Wer sollte Ihr DSGVO-Projekt managen?

Wer sollte Ihr DSGVO-Projekt managen?

Die Datenschutz-Grundverordnung (DSGVO) tritt im Mai 2018 in vollem Umfang in Kraft. Damit bleibt Unternehmen nur noch knapp ein Jahr für die Vorbereitungen auf die Compliance. Viele Unternehmen sind jedoch besorgt, da eine Nichteinhaltung der Verordnung sowie Datensicherheitsverletzungen hohe Strafen nach sich ziehen.

Das Thema DSGVO wirft viele Fragen auf. Was genau ist die DSGVO? Wer ist davon betroffen? Und wer übernimmt im Unternehmen die Verantwortung für Themen rund um die Verordnung?

Einige meinen, dass die Bemühungen bezüglich der DSGVO vom Chief Information Officer (CIO) geleitet werden sollte, während andere angesichts der strikten Sicherheitsanforderungen den Chief Information Security Officer (CISO) in der Verantwortung sehen. Wieder andere glauben, dass der CEO und der Vorstand schlussendlich für die Compliance zuständig sind. Einige IT-Techniker haben auch darauf hingewiesen, dass ein neuer Chief Data Officer (CDO) eine wichtige Rolle spielen könnte.

Die Übernahme der Verantwortung steht im Mittelpunkt der aktualisierten Datenschutzvorschriften, die die Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr aus dem Jahr 1995 ersetzt. Wer sollte nun also die Verantwortung für das Management der DSGVO im Unternehmen übernehmen?

Experten sagen, dass alle im Unternehmen verantwortlich sind. Daher müssen die leitenden Mitarbeiter – der Datenschutzbeauftragte (DPO), der Chief Data Officer (CDO), der CIO und der CISO – zusammenarbeiten, um eine problemlose Compliance zu erreichen.

Gleichzeitig muss jemand die Leitung des DSGVO-Projekts übernehmen. Eine starke Führung ist wichtig, sagt Duncan Brown, Associate Vice President, Europäische Sicherheitspraxis, bei IDC EMEA.

„Manchmal geht es einfach darum, dass jemand die Hand hebt und sagt ‚Ich übernehme die Verantwortung‘“, sagt er.

Die Bemühungen um die DSGVO-Compliance müssen direkt auf der obersten Hierarchie-Ebene des Unternehmens angesiedelt sein: Ohne die Unterstützung des Vorstands ist Compliance nicht möglich. Schließlich ist es am Ende der Vorstand, der verantwortlich ist, sagt Saurabh Ghelani, Experte für digitales Vertrauen und DSGVO bei der PA Consulting Group.

Ghelani rät zu einem funktionsübergreifenden Führungsteam aus leitenden Mitarbeitern aller Geschäftsbereiche wie Marketing, Kundendienst und Beschaffung. „Auf diese Weise wird die Implementierung der DSGVO ein Erfolg“, sagt er.

Datenschutzbeauftragter

Einige Unternehmen müssen im Rahmen der DSGVO bis Mai 2018 einen Datenschutzbeauftragten ernennen, was bei manchen Unternehmen zu der Annahme geführt hat, der Datenschutzbeauftragte sei für alle Aspekte der DSGVO verantwortlich.

Das muss jedoch nicht zwangsläufig der Fall sein. Der Datenschutzbeauftragte gewährleistet die Einhaltung der Verordnung, sagt Tim Grieveson, leitender Cyber- und Sicherheitsstratege, EMEA bei Micro Focus. Er fügt hinzu: „Alle, vom Vorstand bis zum Arbeiter, sind für die DSGVO verantwortlich, wenn sie mit Daten von Bürgern umgehen.“

Brown zufolge ist es nicht die Aufgabe des Datenschutzbeauftragten, alle Entscheidungen mit Bezug zur DSGVO zu überwachen: „Der/Die Datenschutzbeauftragte ist kein Entscheidungsträger, der die Datenverarbeitung festlegt und beispielsweise entscheidet, welche Software zu verwenden ist. Er/Sie ist der „Überwachungsbeauftragte“ für die interne Verarbeitung und nicht für solche Entscheidungen verantwortlich.“

Dementsprechend ist die Implementierung der DSGVO nicht die Leistung eines Einzelnen, sagt Ghelani.

