Neues Buch hilft bei der Umsetzung der EU-DSGVO

Im Bundesanzeiger Verlag erschienen ist das Buch „Datenschutz-Compliance nach der DS-GVO“ von den Autoren Kranig, Sachs und Gierschmann. Die Herren Thomas Kranig und Andreas Sachs sind vielen sicherlich bereits als Präsident und Stellvertreter des BayLDA bekannt, Markus Gierschmann ist Datenschutzbeauftragter und -auditor. Die Autoren dieses Buches, die aus der unmittelbaren Aufsichtspraxis und der prozess- orientierten Beratungsbranche stammen, versuchen mit diesem Buch allen Anwendern der DS-GVO, Orientierung auf dem steinigen Weg zur Datenschutz-Compliance zu geben

AN WEN RICHTET SICH DIESE HANDLUNGSHILFE?

Diese Handlungshilfe richtet sich laut den Autoren, an Unternehmen der Privatwirtschaft, die als „Verantwortliche Stelle“ personenbezogene Daten verarbeiten. „Verantwortlicher“, wie es nun in der DS-GVO heißen wird, im Sinne der Verordnung ist eine natürliche oder juristische Person, die „über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet“. Auftragsdatenverarbeiter – nun schlicht Auftragsverarbeiter genannt – sind hingegen nicht zentrale Zielgruppe dieses Buches.
Das Buch richtet sich vor allem an die kleinen und mittelständischen Unternehmen (KMU) um diesen den Einstieg in die Materie zu erleichtern. So bietet es dann auch einen ersten Überblick über die notwendigen Schritte zur Umsetzung der neuen Gesetzgebung. Wie so oft bei solchen Handlungsempfehlungen, erhebt sie keinen Anspruch auf Vollständigkeit, sondern soll vielmehr als eine erste Orientierung dienen.

WAS BEINHALTET DAS WERK?

Das Buch gliedert sich im Großen und Ganzen in drei Teile: Teil I ist eine Einführung in die DS-GVO, Teil II beschreibt die erforderlichen Maßnahmen zur Sicherstellung der Datenschutz-Compliance und Teil III stellt die Überwachung der Datenschutz-Compliance durch die Aufsichtsbehörden dar.
Teil I gibt eine kurze Einführung in die DS-GVO und erläutert ihre wesentlichen Anforderungen an den Verantwortlichen. Besonderes Augenmerk wird dabei auf die zukünftigen Anforderungen der Rechenschaftspflicht („Accountability“) und deren Nachweis gelegt. Der Fokus der Handlungshilfe ist das „Was ist zu tun“. „Wie es zu tun“ ist, hängt hingegen stark von den Gegebenheiten im Unternehmen und der individuellen Verarbeitung ab und tritt daher in diesem Buch in den Hintergrund. In Teil II wird also erklärt „was zu tun ist“ und umfasst die Gestaltung einer Aufbauorganisation für die Etablierung einer effektiven Datenschutz-Governance sowie die dargestellten Kernprozesse „Verarbeitung personenbezogener Daten“, „Sicherstellung der Betroffenenrechte“ und „Handhabung von Datenschutzverletzungen“. DArüber hinaus wird prozessübergreifend der risikobasierte Ansatz der DS-GVO beleuchtet. Dokumentation ist dabei ein elementarer Baustein für die Einhaltung und Nachweiserbringung der DS-GVO. Ein weiterer entscheidender Faktor für eine wirksame Sicherstellung des Datenschutzes spielt der Mensch, der durch geeignete Maßnahmen über das notwendige Bewusstsein und die Fähigkeiten verfügen sollte. Datenschutzaudits sollen schließlich die Wirksamkeit der technischen und organisatorischen Maßnahmen überprüfen; Datenschutzzertifikate stellen dabei eine Sonderform dar. Zur dauerhaften und systematischen Erfüllung der Rechenschaftspflicht bietet sich laut den Autoren ein Datenschutz-Managementsystem an.
Teil III beschreibt die Rolle und Aufgaben der Aufsichtsbehörde. In Kapitel 12 sind Prüffragen enthalten, die einen Eindruck vermitteln, wie Aufsichtsbehörden im Rahmen von Prüfungen die Einhaltung der DS-GVO kontrollieren könnten. Das Buch schließt mit Kapitel 13 und einem Ausblick für Verantwortliche und Aufsichtsbehörden und bietet Verantwortlichen einen Vorschlag, wie sie ihrer Rechenschaftspflicht nachkommen können.

BRINGT DAS UNSEREM UNTERNEHMEN ÜBERHAUPT WAS?

In jedem Fall! Alleine Kapitel „5 Datenschutzprozesse (Ablauforganisation)“ bringt jedem Unternehmen, dass versucht sich möglichst schnell auf die kommende Verordnung einzustellen echten Mehrwert. Die Diagramme und Workflows helfen enorm dabei, die Prozesse für das eigene Unternehmen umzusetzen. Sei es nun die generelle „datenschutzkonforme Verarbeitung“ oder die „Auftragsverarbeitung“ bzw. „Übermittlung in Drittländer“ im Speziellen. Aber z. B. auch aus den Kapiteln „Datenschutzdokumentation“ und „Datenschutzsensibilisierung, -training und -schulungen“ lassen sich Unmengen an wertvollen Erfahrungen auf das eigene Unternehmen übertragen. Letztlich sind auch die Prüffragen der Aufsichtsbehörden sicherlich ein sehr interessanter Einblick aus der anderen Richtung des Themas und können ebenfalls sehr gut dabei helfen, die eigenen Prozesse im Hinblick auf die EU-DSGVO auf Fordermann zu bringen.