verarbeitung, Veränderung, Zerstörung und Verlust. Insofern sind Unternehmen gut beraten, Kontrollmechanismen auszuwählen und zu implementieren, die von Anfang an verhindern, dass Unbefugte personenbezogene Daten lesen, kopieren, verändern oder vernichten können. Vorbild kann das Vorgehen der Unternehmen sein, die aufgrund ähnlich strenger gesetzlicher Vorgaben schon heute hohe technische Sicherheitsstandards umsetzen müssen. Der Payment Card Industry Data Security Standard (PCI DSS) und das US-Bundesgesetz Health Insurance Portability and Accountability Act (HIPAA) für das Gesundheitswesen in den USA, sind nur zwei Beispiele für
Vorschriften, die Datenschutzkontrollen ähnlich wie diejenigen im Vorschlag zur Reform des EU-Datenschutzrechts vorsehen. An diesen Standards können sich Unternehmen bei der Auswahl konkreter Sicherheitsmaßnahmen daher orientieren.
Parallel zur Überprüfung der technischen Sicherheitsmaßnahmen kann ein Unternehmen dann auf der Grundlage der Ist-Analyse der unternehmensinternen Prozesse beginnen, die Anforderungen der DSGVO in Bezug auf die Informations- und Transparenzpflichten umzusetzen. Auch dafür ist die detaillierte Kenntnis unternehmensinterner Abläufe unabdingbar. Zu prüfen ist, wie die neuen Anforderungen in bestehende Prozesse eingefügt werden können oder ob neue Verfahren geschaffen werden müssen. Nicht aus dem Blick geraten darf dabei die Notwendigkeit der Dokumentation der erfolgten Schritte: Sie kann
auf bestehender Dokumentation aufbauen. Sofern keine ausreichende Dokumentation im Unternehmen vorhanden ist, muss auch hier nachgebessert werden.
Umfangreiche Infos, wie Sie die neuen Regeln konkret angehen können gibt es hier.