Page 28 - TREND REPORT April 2018
P. 28

30 EU-DSGVO | April 2018
TREND REPORT
trendreport.de
Globales Daten- handling
Unternehmen suchen nach global verfügbaren Rechenzentrumsplattfor- men, um die Vorgaben der Datenho- heitsgesetze und für das Auditing zu
erfüllen. Die DSGVO und ähnliche Ge- setze zum Datenschutz weltweit ma- chen es für Organisationen erforder- lich, über Rechenzentren in mehreren Regionen zu verfügen, um Daten lokal speichern zu können. Weitere Progno- sen finden Sie unter: https://blog. equinix.com/translations/de/acht- prognosen-fur-die-it-in-2018/
beim Datenschutz deutlich erhöht, die Rechte der Beschäftigten hingegen ge- stärkt. Diese erhalten die Hoheit über ihre Daten und das Recht, auf Anfrage zu erfahren, „ob, welche und in wel- chem Umfang personenbezogene Da- ten durch den Arbeitgeber verarbeitet werden“.
Das muss laut EU-DSGVO schneller und umfassender geschehen, als dies früher der Fall war. Unterneh- men ohne digitale Personalakte haben hier einen großen Aufwand, da die da- für zuständigen Personalabteilungen meist in einem mühseligen Prozess die zerstückelt geführten Personalakten, Gehaltsabrechnungen oder Berichte prüfen müssen. Wieland Volkert vom HR-Softwareanbieter PeopleDoc emp-  ehltdenEinsatzeinerdigitalenPerso- nalakte: „Die Arbeit mit der klassischen papiernen Personalakte ist im Gegensatz zum Einsatz einer digitalen Personalakte extrem zeitaufwendig, kompliziert, feh- leranfällig und häu g nicht daten- schutzkonform. Digitale Personalakten verbessern die Qualität der Personalab- teilung, die Zufriedenheit der Mitarbei- ter und den Schutz vor Verstößen gegen die EU-DSGVO.“
Checklisten helfen weiter
Um die Personalabteilungen zu unter- stützen, hat PeopleDoc eine „umfassende Compliance-Checkliste“ erstellt. „Wer die acht Punkte dieser Checkliste beach- tet, ist für die neuen Herausforderun- gen und P ichten, die durch die EU- DSGVO entstehen, bestens gewappnet“, so Volkert. Zu den Punkten gehören die Bildung einer Taskforce aus den verschiedenen Abteilungen des Unter- nehmens, die Prüfung aller personen- bezogenen Daten, die Prüfung der Zu- gri srechte auf diese Daten, die Aktua- lisierung der Datenschutzrichtlinien, die Dokumentation der Handhabung im Fall von Anfragen, die Beschrei- bung der Vorgehensweise im Fall einer Panne oder Verletzung des Daten- schutzes, die Ernennung eines speziel- len Datenschutzbeauftragten sowie die Schulung der Mitarbeiter. Den letzten drei Punkten kommt eine besondere Bedeutung zu: Im Fall einer Datenpan- ne muss diese innerhalb von 72 Stun- den der Datenschutzbehörde sowie dem Betro enen gemeldet werden. Hier gilt es, Verantwortlichkeiten für die Unter- suchung zu de nieren, Verfahren zur
„
Die Umsetzung der Verordnung muss im Unter- nehmen gelebt werden. “
Behebung der Panne im Vorfeld auszu- arbeiten und die Auswirkungen und Maßnahmen zu dokumentieren.
Die Mitarbeiter sind entscheidend
In der Person des Datenschutzbeauf- tragten wird die Verantwortung ge- bündelt; der Beauftragte ist für die Einhaltung der Compliance verant- wortlich und muss den Schutz der Da- ten gewährleisten. Er kann entweder ein Mitglied des Teams oder ein exter- ner Fachmann sein. Die Umsetzung der Verordnung muss im Unterneh- men „gelebt“ werden; das bedeutet, die Mitarbeiter zu sensibilisieren, aber auch über die Compliance-Regeln zu informieren, etwa die Frage, wer im Fall einer Nichteinhaltung zu infor- mieren ist. PeopleDoc rät, einmal pro Jahr eine Schulung für alle Mitarbeiter zu organisieren. Dr. Stefan Killich sieht hierin eine Aufgabe für die Unterneh- men wie für die Anbieter von Schulun- gen: „Qualitätsmanagement ist nicht etwas, bei dem jeder Mitarbeiter sagt: ‚Juhu endlich haben wir ein ISO 9001.‘ Auch beim  ema Datenschutz ist das nicht der Fall. So bleibt die Frage: Wie kriegt man das hin, dass es trotzdem ak- zeptiert und lebendig wird? Ich denke, da haben wir sehr große Erfahrungen.“
Chancen und Risiken
Die Risiken einer Verletzung des Da- tenschutzes sind groß und müssen im Einzelfall genau analysiert werden. Doch wie sieht es mit den Chancen aus? Uwe Rühl hebt den Aspekt der Organizational Resilience hervor, bei dem es nicht nur darum gehe, die ne-
„Organizational Resilience“ leben
TREND REPORT sprach mit Uwe Rühl, Founder der Rucon Gruppe, über die EU-DSGVO im Kontext von Daten- schutzmanagementsystemen (DSMS).
Auf unsere erste Frage hin, was Unter- nehmer beachten müssen, die gerade jetzt ein Datenschutzmanagement- system implementieren, entgegnete Uwe Rühl sofort, dass noch einiges in Bewegung sei.
Zum Beispiel wie einzelne Anforde- rungen der EU-DSGVO in Zukunft aus- gelegt werden sollen, vor allem im Rahmen der Rechtsprechung. Rühl betonte dabei: „Diese Unsicherheit sollte Unternehmen aber keinesfalls davon abhalten, bereits jetzt mit dem Aufbau eines DSMS zu beginnen. Denn es hilft den Unternehmen unge- mein, Strukturen aufzubauen und das Thema Datenschutz dauerhaft und systematisch zu verankern.“ Rühl er- klärte weiter: „Die Normenwelt bietet bereits valide Ansätze dazu, egal ob
„Unsicherheit im Kontext der DS- GVO“, betont Uwe Rühl, „darf Unternehmen keinesfalls vom Aufbau eines DSMS abhalten.“
die Basis eine ISO 9001, ISO/IEC 27001 oder eben BS 10012 ist.“ Unterneh- men, die bereits auf Qualitätsma- nagement setzen, haben es also einfa- cher. Uwe Rühl erklärt dazu: „Die EU- DSGVO sieht Zerti zierungen explizit als eine Möglichkeit des Nachweises
zur Einhaltung der Datenschutz-Prin- zipien vor. Darüber hinaus sind Daten- schutzsiegel denkbar. Die Freigabe er- folgt entweder über die Datenschutz- behörden oder über die nationalen Akkreditierungsstellen. Dazu gibt es in der Zwischenzeit einige Ansätze, von einem „reinen“ Datenschutzma- nagementsystem-Standard bis hin zu unterschiedlichen Lösungen, Daten- schutz mit bestehenden Manage- mentsystemen zu verbinden. Hier allen voran die ISO/IEC 27001 als Ma- nagementsystem-Standard für Infor- mationssicherheit, der mit anderen Standards aus der ISO-Welt sinnvoll ergänzt werden kann zu einem Da- tenschutzmanagementsystem.“
Im Gespräch gab uns Uwe Rühl noch wertvolle Tipps mit auf den Weg, die wir für Sie unter https://www.trend- report.de/EU-DSGVO/Rucon zusam- mengestellt haben.
https://rucon-group.com









































































   26   27   28   29   30