Wie beginnen Sie mit Ihren Vorbereitungen auf die DSGVO-Compliance? Wir haben die Experten gefragt.

Wie beginnen Sie mit Ihren Vorbereitungen auf die DSGVO-Compliance? Wir haben die Experten gefragt.

Wir sehen uns die besten Tipps für Unternehmen an, die die Datenschutz-Grundverordnung der EU ab 25. Mai 2018 einhalten möchten.

Erste Schritte und Auswirkungen auf Unternehmen verstehen

Brian Honan (@BrianHonan), CEO von BH Consulting, erläutert, dass es für Unternehmen aller Formen und Größen an der Zeit ist, DSGVO-Compliance-Pläne zu entwickeln, da die DSGVO in weniger als einem Jahr in Kraft treten wird.

„Beschäftigen Sie sich jetzt mit der DSGVO und ihren Auswirkungen auf Ihr Unternehmen. Die Verordnung tritt in weniger als einem Jahr in Kraft und es ist wichtig, dass Sie vor dem 25. Mai 2018 alle Vorbereitungen abgeschlossen haben“, erklärt er.

Auch der IDC-Analyst Duncan Brown (@duncanwbrown) verweist auf die schnell näher rückende Frist und sagt einfach: „Wichtige Tipps? Fangen Sie an. Zu viele Unternehmen stecken den Kopf immer noch in den Sand oder denken, [die DSGVO] gilt nicht für sie.“

Er fügt außerdem hinzu, dass Unternehmen ihre Pläne beschleunigen müssen, indem sie Prioritäten setzen: „Finden Sie die Bereiche, die dringend Aufmerksamkeit verlangen, und konzentrieren Sie sich darauf. Dabei kann es sich beispielsweise um Lücken bei der Prozessabdeckung oder der Datensensitivität handeln.

Bereiten Sie sich auf eine Änderung der Lebensweise vor. Die DSGVO ist keine Crash-Diät mit einem Ende, Unternehmen müssen ihr Verhalten dauerhaft ändern.“

Penny Jones, Hauptanalystin bei 451 Research (@451Research) stimmt zu und sagt, dass das Verstehen der Verordnung und ihrer Auswirkungen auf Ihr Unternehmen der Schlüssel zur Compliance ist. „Unternehmen müssen alles dafür tun, um zu verstehen – selbst wenn es ihre eigene Auslegung der DSGVO ist –, was die Verordnung festlegt und was sie für die Compliance tun müssen.

„Dann müssen alle vorhandenen Prozesse dokumentiert werden, um Compliance zu erreichen oder aufrechtzuerhalten. Auf diese Weise sind Unternehmen vorbereitet, wenn Fälle mit Bezug zur DSGVO von den Datenschutzbehörden in ihrer Gerichtsbarkeit aufgebracht werden oder wenn ein Fall vor die Gerichte kommt. Bis Fälle vor dem Europäischen Gerichtshof oder im Rahmen der Gerichtsbarkeit einer lokalen Regulierungsbehörde vorgebracht werden, sind viele Punkte der DSGVO Auslegungssache. Der beste Schutz eines Unternehmens ist heute der Nachweis, dass Maßnahmen ergriffen wurden, die das Unternehmen für die Compliance als wichtig erachtet.“

Neira Jones (@neirajones), Technologieberaterin und Consultant, die früher Direktorin für die Zahlungssicherheit bei Barclaycard war, fügt hinzu, dass sich Unternehmen bei der Vorbereitung auf die DSGVO ansehen müssen, wie die Verordnung neben anderen Branchenvorschriften funktionieren wird, insbesondere da einige dieser Vorschriften bereits Anforderungen der DSGVO abdecken.

