DSGVO & die KMU: Was Ihr jetzt noch tun könnt!
Sehr vielen Unternehmen fällt es schwer, die kommende Datenschutz-Grundverordnung (DSGVO) umzusetzen. Gerade kleine und mittelständische Unternehmen (KMU) haben größte Schwierigkeiten. Hier paaren sich oft ein knappes Budget und wenig Personal. Setzt Ihr jetzt jedoch die richtigen Prioritäten, schafft Ihr somit den Einstieg in die DSGVO.
Externe Unterstützung für die DSGVO
Wenn intern die Ressourcen fehlen, können Outsourcing oder aber das Insourcing von Kompetenzen Mittel der Wahl sein. Gerade für KMU finden sich viele Angebote: Beratungen, Schulungen und spezielle Tools sollen beim Umsetzen der DSGVO helfen. Auch wir sind für Euch da: Was wir für Euch tun können, findet Ihr im Bereich Datenschutz (DSGVO) auf unserer Webseite.
Eine Studie des Digitalverbands Bitkom zeigt: Schon jetzt holt sich jedes zweite Unternehmen Hilfe beim Umsetzen der EU-Datenschutz-Grundverordnung. Externe Dienstleister scheinen willkommener als das Aufstocken des vorhandenen Personals: Lediglich jedes 4. Unternehmen (25 Prozent) setzt zusätzliches Personal ein, um die DSGVO umzusetzen. Nur 5 % der Unternehmen haben weiteres Personal eingestellt. 20 Prozent hingegen geben an, bereits vorhandenes Personal im Rahmen einer Umstrukturierung für die DSGVO einzusetzen.
Kleine und mittlere Unternehmen nehmen eine Sonderrolle ein
Die DSGVO ist ein gewaltiges Regelwerk – dementsprechend sind sich sowohl die Aufsichtsbehörden als auch der Gesetzgeber mehr als bewusst darüber, dass gerade KMU Probleme beim Umsetzen der neuen Pflichten haben werden. Deshalb werden vielfach spezielle Schulungs- und Beratungsangebote offeriert. Ein Beispiel dafür ist der Online-Test zur Standortbestimmung, der vom Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) entwickelt wurde.
Auch wir bieten Euch verschiedene Optionen: Mit einer Ist-Aufnahme könnt Ihr herausfinden, wo Euer Unternehmen derzeit im Bereich Datenschutz steht. Mit ISA+ Informations-Sicherheits-Analyse haben wir zudem einen standardisierten Sicherheitscheck mit nur 50 Fragen für Euch im Portfolio. Kommen Zertifizierungen für Euer Unternehmen infrage, zeigt diese Analyse sehr konkret auf, in welchen Bereichen Ihr bereits gut aufgestellt sind und wo Nachholbedarf besteht.
Besondere Maßnahmen für Kleinstunternehmen und mittlere Unternehmen
Auch die DSGVO selbst setzt sich mit der speziellen Situation für Kleinstunternehmen und KMU auseinander. So finden sich beispielsweise in den Erwägungsgründen der DSGVO besondere Maßnahmen für Kleinstunternehmen und KMU. Weiter heißt es dort: „Um der besonderen Situation der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen Rechnung zu tragen, enthält diese Verordnung eine abweichende Regelung hinsichtlich des Führens eines Verzeichnisses für Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen. Außerdem werden die Organe und Einrichtungen der Union sowie die Mitgliedstaaten und deren Aufsichtsbehörden dazu angehalten, bei der Anwendung dieser Verordnung die besonderen Bedürfnisse von Kleinstunternehmen sowie von kleinen und mittleren Unternehmen zu berücksichtigen.“
So beschäftigt sich etwa Art. 30 DSGVO mit dem Verzeichnis von Verarbeitungstätigkeiten. Unternehmen mitunter 250 Mitarbeitern sind nicht verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten zu führen, wenn …
- … die vorgenommene Verarbeitung kein Risiko für die Rechte und Freiheiten betroffener Personen birgt,
- … die Verarbeitung nicht nur gelegentlich erfolgt,
- … die Verarbeitung nicht besondere Datenkategorien oder das Verarbeiten von personenbezogenen Daten über Straftaten oder strafrechtliche Verurteilungen einschließt.
