nach oben
Meine Merkliste
Ihre Merklisteneinträge speichern
Wenn Sie weitere Inhalte zu Ihrer Merkliste hinzufügen möchten, melden Sie sich bitte an. Wenn Sie noch kein Benutzerkonto haben, registrieren Sie sich bitte im Hanser Kundencenter.

» Sie haben schon ein Benutzerkonto? Melden Sie sich bitte hier an.
» Noch kein Benutzerkonto? Registrieren Sie sich bitte hier.
Ihre Merklisten
Wenn Sie Ihre Merklisten bei Ihrem nächsten Besuch wieder verwenden möchten, melden Sie sich bitte an oder registrieren Sie sich im Hanser Kundencenter.
» Sie haben schon ein Benutzerkonto? Melden Sie sich bitte hier an.
» Noch kein Benutzerkonto? Registrieren Sie sich bitte hier.

« Zurück

Ihre Vorteile im Überblick

  • Ein Login für alle Hanser Fachportale
  • Individuelle Startseite und damit schneller Zugriff auf bevorzugte Inhalte
  • Exklusiver Zugriff auf ausgewählte Inhalte
  • Persönliche Merklisten über alle Hanser Fachportale
  • Zentrale Verwaltung Ihrer persönlichen Daten und Newsletter-Abonnements

Jetzt registrieren
Merken Gemerkt
11.06.2018

DSGVO-Umsetzung ist Compliance- und kein IT-Thema

Eine Analyse zeigt: Die Umsetzung der DSGVO lässt sich nicht im Vorbeigehen erledigen. Empfehlenswert ist ein Vorgehen in drei Schritten.

Ziel der EU-DSGVO ist es, die Rechte der von Datenverarbeitungen betroffenen Personen besser als bislang und europaweit einheitlich zu schützen. Dazu zählen unter anderem Kunden, Lieferanten, Geschäftspartner, aber auch Mitarbeiter.

In drei Phasen zur Herstellung von Compliance

Datenverarbeitende Prozesse müssen dokumentiert und angepasst werden. Zudem gilt es, effiziente technische und organisatorische Maßnahmen zu definieren und zu implementieren. Beispielsweise müssen jederzeit sämtliche von einer Person gespeicherten Daten abrufbar sein – und das möglichst auf Knopfdruck.

Mit einem stringenten Projektmanagement können Unternehmen in drei Phasen sicherstellen, dass ihre Personendaten verarbeitenden Prozesse alle Anforderungen der DSGVO erfüllen.

1. Risiken analysieren

Phase eins dient der Identifikation von Compliance-Lücken. Unternehmen sollten die Risiken analysieren, die individuell für sie bestehen.
Hat eine Verletzung der DSGVO arbeitsrechtliche Konsequenzen?

  • Welche Bußgelder drohen?
  • Führen Verstöße zu einer Rufschädigung?
  • Zudem sollten bereits vorhandene Datenschutzprozesse mit den Vorschriften abgeglichen werden, um möglichen Handlungsbedarf zu identifizieren.

2. Maßnahmen planen

In Phase zwei werden die relevanten Handlungsfelder definiert und die nötigen Maßnahmen geplant, um die von der DSGVO geforderten Standards einhalten zu können. Dabei geht es um

  • die Anpassung von Prozessen,
  • die Aktualisierung des Verarbeitungsverzeichnisses,
  • die Überprüfung der technischen und organisatorischen Maßnahmen für die Datensicherheit sowie
  • die Erarbeitung von Löschkonzepten.

Auch sollten Betriebsvereinbarungen geprüft und gegebenenfalls neu verhandelt werden.

3. Umsetzung mit Einwilligungsmanagement

Die Umsetzung aller definierten Maßnahmen erfolgt in Phase drei. Einer der Kernpunkte ist, ein stringentes Einwilligungsmanagement zu implementieren. Dieses hat die Aufgabe, strukturiert abzufragen und zu dokumentieren, welche Personen wann zugestimmt haben, dass und zu welchem Zweck ihre Daten im Unternehmen erhoben, gespeichert und verarbeitet werden dürfen. Zudem ist die Einrichtung eines risikorelevanten Beschwerdemanagements empfehlenswert.

Gretchenfrage: Viele Daten oder Datensparsamkeit

Grundsätzlich erhöht die EU-DSGVO den Stellenwert des Datenschutzes in Unternehmen, denn Verstöße werden nun deutlich Compliance-relevanter.
Gleichzeitig ist jetzt eine gute Gelegenheit für strategische Überlegungen darüber, was die höheren Datenschutzanforderungen grundsätzlich für die Modernisierung des eigenen Geschäftsmodells bedeuten.

„Unternehmen müssen sich die Gretchenfrage stellen, wie sie es mit den Daten halten wollen: Ob sie führend im Datenmanagement und in der Ableitung entsprechender Wettbewerbsvorteile sein wollen, oder grundsätzlich bewusst sparsam bei der Speicherung von Daten. Beides ist möglich und kann sinnvoll sein“, so Andreas Hopfener, Experte für Risikomanagement & Compliance von Horváth & Partners.

Redaktion QZ
qz <AT> hanser.de

Horváth & Partners

Weiterführende Information
DNV GL Business Assurance [Anzeige]

Kostenloser Download

  • 5 Schritte zu einem nachhaltigen Prozessmanagement

  • Prozessreifegrad Assessments

  • Self-Assessment BPM

Jetzt kostenlos downloaden!