EU-Daten­­­schut­z­­grun­d­­ver­­­ordnung pra­xis­ge­recht umsetzen

Mit den kos­ten­losen VdS-Rich­t­­linien 10010 und dem DsiN Datenschutz-Navigator

Ab dem 25. Mai 2018 sollte die EU-Daten­­­schut­z­­grun­d­­ver­­­ordnung (DSGVO) einen euro­paweit ein­heit­lichen Standard im Daten­schutz schaffen. Sie regelt die Ver­ar­beitung per­so­nen­be­zo­gener Daten durch Unter­nehmen und Behörden. Die Aus­wir­kungen der umfas­senden Ver­ordnung auf Orga­ni­sation und IT besonders von kleinen und mitt­leren Unter­nehmen (KMU) sind äußerst tief­greifend – gerade viele kleinere Betriebe sind noch nicht auf die in Kürze gel­tende Rechtslage vor­be­reitet. Dies ist riskant, da die Rege­lungen der DSGVO bis zum 25. Mai voll­ständig umge­setzt sein müssen und bei Zuwi­der­handlung dras­tische Buß­gelder bis zu 20 Mil­lionen Euro oder 4 % des welt­weiten Vor­jah­res­um­satzes drohen.

Neue­rungen gegenüber der jet­zigen Rechtslage

Die bedeut­samste Ver­än­derung zur bis­he­rigen Rechtslage ist die soge­nannte Rechen­schafts­pflicht der ver­ant­wort­lichen Stelle. Jede per­so­nen­be­zogene Daten ver­ar­bei­tende Behörde und Firma, auch jeder Ein-Mann-Betrieb, muss jederzeit und voll­ständig nach­weisen können, dass sie sämt­liche Vor­gaben der DSGVO einhält.

Dies können Unter­nehmen nur auf eine Art leisten: Durch das Ein­richten eines Daten­schutz­ma­nage­ment­systems. Das ist ein Füh­rungs­system, kein tech­ni­sches Hilfs­mittel – es kann aller­dings durch ein solches unter­stützt werden. Nötig wird zum 25. Mai ein Regel­rah­menwerk mit klar defi­nierten Leit- und Richt­linien, Pro­zessen, Rollen und Ver­ant­wort­lich­keiten sowie Kon­trollen. Dazu kommen die üblichen Anfor­de­rungen an prüf­fähige Doku­men­ta­tionen und klare Kommunikationsregeln.

Hier bietet VdS kon­krete Unter­stützung: In eine ver­ständ­liche Sprache über­setzt wird der umfas­sende DSGVO-Umset­­zungs­­­prozess durch die kom­pakten Richt­linien VdS 10010. Viele unserer Partner betonen, dieser Mana­ge­­men­t­­system-Ansatz macht die EU-For­­de­rungen gerade für kleinere Betriebe und Behörden über­haupt erst anwendbar.

Zer­ti­fi­zie­rungs­fä­higes Manage­ment­system zur DSGVO auf 32 Seiten – kos­tenlos verfügbar

Die neue VdS-Publi­­kation zeigt einen Weg auf, die recht­lichen, orga­ni­sa­to­ri­schen und tech­ni­schen Anfor­de­rungen der DSGVO so struk­tu­riert wie möglich umzu­setzen – und mit über­schau­barem Aufwand. Die Richt­linien VdS 10010 beschreiben ein audi­­tie­rungs- und zer­ti­fi­zie­rungs­fä­higes Daten­schutz­ma­nage­ment­system, präzise zuge­schnitten vor allem auf kleine und mit­tel­stän­dische Unter­nehmen. Auch für größere Unter­nehmen können die Richt­linien eine wichtige Hilfe sein, wenn deren Struk­turen eher mit­tel­stän­disch geprägt sind, also z.B. flache Struk­turen aufweisen.

