Mittwoch, 23. Mai 2018
LIFTjournal Logo

Datenschutzgrundverordnung: Sie müssen handeln!

Am 25. Mai tritt die EU-Datenschutzgrundverordnung in Kraft. Bei Nichtbefolgung drohen hohe Bußgelder. Die Firmen müssen rasch handeln.

/cache/images/vds_dsgvo1-b7adad49d73795cb3e16c9b0d2faf1ce.
(Foto: © VdS)

Dabei helfen die kostenlosen und zertifizierungsfähigen VdS-Richtlinien besonders kleineren Unternehmen – wie es sie in der Aufzugbranche zahlreich gibt. Die EU-Datenschutzgrundverordnung (DSGVO) regelt die Verarbeitung personenbezogener Daten für jedes Unternehmen und Behörden europaweit einheitlich – und muss ab dem 25. Mai 2018 vollständig umgesetzt sein.

Umsetzung bis 25. Mai 2018

Die Auswirkungen der 300-Seiten-Verordnung auf Organisation und IT besonders von kleinen und mittleren Unternehmen (KMU), wie sie auch in der Aufzugsbranche überproportional vertreten sind, sind äußerst tiefgreifend. Ab dem 25. Mai drohen bei Zuwiderhandlung hohe Bußgelder von bis zu vier Prozent des weltweiten Vorjahresumsatzes. Kurz gesagt: die Firmen müssen handeln.

Die wohl wichtigste Neuerung ist die sogenannte Rechenschaftspflicht. Jedes Unternehmen muss jederzeit vollständig nachweisen können, dass sämtliche Vorgaben der DSGVO eingehalten werden. Dies gilt selbst für jeden Ein-Mann-Aufzugtechniker-Betrieb, der etwa Kontaktdaten eines Ansprechpartners bei einem Kunden oder Daten von weiteren Ein-Mann-Unternehmen, mit denen er kooperiert, gespeichert hat.

Die Forderung ist nur auf eine Art umsetzbar: Durch das Einrichten eines Datenschutz-Managementsystems. Dieses ist ein Führungssystem, kein technisches Hilfsmittel – es kann allerdings durch ein solches abgebildet werden. Nötig ist ab dem Stichtag ein Regelrahmenwerk mit klar definierten Leit- und Richtlinien, Prozessen, Rollen und Verantwortlichkeiten sowie Kontrollmechanismen, mit prüffähiger Dokumentation und klaren Kommunikationsregeln.

Präziser DSGVO-Leitfaden für die Praxis

HandwerkDie 300 Seiten Forderungen der DSGVO werden durch die kompakten Richtlinien VdS 10010 in praxisgerechte Vorgaben übersetzt. Auf 32 Seiten werden klar definierte Rollen und Verantwortlichkeiten für die Erfüllung der EU-Vorgaben vorgegeben. Generell adressiert sich der Leitfaden an die Unternehmensführung, denn Datenschutz ist Chefsache – und keinesfalls, wie bisweilen angenommen, ein reines IT-Thema.

Konkret heißt das: Besteht im Unternehmen die Pflicht zur Bestellung eines Datenschutzbeauftragten (DSB), so trägt dieser die zentrale Verantwortung für die Umsetzung des geforderten DSGVO-Niveaus. Er ist zentraler Ansprechpartner für alle Belange zum Thema, berät Management und Kollegen, an ihn wenden sich betroffene Personen, Mitarbeiter und auch übergeordnete Aufsichtsstellen. Der DSB überwacht die Einhaltung der EU-Vorschriften.

Qualifizierte Dienstleister einbeziehen

Zu seiner Unterstützung sehen die VdS 10010 einen Datenschutzmanager (DSM) vor. Dieser setzt das nötige Datenschutz-Managementsystem konkret um, initiiert, plant und steuert dessen Implementieren. Unterstützt wird er dabei durch ein Datenschutzteam.

Dies ist ein Gremium, das neben einem Vertreter der Unternehmensführung sowie DSB und/oder DSM auch aus IT-Verantwortlichen und Mitarbeitervertretern besteht. Sinnvoll kann weiter die Teilnahme von Vertretern der Abteilungen Recht, Personal, Finanzen und weiteren operativen Einheiten sein.

Wird bei kleineren Firmen, unterstützende Fachkunde benötigt, dann sollten diese qualifizierte Dienstleister einbeziehen. Die ersten speziell hierfür von VdS ausgebildeten und zertifizierten Datenschutz-Managementsystem-Berater können dabei helfen.

Wichtig für Nutzer: Klarer Aufbau der Richtlinien

Die Leitlinie VdS 10010 hat eine klare und eindeutige Sprache. So sind zwingend benötigte Anforderungen immer mit großgeschriebenem "MUSS" gekennzeichnet. Mit großem "SOLLTE" markierte Punkte stellen Empfehlungen dar, die zum Beispiel für eine gewünschte Zertifizierung (welche VdS ebenfalls anbietet) nicht relevant sind.

Sehr hilfreich ist zudem der kostenlose Quick-Check, mit dem Datenschützer nicht nur aus der Liftbranche nach 26 kompakten Fragen den individuellen Umsetzungsstatus in ihrem Unternehmen bestimmen können und auch, direkt erste Optimierungshilfen erhalten: www.vds-quick-check.de.

Die VdS-Richtlinien sowie der Quick-Check zum Erfüllungsgrad inklusive direkter Optimierungshilfen stehen kostenfrei auf www.vds.de/dsgvo zur Verfügung. Dort finden Sie auch die Liste VdS-anerkannter Datenschutz-Managementsystem-Berater.

Christian Schottmüller ist Kooperationsmanager des Bereichs Cyber-Security bei VdS, Europas größtem Institut für Sicherheit.


Weitere wichtige Tipps und Tricks zur Datenschutzgrundverordnung finden Sie in einem Themen-Special auf der Seite www.handwerksblatt.de/dsgvo.

Leserkommentare

nach oben