Herkulesaufgabe "DSGVO" mit Controlling-Hilfe meistern

Noch immer ist fast die Hälfte der Unternehmen nicht richtig auf die europäische Datenschutz-Grundverordung (EU-DSGVO) vorbereitet. Es bleibt nur noch ein halbes Jahr, um zu handeln. Das eigene Controlling könnte helfen.

44 Prozent der Unternehmen in Deutschland haben noch immer keine konkreten Maßnahmen gestartet, um die strengen Anforderungen der neuen europäischen Datenschutz-Grundverordnung zu erfüllen. Das geht aus der jüngsten DSGVO-Studie des Beratungsunternehmens IDC (International Data Corporation), die IDC im August 2017 unter 251 Unternehmen und Organisationen in Deutschland geführt hat, hervor. Der Stichtag, 25. Mai 2018, an dem die Verordnung in allen europäischen Ländern spätestens rechtlich umgesetzt sein muss, ist nur noch etwa sechs Monate entfernt. 

Editor's recommendation

01-11-2017 | Information & Technologie

Risiko Datenschutz

Im Mai 2018 treten die neue EU-Datenschutz-Grundverordnung und voraussichtlich die ePrivacy-Verordnung in Kraft. Unternehmen müssen ab dann eine Fülle neuer Bestimmungen beachten. Bei Verstößen drohen empfindliche Strafen. Ein entsprechendes Risiko-Management unter Leitung der Controlling-Abteilung ist empfehlenswert.

Wie die Ergebnisse der Umfrage zeigen, fehlt vielen Unternehmen noch der ganzheitliche Blick auf alle personenbezogenen Daten im Unternehmen. 83 Prozent beschäftigen noch keinen Datenschutzbeauftragten in der Firma, der die Einhaltung der gesetzlichen Anforderungen überwachen soll. 

Zweifel, ob Unternehmen "Herkulesaufgabe" noch stemmen können

Bei der Einführung DSGVO-relevanter Prozesse und Technologien klaffen der Studie zufolge ebenfalls noch große Lücken. Insbesondere die IT-Sicherheit ist nur mangelhaft auf die Ansprüche, die aus der Richtlinie entstehen, vorbereitet, heißt es.

"Dieses Ergebnis ist alarmierend", sagt Laura Hopp, Consultant bei IDC. "Wir gehen davon aus, dass Unternehmen, die erst jetzt damit beginnen, sich mit dem Thema auseinanderzusetzen, mindestens neun Monate in Verzug sind." Das Beratungsunternehmen zweifelt, "ob die Firmen diese Herkulesaufgabe bis zum 25. Mai 2018 noch stemmen können." 

Welche Anforderungen müssen Unternehmen beachten?

Die Identitäts- und Access-Management-Experten von Nexus haben die Anforderungsbereiche der DSGVO im Kern festgehalten: 

• Recht auf Vergessen: Organisationen müssen personenbezogene Daten auf Anfrage unverzüglich löschen (können).
• Privacy by Design: Die in Organisationen eingesetzten Systeme und Technologien müssen das Prinzip der Datensparsamkeit befolgen.
• Melden von Datenpannen: Organisationen müssen bei einer Datenpanne die Aufsichtsbehörden und die Betroffenen innerhalb von 72 Stunden informieren.
• Datenschutz-Folgeabschätzung: Organisationen müssen Risiken und mögliche Folgen für die Betroffenen bei der Verarbeitung von sensiblen personenbezogenen Daten bewerten.
• Freiwillige Einwilligung: Organisationen müssen eine Einwilligung zur Sammlung personenbezogener Daten einholen. Betroffene können diese jederzeit widerrufen.
• Datenübertragbarkeit: Organisationen müssen Betroffenen ihre personenbezogenen Daten in einem gebräuchlichen Format bereitstellen.

