DSGVO tritt 2018 in Kraft

Die neue Datenschutz-Grundverordnung der EU (DSGVO) tritt im Mai 2018 in Kraft. Das bedeutet noch extreme Arbeit, damit Ihre Organisation keine Probleme bekommt.

„Dies kann Ihnen viel Geld kosten, die Strafen sind beträchtlich; bis zu 20 Millionen EUR“. Mit diesen und ähnlichen wilden Aussagen  wird um Kundschaft geworben.

Erste Informationen über die DSGVO

Um mich auf dieses Thema vorzubereiten besuchte ich einige Vorträgen über die Thematik. So wie es Einige im Moment sicherlich ebenfalls tun.

Vielen dieser Veranstaltungen, Blog-Beiträge, etc. wurden mit den Bemerkungen über sehr hohen Strafen, aufsichtsrechtlichen Verfahren und mögliche Gerichtsverfahren abgeschlossen.

Grundsätzlich ist diese Aussage richtig. Sie beruht tatsächlich auf Paragrafen des neuen DSGVO.
Nur die zusätzlichen Textpassagen werden nicht zitiert. Diese horrenden Beträge gelten für Großunternehmen. Bei grobfahrlässigen bis vorsätzlichen wiederholten Verhalten.
Zuerst hatte ich das Gefühl einer gewissen Panik, aber mit der Zeit war mir klar.

Panik und Angst erzeugen ist auch eine gute Akquisitionsmasche.

Nach Durchlesen von einigen Präsentationen und weiterführenden Texten war mir klar. Für mich als Einzelunternehmen und damit einen Großteil meiner Kollegenschaft trifft das nicht zu. Natürlich kann es ärgerlich sein, wenn ein Kunde oder Klient sich über die weitere Zusendung von Newsletter beschwert obwohl er mir schon paar mall ein Stornierungsmail zugeschickt hat.

Ich möchte damit nicht die Arbeit die für die Umsetzung der DSGVO herunterspielen. Da wird noch einige Zeit in Analysen, rechtlich notwendige Textänderungen und in das Aufarbeiten von IT-Schwachstelen aufgehen. Aber bitte keine Panikattacken. Das hilft nur den Berater, die gerne  ihre Umsätze erhöhen wollen.

Erste Priorisierungen

Nach einer intensiveren Einarbeitung konnte mir ein grobes Vorgehensmodell erarbeiten. Es war mir auch klar das eine Priorisierung der Umsetzungsaktivitäten notwendig ist. Dies wurden von einigen – eher pragmatisch  orientierten – Vortragenden vorgeschlagen.

Der erste wichtigste Vorbereitungsschritt ist sicherlich auf die erste Anfrage eines Kunden oder Klienten (=Betroffenen) vorbereitet zu sein. D.h. Ein Link auf die Homepage stellen, damit dieser die Anfrage stellen kann. Sich auf eine Anfragebeantwortung unternehmensintern vorbereiten. Checklisten und Formulare vorbereiten und eine Anfrage einmal durchspielen.

Als zweiten sollte im Mai das Verfahrensverzeichnis erstellt sein. Das muss einmal nicht EDV-gestützt erfolgen. Es muss die Verantwortlichen und die Hauptprozesse (Verfahren), sowie die Rechtgrundlage (=Warum darf ich Daten abspeichern) enthalten.
Alle die Erkenntnisse über Unzulänglichkeiten und Fehlern, die beim Erheben dieser Informationen entstehen sind einmal dokumentieren. Dann in machbare Schritte zusammenfassen und abarbeiten.

Dieses Vorgehen möchte ich dann in den nächsten Beiträge darstellen.