Da ist sie also endlich: Die EU-Datenschutzgrundverordnung. Kurzform: DSGVO. Damit verfügt die EU nun länderübergreifend über einen einheitlichen Datenschutz. Zumindest in der Theorie, denn bei vielen Betrieben fängt die eigentliche Arbeit jetzt erst an.

„Wir aktualisieren unsere Datenschutzerklärung“, „Änderungen der Datenschutzrichtlinie“, „Wir bitten Sie um Ihre Zustimmung“ … Mit Betreffzeilen wie diesen bombardierten viele Unternehmen ihre Kunden und Geschäftspartner in den vergangenen Wochen. Auch wenn der eine oder andere über die Flut an Mails genervt war, war diese Maßnahme notwendig. Längst nicht jedes Unternehmen hat sämtliche Anpassungen durchgeführt, um in puncto Datenschutz rechtzeitig compliant zu sein. Erstaunlich allerdings, dass nur die wenigsten Unternehmen die neuen Anforderungen ein paar Tage vor dem Stichtag umgesetzt hatten und entsprechend darüber informierten.

DSGVO noch nicht flächendeckend umgesetzt

Auch wenn jetzt die Datenschutzerklärung und die AGB modernisiert im Netz zu finden sind, müssen nach Einschätzung von Experten vielfach noch grundlegende „Hausaufgaben“ gemacht werden. Nicht selten sind selbst simple Anforderungen längst nicht überall gesetzeskonform umgesetzt: Das ist etwa dann der Fall, wenn PC-Passwörter fehlen oder der Hinweis auf das (nicht ausreichende) Passwort „12345“ auch noch unter der Schreibtischunterlage auffindbar ist.

Neben einer mangelhaften Authentifizierung übersehen viele Unternehmen auch klassische Risiken, wie sie etwa durch die unsachgemäße Verwendung eines Etagendruckers bestehen: Können auf das Gerät theoretisch alle Mitarbeiter zugreifen, dürfen hier beispielsweise nicht ohne weitere Vorkehrungen sensible Schriftstücke der Personalabteilung ausgedruckt werden. Viel wäre häufig schon gewonnen, wenn Passwörter gesetzt würden und nicht die Standardeinstellungen seit der Inbetriebnahme unverändert verwendet würden.

Transparenz in Prozessen schaffen

Doch wie beginnt man systematisch damit, sein Unternehmen so auszurichten, dass es künftig mit Behörden oder Anwälten keinen Ärger gibt? Fast einhellig empfehlen Fachleute, bei der Dokumentation der Prozesse zu beginnen. Denn erst, wenn interne Abläufe transparent sind, kann man genau feststellen, was bereits compliant ist und wo eventuell noch nachgebessert werden muss. Kernfragen, die geklärt werden sollten: Wo werden im Unternehmen Daten verarbeitet? Wie werden Daten gespeichert? Wie lange und an welchem Ort werden Daten gespeichert? Wer darf auf die gespeicherten Daten zugreifen? Und nicht zuletzt: Entspricht diese Vorgehensweise den neuen rechtlichen Rahmenbedingungen?

Um die Transparenz zu verbessern, sind zuvorderst die einzelnen Fachabteilungen gefragt. Sie haben einen genauen Überblick über einzelne Arbeitsabläufe und können den üblichen Workflow am besten beschreiben. Vermessen wäre es jedoch, die Umsetzung der DSGVO primär an Abteilungsleiter zu delegieren. Das wäre in etwa so, wie einen einzelnen Lokomotivführer für den Betrieb eines Großstadtbahnhofs verantwortlich zu machen.

Externe Unterstützung meist notwendig

Gerade mittelständischen Unternehmen sollte bewusst sein, dass die komplexen Anforderungen der DSGVO meist nicht ohne externe Hilfe umgesetzt werden können. Selbst wenn intern ein erfahrener Informatiker vorhanden ist und dieser alle technischen Voraussetzungen eigenständig umsetzen kann: Es gilt, auch organisatorische Abläufe anzupassen und rechtliche Fragen zu klären.

Je nachdem, wie weit digitale Prozesse im Unternehmen bereits umgesetzt sind, kann die Einführung eines Dokumentenmanagementsystems (DMS) entscheidende Verbesserungen bewirken. Dabei lassen sich DMS-Systeme häufig so zusammenstellen, dass sie exakt an die Geschäftsprozesse des Unternehmens anschließen. Informationen werden schneller und gezielter aufrufbar. Gesetzliche Vorschriften werden eingehalten und vereinbarte Compliance-Anforderungen umgesetzt. Durch verbesserte Controlling-Möglichkeiten nimmt die Transparenz zu. Gleichzeitig verbessert sich die Dokumentensicherheit, und die Risiken des Dokumentenverlustes sinken.

Datenschutz durch DMS

Doch ganz gleich, wie die nächsten Schritte konkret aussehen: Die Aufregung der letzten Wochen um neue Datenschutzerklärungen sollten Unternehmen nutzen, um noch einmal alle bereits umgesetzten Maßnahmen zu prüfen und weitere Schritte einzuleiten. Um baldmöglichst alle Compliance-Anforderungen zu erfüllen, müssen sich Management, EDV- und Rechtsberater an einen Tisch setzen und sich untereinander abstimmen.

Weitere Informationen finden Sie auch in unserem E-Book „Rechtskonform dank DMS: Wie kleine und mittlere Unternehmen die DSGVO umsetzen“.