Schulung und Aufklärung für KMU
Für Kleine und mittlere Unternehmen sollen auch in den Bereichen Schulung und Aufklärung besondere Maßnahmen ergriffen werden. Im Gesetzestext heißt es: „Auf die Öffentlichkeit ausgerichtete Sensibilisierungsmaßnahmen der Aufsichtsbehörden sollten spezifische Maßnahmen einschließen, die sich an die Verantwortlichen und die Auftragsverarbeiter, einschließlich Kleinstunternehmen sowie kleiner und mittlerer Unternehmen, und an natürliche Personen, insbesondere im Bildungsbereich, richten.“
Die DSGVO enthält darüber hinaus sogenannte Verhaltensregeln. Diese sollen dabei helfen, die Verordnung umsetzen zu können. Dabei sind die besonderen Bedürfnisse von Kleinstunternehmen sowie KMU zu beachten. Artikel 40 DSGVO enthält eben solche Verhaltensregeln. Artikel 42 DSGVO befasst sich mit Datenschutz-Zertifizierungen, die eine Minderung der horrenden Bußgelder zur Folge haben können.
ISIS12: Zertifizierung für den Mittelstand
Zertifizierungen werden mit der DSGVO eine ganz neue Bedeutung bekommen: Mit ihnen erhalten Unternehmen die Möglichkeit, ihren Datenschutz zertifizieren zu lassen. So entspricht man den Regelungen der DSGVO und kann die existenzvernichtenden Bußgelder, die bei Datenschutzverstößen anfallen werden, umgehen.
Eine solche Zertifizierung, die speziell für kleine und mittelständische Unternehmen entwickelt wurde, ist ISIS12. In 12 Stufen werden KMU dabei zertifiziert. Damit ist es dann nur noch ein kleiner Schritt zur international anerkannten ISO 27001-Zertifizierung. Weitere Informationen zum Ablauf von ISIS12 finden sie auf unserer Homepage.
Die nächsten Schritte für Kleine und mittlere Unternehmen: Ist-Analyse im Datenschutz
Jetzt, so knapp vor dem Start der DSGVO, müssen KMU Prioritäten setzen. Dazu gehört, sich ausgiebig mit den Themen Ist-Analyse und Zertifizierungen auseinanderzusetzen. Aber auch ganz praktische Tätigkeiten gehören dazu, wie etwa diese hier:
- Tatsächliche Anforderungen kennen: Noch steht jedes KMU vor einem riesigen Berg an Aufgaben, bevor die DSGVO umgesetzt werden kann. Jetzt gilt es, zu überprüfen, welche Aufgaben tatsächlich zu erledigen sind. Müsst Ihr beispielsweise ein Verfahrensverzeichnis führen oder seid Ihr davon befreit?
- Unterstützung suchen: Es bleiben nur noch wenige Monate bis Mai 2018 – bis die DSGVO umgesetzt sein muss. Holt Euch so viel Unterstützung wie möglich und legt Euren Fokus auf die wirklich wichtigen Baustellen.
- Ist-Stand dokumentieren: Wo steht Ihr, warum steht Ihr dort und was fehlt Euch noch zur Umsetzung der DSGVO? Dies muss dokumentiert werden, um weitere notwendige Maßnahmen daraus ableiten zu können. So erhalten Ihr einen Projektplan für die nun anstehenden Aufgaben, und gleichzeitig auch eine Dokumentation für die Aufsichtsbehörde in den Händen.
- Verhaltensregeln beachten: Weiter sollten KMU die Verbände, in denen sie Mitglied sind, im Auge behalten. Haben sich bereits Verhaltensregeln entwickelt?
Wir unterstützen Euch mit der DSGVO
Ein Bollwerk an Regeln und Richtlinien ist mit der DSGVO entstanden. Spätestens jetzt wird es wirklich ernst: Ab dem 25. Mai 2018 sind sämtliche Unternehmen in Europa betroffen – also auch Ihr. Seid Ihr bereits gut vorbereitet, können Ihr Euch zurücklehnen. Gehört Ihr jedoch zu der Mehrheit, habt Ihr noch richtig viel zu tun!
Wir unterstützen Euch dabei: Gerne sind wir beratend und praktisch für Euch tätig, nehmt gerne Kontakt zu uns auf. In den kommenden Wochen befassen wir uns auch hier im Blog weiter mit der DSGVO: Wir zeigen, was Ihr in den nächsten Tagen und Wochen unbedingt tun solltet und wie Ihr Euch gut auf die DSGVO vorbereiten.