Die europäische Verordnung räumt Verbrauchern mehr Rechte ein und gilt für alle Unternehmen, die in EU-Ländern Produkte oder Dienstleistungen anbieten.
Doch ein Jahr nach der Inkraftsetzung ist die Datenschutzgrundverordnung immer noch ein Unsicherheitsfaktor insbesondere für mittelständische Unternehmen. Sensible Bereiche sind besonders die Dokumentationspflichten, Protokollierung, Double Opt-In, Auftragsabwicklungsverträge, Zulassungen und Wettbewerbsrecht. Bei Missachtung kann es teuer werden, denn Verfehlungen beim Datenschutz können nun im Gegensatz zu früher mit hohen Strafen belegt werden.
Standortbestimmung zur Risikovermeidung
Viele Unternehmen haben zwar die DSGVO teilweise oder vollständig umgesetzt. Doch Standortbestimmung und Identifikation des Umsetzungsgrades und etwaiger Lücken sind oftmals schwierig zu gestalten. Hier kann der neutrale Blick von außen eine große Hilfe bieten. Im Rahmen einer DSGVO GAP-Analyse prüft beispielsweise TÜV Rheinland den Umsetzungsstand der bereits implementierten Maßnahmen auf allen Anforderungsebenen und in allen relevanten Fachbereichen. Im Rahmen der technischen Prüfung werden alle relevanten IT-Systeme hinsichtlich Datenschutzkonformität verifiziert. Dabei erstellen die Experten von TÜV Rheinland ein umfassendes Bild der IT-Architektur. Diese Befunde erhalten hinsichtlich der spezifischen Risiken eine Klassifizierung und werden so bewertet, dass eine Priorisierung empfohlener Maßnahmen möglich wird. Abschließend erstellen die Experten einen Abschlussbericht mit Maßnahmen- und Behebungsplan.
Datenschutzmanagementsystem erzeugt Mehrwert
TÜV Rheinland greift dafür auf eine Vielzahl erfolgreich umgesetzter DSGVO Gap-Analysen in den zurückliegenden Monaten zurück. Dabei hat sich gezeigt, dass besonders viele mittelständische Unternehmen zwar wirksame Einzelmaßnahmen umgesetzt haben, aber die Gesamtsicht über die Konsolidierung in ein integriertes Datenschutzmanagementsystem („DSMS“) fehlt. Auch hier konnten die Experten von TÜV Rheinland durch den Aufbau eines DSMS aus vorhandenen Informationssicherheitssystemen („ISMS“) einen Mehrwert für die Unternehmen schaffen. Hierbei lassen sich durch entsprechende Ausgestaltung auch die neuen Anforderungen aus dem Geheimnisschutzgesetz kosten- und aufwandsbewusst bedienen und die Compliance im Bereich regulatorischer Anforderungen steigern.