Rechtliches

DSGVO & die KMU: Was Sie jetzt noch tun sollten

31. Januar 2018
  • Rechtliches

© BirgitKorber - Fotolia.com

Sehr vielen Unternehmen fällt es schwer, die kommende Datenschutz-Grundverordnung (DSGVO) umzusetzen. Gerade kleine und mittelständische Unternehmen (KMU) haben größte Schwierigkeiten. Hier paaren sich oft ein knappes Budget und wenig Personal. Setzen Sie jetzt jedoch die richtigen Prioritäten, schaffen Sie den Einstieg in die DSGVO.

Externe Unterstützung für die DSGVO

Wenn intern die Ressourcen fehlen, können Outsourcing oder aber das Insourcing von Kompetenzen Mittel der Wahl sein. Gerade für KMU finden sich viele Angebote: Beratungen, Schulungen und spezielle Tools sollen beim Umsetzen der DSGVO helfen. Auch wir sind für Sie da: was wir für Sie tun können, finden Sie auf dieser Website.

Eine Studie des Digitalverbands Bitkom zeigt: Schon jetzt holt sich jedes zweite Unternehmen Hilfe beim Umsetzen der EU-Datenschutz-Grundverordnung. Externe Dienstleister scheinen willkommener als das Aufstocken des vorhandenen Personals: Lediglich jedes 4. Unternehmen (25 Prozent) setzt zusätzliches Personal ein, um die DSGVO umzusetzen. Nur 5 % der Unternehmen haben weiteres Personal eingestellt. 20 Prozent hingegen geben an, bereits vorhandenes Personal im Rahmen einer Umstrukturierung für die DSGVO einzusetzen.

KMU nehmen eine Sonderrolle ein

Die DSGVO ist ein gewaltiges Regelwerk – dementsprechend sind sich sowohl die Aufsichtsbehörden als auch der Gesetzgeber mehr als bewusst darüber, dass gerade KMU Probleme beim Umsetzen der neuen Pflichten haben werden. Deshalb werden vielfach spezielle Schulungs- und Beratungsangebote offeriert. Ein Beispiel dafür ist der Online-Test zur Standortbestimmung, der vom Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) entwickelt wurde.

Auch wir bieten Ihnen verschiedene Optionen: Mit einer Ist-Aufnahme können Sie herausfinden, wo Ihr Unternehmen derzeit im Bereich Datenschutz steht. Mit ISA+ Informations-Sicherheits-Analyse haben wir zudem einen standardisierten Sicherheitscheck mit nur 50 Fragen für Sie im Portfolio. Kommen Zertifizierungen für Ihr Unternehmen in Frage, zeigt diese Analyse sehr konkret auf, in welchen Bereichen Sie bereits gut aufgestellt sind und wo Nachholbedarf besteht.

Besondere Maßnahmen für Kleinstunternehmen & KMU

Auch die DSGVO selbst setzt sich mit der speziellen Situation für Kleinstunternehmen und KMU auseinander. So finden sich beispielsweise in den Erwägungsgründen der DSGVO besondere Maßnahmen für Kleinstunternehmen und KMU. Weiter heißt es dort: „Um der besonderen Situation der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen Rechnung zu tragen, enthält diese Verordnung eine abweichende Regelung hinsichtlich des Führens eines Verzeichnisses für Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen. Außerdem werden die Organe und Einrichtungen der Union sowie die Mitgliedstaaten und deren Aufsichtsbehörden dazu angehalten, bei der Anwendung dieser Verordnung die besonderen Bedürfnisse von Kleinstunternehmen sowie von kleinen und mittleren Unternehmen zu berücksichtigen.“

So beschäftigt sich etwa Art. 30 DSGVO mit dem Verzeichnis von Verarbeitungstätigkeiten. Unternehmen mit unter 250 Mitarbeitern sind nicht verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten zu führen, wenn …

  • … die vorgenommene Verarbeitung kein Risiko für die Rechte und Freiheiten betroffener Personen birgt,
  • … die Verarbeitung nicht nur gelegentlich erfolgt,
  • … die Verarbeitung nicht besondere Datenkategorien oder das Verarbeiten von personenbezogenen Daten über Straftaten oder strafrechtliche Verurteilungen einschließt.