Sehen Sie sich nicht nur die DSGVO an, sondern beachten Sie auch Vorschriften wie die Richtlinie über Zahlungsdienste im Binnenmarkt (insbesondere für Sicherheit und Authentifizierung), die vierte EU-Geldwäscherichtlinie (insbesondere KYC und Authentifizierungsidentifizierung), die Datenschutzrichtlinie für elektronische Kommunikation (die Lex Specialis zur DSGVO ist), den EU-US-Datenschutzschild und die PCI DSS.

„Bei einem ganzheitlichen Blick auf die Aspekte der Sicherheit/Finanzkriminalität wird klar, dass es viele Synergien und Skalierungsvorteile gibt. Organisationen stellen möglicherweise fest, dass sie bereits sehr viel für die Compliance tun.“

Datenschutzbeauftragten ernennen

Zum Thema der wichtigsten Priorität sagt Honan: „Es stellen sich Fragen wie: Wer wird Ihr Datenschutzbeauftragter sein? [dies ist nur für einige Organisationen obligatorisch, kann in bestimmten Fällen jedoch von Vorteil sein – Hg] Wie integrieren Sie ‚Privacy by Design‘ bei der Entwicklung Ihrer Produkte und/oder Dienste? Und wie gut sind Sie darauf vorbereitet, Datenschutzverstöße bei personenbezogenen Daten aufzuspüren und darauf zu reagieren?“

Zwar ist die Ernennung eines Datenschutzbeauftragten im Rahmen der DSGVO nicht obligatorisch, dennoch kann ein DPO das Datenschutzkonzept eines Unternehmens verbessern.

„Geben Sie einem Datenschutzbeauftragten Befugnis und Verantwortung sowie direkten Zugang zum Vorstand“, rät Edward Lucas (@edwardlucas), leitender Redakteur bei The Economist auf die Frage, wie sich ein Unternehmen auf die DSGVO vorbereiten kann.

Daten bereinigen und Vertrauen aufbauen

„Mein bester Tipp für die DSGVO-Compliance wäre, vor allem anderen zu gewährleisten, dass Sie Ihr ‚Daten-Vermögen‘ verstehen“, sagt Dan Hedley, Senior Associate bei Irwin Mitchell (@irwinmitchell).

„Also, welche Daten Sie wirklich haben, auf wen sich die Daten beziehen, woher sie kommen, warum Sie die Daten benötigen, was Sie damit tun, wo sie gespeichert sind, mit wem diese Daten ausgetauscht werden, wie Sie Daten auf dem neuesten Stand halten, wie lange Sie sie behalten, was Sie den Personen über all diese Dinge gesagt haben und wie Sie das getan haben. Ohne diese grundlegenden Fakten können Sie den Prozess der Compliance nicht beginnen, da Sie nicht sagen können, was Sie für das Erreichen der Compliance tun müssen.“

Neira Jones stimmt zu, dass gesammelte und gespeicherte Daten analysiert werden müssen, und fügt hinzu: „Wenn Sie Daten nicht brauchen, sammeln Sie sie nicht. Verringern Sie die Datenmenge auf das absolute Minimum, schützen Sie, was übrig bleibt, und implementieren Sie eine vernünftige Aufbewahrungsrichtlinie.“

Rowenna Fielding (@Missig_geek), Datenschutzverantwortliche bei Protecture Limited, fügt hinzu: „Haken Sie keine Compliance-Kästchen ab, sondern behandeln Sie personenbezogene Daten so, als ob es das Geld Ihres Unternehmens wäre – informieren Sie sich darüber, wo es herkommt, wer es für was verwendet, wo es aufbewahrt wird und wohin es geht. Dann folgen Compliance und gute Kundenerfahrung von alleine.“

„Die DSGVO ist eine Gelegenheit zum Hausputz“, sagt Elliott Haworth (@ElliottDHaworth), Autor von Unternehmensartikeln bei City A.M., der viel zu diesem Thema geschrieben hat.