Die Publi­kation ori­en­tiert sich an den prä­mierten Richt­linien VdS 3473 zur Cyber-Security, ebenso wie bei diesen wird Wert auf eine klare und ein­deutige Sprache geleegt. So sind zwingend benö­tigte Anfor­de­rungen immer mit groß­ge­schrie­benem „MUSS“ for­mu­liert. Mit „SOLLTE“ gekenn­zeichnete Punkte sind Emp­feh­lungen, die jedoch für eine Zer­ti­fi­zierung nicht relevant sind.

Rege­lungs­in­halte

Die Richt­linien VdS 10010 prä­zi­sieren auf 32 Seiten alle not­wen­digen tech­ni­schen, orga­ni­sa­to­ri­schen und per­so­nellen Anfor­de­rungen zur Erfüllung der DSGVO. Sie geben klar defi­nierte Rollen und Ver­ant­wort­lich­keiten vor und adres­sieren auch die Geschäfts­führung – denn Daten­schutz ist kei­nes­falls ein reines IT-Thema, sondern Chefsache.

Konkret heißt das:

Wenn für das Unter­nehmen die Pflicht zur Bestellung eines Daten­schutz­be­auf­tragten (DSB) besteht, so kommt diesem eine zen­trale Rolle zu. Er unter­richtet und berät Management sowie Kol­legen hin­sichtlich der gel­tenden Daten­schutz­vor­schriften und über­wacht ihre Ein­haltung, ist Ansprech­partner für Mit­ar­beiter, betroffene Per­sonen sowie auch Aufsichtsbehörden.

Neben dem DSB sehen die VdS 10010 die Rolle des Daten­schutz­ma­nagers (DSM) vor. Dieser initiiert, plant, steuert die Imple­men­tierung eines Daten­schutz­ma­nage­ment­systems und setzt dieses um. Ist ein DSB nicht bestellt, so kommt dem Daten­schutz­ma­nager die Rolle des zen­tralen Ansprech­partners in Sachen Daten­schutz zu.

Dem DSM zur Seite steht das soge­nannte Daten­schutzteam (DST). Dieses Gremium, das neben dem/der Vertreter/in der Top­ma­nage­ments min­destens aus DSB (sofern vor­handen), DSM, ISB, IT-Ver­­an­t­­wor­t­­lichen und Ver­tretern von Mit­ar­beitern besteht, unter­stützt den DSM bei der Erfüllung seiner Auf­gaben und ist für die Erstellung der Daten­schutz­richt­linien ver­ant­wortlich. Sinnvoll kann auch die Teil­nahme von Ver­tretern der Abtei­lungen Com­pliance, Recht, Per­sonal, Finanzen, Ver­trieb und anderen ope­ra­tiven Ein­heiten sein.

Durch die Zusam­men­setzung dieses Gre­miums wird erreicht, dass mög­lichst viele Inter­essen im Unter­nehmen berück­sichtigt werden und letztlich die im Unter­nehmen von Ände­rungen Betrof­fenen zu Betei­ligten werden. So belegen fast 25 Jahre VdS-Erfahrung mit Manage­ment­sys­temen: Ver­stehen Mit­ar­beiter das Ver­än­de­rungsziel und haben vor allem den Ein­druck, dass sie wirklich mit­wirken können, dann agieren sie meist pro­aktiv. Sie stehen hinter geplanten Ver­än­de­rungen. Und werden zu wer­benden Mul­ti­pli­ka­toren, was die Akzeptanz für den nötigen Daten­schutz im Unter­nehmen noch weiter erhöht.