„Die Integration der DSGVO liegt nicht nur in der Verantwortung des Datenschutzbeauftragten. Sie ist ebenso ein Thema für die gesamte Organisation und muss von allen wichtigen Funktionsträgern unterstützt werden.“

Er erläutert weiter: „Zunächst können der Datenschutzbeauftragte oder die Rechtsabteilung und Compliance-Funktionsträger die Implementierung der DSGVO vorantreiben. Allerdings müssen am Ende alle Beteiligten mit Bezug zu personenbezogenen Daten zu gleichen Teilen an dem Projekt teilnehmen, da es Auswirkungen auf ihre Rollen und Tätigkeiten haben wird.“

Ghelani zufolge sollte die Verantwortung für das Vorantreiben des DSGVO-Projekts bei einem leitenden Beauftragten des Managements liegen, der „Gewicht, Befugnis und Sichtbarkeit im ganzen Unternehmen hat“, falls das Unternehmen noch keinen Datenschutzbeauftragten ernannt hat.

Diese Rolle könnte möglicherweise der COO oder CEO übernehmen. Er/Sie kann ein unternehmensweites Netzwerk unterstützen, um die DSGVO effektiv und effizient zu implementieren.

Leitung der DSGVO

Die Auswahl des Leiters des DSGVO-Projekts ist auch von den Anforderungen des einzelnen Unternehmens abhängig. Aus diesem Grund muss analysiert werden, wie die Organisation zur DSGVO steht: „Es hängt von Ihrer Herangehensweise an die DSGVO ab und in welcher Branche Sie arbeiten“, sagt Brown. Beispiel: „Wenn Sie in puncto IT-Ausgaben und Geschäftsrisiko eher konservativ agieren, wäre möglicherweise eine Ansiedlung in der Rechtsabteilung besser.“

Wenn ein Unternehmen die DSGVO jedoch positiv sieht, kann die Verordnung auch als Alleinstellungsmerkmal eingesetzt werden. Nehmen wir beispielsweise ein Marketing-Datenbankunternehmen aus Norwegen, das mit personenbezogenen Daten arbeitet.

„Aufgrund der Art ihres Unternehmens stellt die DSGVO eine erhebliche Bedrohung dar“, sagt Brown. „Aber die Person, die das Programm leitet, ist der Leiter der Marketingabteilung. Seiner Meinung nach kann er die Verordnung als Wettbewerbsvorteil nutzen, wenn er die DSGVO besser implementiert.“

Brown nennt außerdem ein Beispiel eines Unternehmens in Belgien, das mit sensiblen personenbezogenen Daten arbeitet. „Wenn das Unternehmen das verliert, steht die Insolvenz an. Der Leiter des Programms ist der CEO, da es sich dabei um ihre Kern-Geschäftsstrategie handelt.“

Im Großen und Ganzen ist es nicht wichtig, wer das Programm leitet, solange jemand die Leitung übernimmt, sagt Brown. „Ganz egal, wer die Leitung übernimmt, es muss ein abteilungsübergreifendes Projekt sein“, fügt er hinzu.

Es geht um die Zusammenarbeit über Abteilungen hinweg, stimmt Grieveson zu. Er rät: „Mobilisieren Sie eine größere Anzahl an Mitarbeitern, nicht nur den CIO und das IT-Team. Beziehen Sie die Marketingabteilung sowie Risikomanagement und Compliance mit ein. Für [die DSGVO] ist jeder verantwortlich.“

Sobald jemand als Leiter des DSGVO-Projekts ausgewählt wurde und das gesamte Unternehmen an Bord ist, müssen Schulungen für die Mitarbeiter organisiert werden. Grieveson sagt, dass Schulungen an die Art der Abteilung angepasst werden müssen. „Es gibt keine Einheitslösungen“, erläutert er.

Im gesamten Unternehmen muss jeder seine Aufgaben und die Folgen seiner Handlungen kennen, sagt Brown. „Wir sind bis zu einem gewissen Grad alle für die Compliance verantwortlich. Unternehmen müssen dafür sorgen, dass alle Mitarbeiter informiert sind.“

„Unternehmen neigen dazu, Mitarbeiter einmal im Jahr zu einer Cyber-Sicherheitsschulung zu schicken“, sagt er. „Das reicht nicht aus, es muss ein fortlaufender Prozess sein.“

Grieveson rät Unternehmen, sich erfahrene Partner wie Micro Focus zu suchen: „Mit unserem ‚Journey to Value‘-Angebot können mehrere Abteilungen für die DSGVO-Compliance an einen Tisch gebracht werden.“

Viele Unternehmen werden bis Mai 2018 keine Compliance erreichen“, sagt Grieveson. „Am besten sehen Sie das Datum als Beginn der Durchsetzung und entwickeln weiterhin ein Konzept für den Datenschutz, das sich mit den Änderungen in Ihrem Unternehmen weiterentwickelt.“

CISO Compliance-Beauftragter Datenschutzbeauftragter

Teilen Sie uns in der Diskussion bei LinkedIn Ihre Meinung mit!

ABONNIEREN

Melden Sie sich an und erhalten Sie aktuelle Informationen zu DSGVO & Beyond