„Ein guter Ausgangspunkt ist ein systemweites Data-Mapping: Zu wissen, welche personenbezogenen Daten in Ihrem Unternehmen wo gespeichert werden, wird alle Zugangsanfragen erleichtern. Sobald Sie verstehen, was Sie haben, stellen Sie die Frage nach dem ‚Warum‘ oder ob Sie die Daten benötigen. Wozu verwenden Sie die Daten? Wenn Sie nicht sofort eine Antwort haben, löschen Sie sie. Im Rahmen der neuen Verordnung benötigen Sie das ausdrückliche Einverständnis für jedes Datenhäppchen, das Sie haben. Je weniger Daten Sie also haben, desto einfacher wird das Management.“

„Meiner Meinung nach ist Ehrlichkeit der wichtigste Teil bei der DSGVO-Compliance“, sagt Privatsphäre-Aktivist Alexander Hanff (@alexanderhanff), CEO und Gründer von Think Privacy.

„Wenn Sie nicht ehrlich zu sich selbst sind, was die von Ihnen gesammelten Daten, Ihre Absichten für Verarbeitung und Aufbewahrung angeht und ob Sie die Daten überhaupt benötigen, werden Sie immer mit dem Erreichen der Compliance kämpfen. Ein ‚Privacy Impact Assessment‘ ist eine gute Möglichkeit, vollständige Ehrlichkeit muss jedoch auch hier gegeben sein.

Ehrlichkeit ist jedoch viel mehr als nur Selbstprüfung. Sie müssen auch ehrlich zu Ihren Datenschutzbeauftragten sein. Der DPO ist kein Entwickler oder Vermarkter. Er/Sie braucht Ihre Ehrlichkeit, um seine/ihre Aufgaben erledigen zu können. Und auch hier gilt: Wenn Sie nicht ehrlich sind, werden Sie Schwierigkeiten mit der Compliance haben.“

Hanff fügt außerdem hinzu, dass sich diese Ehrlichkeit auch auf die Aktualisierung von Datenschutzbestimmungen und auf Gespräche mit Regulierungsbehörden bei einer Datenschutzverletzung erstrecken sollte.

Ganzheitliche Risikobewertungen und klare Kommunikation

Stewart Room (@stewartroom), globaler Leiter für Cybersecurity und Datenschutz bei PwC Legal, sagt: „Der Schlüssel zum Erfolg ist eine Risiko-orientierte Herangehensweise an die Priorisierung des DSGVO-Programms. Dazu wird eine Grundlage für ganzheitliche Risikobewertungen benötigt, die über die einfachen Angelegenheiten der rechtlichen Compliance-Risiken hinausgeht. Organisationen sollten die Wahrscheinlichkeit negativer Untersuchungen und deren mögliche Formen analysieren. Auf diese Weise können sich Organisationen auf künftige Krisensituationen vorbereiten.“

Rav Roberts, globaler Leiter der digitalen Governance und Compliance bei Diageo (@diageo_News), sagt, dass Kommunikation essenziell für die DSGVO-Compliance von Unternehmen sei.

„Mein bester Tipp für ein globales Unternehmen wie unseres ist, effektives Engagement und maßgeschneiderte Kommunikation mit allen erforderlichen internen und externen Beteiligten, die von der DSGVO betroffen sind, in den Mittelpunkt zu stellen.“

Intern sollten laut Roberts die Marketing-, Rechts-, IT-, Personal- und Beschaffungsabteilung bis zum letzten Mitarbeiter verantwortlich sein. Er bemerkt jedoch auch, dass sich Unternehmen auf externe Parteien wie Agenturen, Systemintegratoren und insbesondere Regulierungsbehörden wie die ICO konzentrieren sollten.

CISO Compliance-Beauftragter Datenhoheit Recht

Teilen Sie uns in der Diskussion bei LinkedIn Ihre Meinung mit!

ABONNIEREN

Melden Sie sich an und erhalten Sie aktuelle Informationen zu DSGVO & Beyond