Zen­trales Dokument der VdS 10010: Leit­linie zum Datenschutz

Das zen­trale Dokument ist die Leit­linie zum Daten­schutz. Hier bekennt und ver­pflichtet sich das Top­ma­nagement zum Daten­schutz, zudem werden die Ziele und der Stellwert des Daten­schutzes im Unter­nehmen defi­niert sowie die Kon­se­quenzen der Nicht­be­achtung defi­niert. Die Leit­linie wird unter­stützt und ergänzt von Richt­linien zum Daten­schutz. Was in diesen Richt­linien behandelt wird, kann je nach Unter­nehmen ver­schieden sein. Sie müssen jedoch die Grund­sätze der Daten­ver­ar­beitung nach DSGVO regeln: Recht­mä­ßigkeit, Zweck­bindung, Treu und Glauben, Ver­hält­nis­mä­ßigkeit, Trans­parenz, Daten­mi­ni­mierung, Rich­tigkeit, Spei­cher­be­grenzung, Ver­trau­lichkeit, Ver­füg­barkeit und Inte­grität sowie Nach­weis­barkeit. Daneben muss ein Infor­ma­ti­ons­si­cher­heits­ma­nagement mit dem Scope „per­so­nen­be­zogene Daten“ bestehen. Des Wei­teren fordern die Richt­linien 10010 Ver­fahren, um die von der DSGVO gefor­derten Pro­zesse unter anderem für die Wahrung von Betrof­fe­nen­rechten, die Sen­si­bi­li­sierung von Mit­ar­beitern, das Erstellen und Pflegen des Ver­ar­bei­tungs­ver­zeich­nisses, das Ver­trags­ma­nagement ins­be­sondere bei Auf­trags­ver­ar­beitung, die Durch­führung der Risi­ko­analyse und Daten­schutz­fol­ge­schätzung sicherzustellen.

Zusätz­liche Unterstützungsleistungen

Unter­nehmen, die bereits über ein Daten­schutz­ma­nage­ment­system ver­fügen, können dieses mit den Richt­linien abgleichen und ggf. anpassen. Sofern grund­le­gende Pro­zesse bereits gegeben sind, könnte ein Unter­nehmen zeitnah die Zer­ti­fi­zierung seines Daten­schutz­ma­nage­ment­systems erreichen, die VdS unter­stützend anbietet.

Wird, viel­leicht gerade bei klei­neren Firmen, unter­stüt­zende Fach­kunde benötigt, so emp­fiehlt sich die Ein­be­ziehung qua­li­fi­zierter Dienst­leister. Ein ent­spre­chendes Ver­fahren für die VdS-Aner­kennung von Daten­­­schut­z­­ma­­na­ge­­men­t­­system-Beratern wurde vor kurzem eta­bliert. Bald werden die ersten spe­ziell hierfür von VdS aus­ge­bil­deten und zer­ti­fi­zierten Experten Unter­nehmen bei Bedarf unter­stützen können. Zudem hat VdS maß­ge­schnei­derte Bil­dungs­an­gebote zum Thema konzipiert.

Die VdS-Rich­t­­linien 10010 bündeln die DGSVO-For­­de­rungen auf 32 Seiten. Das zer­ti­fi­zie­rungs­fähige Manage­ment­system steht kos­tenfrei auf vds.de/datenschutz zur Verfügung.

NEU für KMU: Der DsiN Datenschutz-Navigator

Mit dem kos­ten­losen DsiN Daten­­­schutz-Navi­­gator können Mit­tel­ständler und Behörden nach 26 kom­pakten Fragen ihren indi­vi­du­ellen Umset­zungs­status bestimmen und erhalten auch, wo nötig, direkt erste Opti­mie­rungs­hilfen. Ein umfang­reicher PDF-Bericht dient Teil­nehmern als Ori­en­tie­rungs­vorlage für Nachbesserungen. .

Der neue DsiN Daten­­­schutz-Navi­­gator wird am 29.10.2018 prä­sen­tiert. Die VdS Scha­den­ver­hütung freut sich, Deutschland sicher im Netz mit unserem Know-how zu unter­stützen, KMU bei der Umsetzung der Anfor­de­rungen aus der DSGVO zu unter­stützen. https://www.datenschutz-navigator.org/