Diese Anforderungen bedeuten einen erheblichen Aufwand für Unternehmen. Nexus hat dazu auch eine Checkliste mit wichtigen Themen aufgestellt:

• Benennung eines DSGVO-Experten, der das Geschäft des Unternehmens und die interne Technologielandschaft genau kennt.
• Verschaffung eines Überblicks über die vorhandene Sicherheitsorganisation und die Sicherheitssysteme.
• Prüfung, ob eine Zertifizierung beispielsweise nach ISO 27001 (internationale Norm für Informationssicherheit) sinnvoll ist.
• Kritische Prüfung der eingesetzten Maßnahmen für den Schutz sensibler Daten. (Beispielsweise bietet eine Kombination aus Benutzername und Passwort allein keinen ausreichenden Schutz mehr vor dem Zugriff auf sensible Daten).  
• Schaffung der technischen Voraussetzungen für die Umsetzung der Verordnung (beispielsweise für das Löschen personenbezogener Daten nach Aufforderung).
• Kommunikationsabläufe definieren und dokumentieren – mit Betroffenen, deren Daten gelöscht oder transferiert werden sollen, sowie intern mit eigenen Mitarbeiter – und auch mit den zuständigen Datenschutzbehörden.
• Vereinbarungen und Verträge mit Lieferanten überprüfen, ob auch sie von den Vorgaben der EU-DSGVO betroffen sind und sie einhalten.
• Sensible Daten klassifizieren, um eine Datenschutz-Folgenabschätzung erstellen zu können.
• Alle relevanten Abteilungen und Unternehmensbereiche einbinden, um Lücken im System zu verhindern und zu gewährleisten, dass alle Anforderungen mitberücksichtigt werden.

Handlungsempfehlung: DSGVO-Steuerung durch das Controlling

Erster Schritt muss jedenfalls die Steuerung der Abläufe sein. Dazu verfolgen Martin Possekel und Dr. Sven Schiemann einen Ansatz, den sie in einem Fachbeitrag im Springer-Magazin "Controlling & Management Review" (8/2017) veröffentlicht haben: 

"Die systematische Prüfung und die Umsetzung der neuen Bestimmungen erfordern eine Anpassung der Prozesse. Sie sollten über ein entsprechendes Risiko-Management zentral gesteuert werden. Das Controlling ist hierfür prädestiniert", schreiben die beiden Unternehmer und Berater. 

Datenschutz sei zwar bislang in der Regel kein Thema gewesen, mit dem sich Controlling-Abteilungen befassen mussten. Und viele Unternehmen seien der Meinung, dass sich daran auch mit der DSGVO und der folgenden e-Privacy-Verordnung (ePVO) nichts ändern werde. "Sie liegen jedoch falsch", schreiben Possekel und Schiemann.

Es geht um weitreichende Einwilligungen des Kunden, hohe Auskunfts- und Transparenzpflichten über gespeicherte, verarbeitete und übermittelte Daten [...]  sowie klar definierte Verarbeitungsstandards [...]. Bei nunmehr empfindlichen Strafen [...] birgt die Nichteinhaltung der neuen Datenschutzvorschriften ein substanzielles finanzielles Risiko – und ist damit ein Thema für Risiko-Management und Corporate Governance, also für Controlling und Unternehmenssteuerung." Possekel und Schiemann im CMR-Fachbeitrag "Risiko Datenschutz".

Ein zentrales Risiko-Management sei dafür notwendig. Das Controlling müsse "dringend verstehen, wie weit das eigene Unternehmen in der Vorbereitung für Mai 2018 ist." Dazu helfen auch oben erwähnte Checklisten.

Fazit: Das DSGVO-Risiko-Management sollte nach Ansicht der Unternehmensberater federführend durch die kaufmännische Steuerung beziehungsweise das Controlling erfolgen. "Gelingen wird die Identifikation und Minimierung von Risiken [...] nur, wenn Datenschutz, IT und Fachabteilungen unternehmensweit zusammenarbeiten. Koordiniert und zentral gesteuert werden sollte der Prozess von einer Partei mit übergreifendem Unternehmensinteresse und einem tiefgehenden Verständnis für Systematisierung. Ein unternehmensübergreifendes, systematisches Risiko- und Umsetzungs-Management ruft nach Controlling. Es ist für diese Aufgabe prädestiniert und sollte insbesondere für einen entsprechenden Wissenstransfer Sorge tragen." (Possekel und Schiemann)

Im CMR-Beitrag geben die Autoren noch weitere, konkrete Handlungsempfehlungen für die erforderlichen Schritte und Anpassungen zur DSGVO in Unternehmen.