Schulung und Aufklärung für KMU

Für KMU sollen auch in den Bereichen Schulung und Aufklärung besondere Maßnahmen ergriffen werden. Im Gesetzestext heißt es: „Auf die Öffentlichkeit ausgerichtete Sensibilisierungsmaßnahmen der Aufsichtsbehörden sollten spezifische Maßnahmen einschließen, die sich an die Verantwortlichen und die Auftragsverarbeiter, einschließlich Kleinstunternehmen sowie kleiner und mittlerer Unternehmen, und an natürliche Personen, insbesondere im Bildungsbereich, richten.“

Die DSGVO enthält darüber hinaus sogenannte Verhaltensregeln. Diese sollen dabei helfen, die Verordnung umsetzen zu können. Dabei sind die besonderen Bedürfnisse von Kleinstunternehmen sowie KMU zu beachten. Artikel 40 DSGVO enthält eben solche Verhaltensregeln. Artikel 42 DSGVO befasst sich mit Datenschutz-Zertifizierungen, die eine Minderung der horrenden Bußgelder zur Folge haben können.

ISIS12: Zertifizierung für den Mittelstand

Zertifizierungen werden mit der DSGVO eine ganz neue Bedeutung bekommen: Mit ihnen erhalten Unternehmen die Möglichkeit, ihren Datenschutz zertifizieren zu lassen. So entspricht man den Regelungen der DSGVO und kann die existenzvernichtenden Bußgelder, die bei Datenschutzverstößen anfallen werden, umgehen.

Eine solche Zertifizierung, die speziell für kleine und mittelständische Unternehmen entwickelt wurde, ist ISIS12. In 12 Stufen werden KMU dabei zertifiziert. Damit ist es dann nur noch ein kleiner Schritt zur international anerkannten ISO 27001-Zertifizierung. Weitere Informationen zum Ablauf von ISIS12 finden Sie hier.

Die nächsten Schritte für KMU

Jetzt, so knapp vor dem Start der DSGVO, müssen KMU Prioritäten setzen. Dazu gehört, sich ausgiebig mit den Themen Ist-Analyse und Zertifizierungen auseinanderzusetzen. Aber auch ganz praktische Tätigkeiten gehören dazu, wie etwa diese hier:

  • Tatsächliche Anforderungen kennen: Noch steht jedes KMU vor einem riesigen Berg an Aufgaben, bevor die DSGVO umgesetzt werden kann. Jetzt gilt es, zu überprüfen, welche Aufgaben tatsächlich zu erledigen sind. Müssen Sie beispielsweise ein Verfahrensverzeichnis führen oder sind Sie befreit?
  • Unterstützung suchen: Es bleiben nur noch wenige Monate bis Mai 2018 – bis die DSGVO umgesetzt sein muss. Holen Sie sich so viel Unterstützung wie möglich und legen Sie Ihren Fokus auf die wirklich wichtigen Baustellen.
  • Ist-Stand dokumentieren: Wo stehen Sie, warum stehen Sie dort und was fehlt noch zur Umsetzung der DSGVO? Dies muss dokumentiert werden, um weitere notwendige Maßnahmen daraus ableiten zu können. So erhalten Sie einen Projektplan für die nun anstehenden Aufgaben, und gleichzeitig auch eine Dokumentation für die Aufsichtsbehörde in den Händen.
  • Verhaltensregeln beachten: Weiter sollten KMU die Verbände, in denen sie Mitglied sind, im Auge behalten. Haben sich bereits Verhaltensregeln entwickelt?

Wir unterstützen Sie mit der DSGVO

Ein Bollwerk an Regeln und Richtlinien ist mit der DSGVO entstanden. Spätestens jetzt wird es wirklich ernst: ab dem 25. Mai 2018 sind sämtliche Unternehmen in Europa betroffen – also auch Sie. Sind Sie bereits gut vorbereitet, können Sie sich zurücklehnen. Gehören Sie jedoch zu der Mehrheit, haben Sie noch richtig viel zu tun!

Wir unterstützen Sie dabei: Gerne sind wir beratend und praktisch für Sie tätig, nehmen Sie gerne Kontakt zu uns auf. In den kommenden Wochen befassen wir uns auch hier im Blog weiter mit der DSGVO: Wir zeigen, was Sie in den nächsten Tagen und Wochen unbedingt tun sollten und wie Sie sich gut auf die DSGVO vorbereiten.



0 Kommentar(e)

Schreibe einen Kommentar