DSGVO & GDPR-Datenschutz Assessment

Brauche ich als KMU für ein Datenschutz - Assessment einen externen Berater?

Der Datenschutz befindet sich im Wandel und mit dem Inkrafttreten der DSGVO-GDPR Datenschutz Grund-Verordnung (DSG-VO, GDPR) ist das Thema bei den meisten Unternehmen ganz oben auf der Pendenzenliste gelandet. Viele Schweizer KMU fühlen sich jedoch erschlagen von der neuen Regulierung und sind unsicher, ob sie überhaupt von der GDPR betroffen sind oder nicht.

Doch wie soll sich ein Unternehmen dem Datenschutz – Thema annehmen und kann dies ein KMU selbständig bewältigen?

Ein erster Schritt stellt ein Datenschutz – Assessment dar, dadurch verschafft sich das Unternehmen einen ersten Überblick über die verschiedenen Datenbearbeitungen und kann somit die Risiken und weiteren Massnahmen besser abschätzen. Erst wenn ich weiss, welche Daten bearbeitet werden, kann die Anwendbarkeit der GDPR beurteilt werden sowie die notwendigen Massnahmen können bestimmt werden. Natürlich kann für das Datenschutz – Assessment bereits ein Experte beauftragt werden, ein Assessment kann aber auch mit internen Ressourcen bewältigt werden.

Zwei Datenschutzexperten haben nun genau für diesen Zweck ein Datenschutz Self Assessment Tool für die GDPR und das neue DSG kreiert und stellen dieses unter www.dsat.ch kostenlos zur Verfügung. Das Tool ist bereits sehr umfangreich und führt den Anwender mit einer guten Erklärung durch das Self Assessment, weshalb es für das Ausfüllen kein Expertenwissen benötigt. Das Tool eignet sich hingegen nicht für die Beurteilung von sehr komplexen Datenbearbeitungen oder zur Beurteilung von Spezialfragen, für ein durchschnittliches KMU sollte das Tool aber ausreichen. Es kann sich damit ein solider Überblick über die verschiedenen Datenbearbeitungen verschafft werden und diese sind danach auch entsprechend dokumentiert. Es ist dabei weiterhin dem Unternehmen überlassen, wie detailliert eine jeweilige Datenbearbeitung dokumentiert wird. Jedes Formular enthält ausserdem Erklärungen und weitere Informationen, wodurch beim Ausfüllen gleichzeitig eine Sensibilisierung und ein Wissenstransfer stattfindet. Der Projektverantwortliche lässt daher sinnvollerweise die einzelnen Datenbearbeitungen durch die jeweiligen Abteilungen oder Teams dokumentieren, wodurch sich diese automatisch mit dem Thema auseinandersetzen müssen. Schlussendlich hilft das Assessment den strengeren Dokumentationspflichten nachzukommen, so wird bspw. gleichzeitig das geforderte Inventar erstellt.

Das Tool ist lediglich ein Hilfsmittel und stellt den Datenschutz noch nicht umfassend sicher, die internen Richtlinien, Weisungen oder das Einholen der notwendigen Einwilligungen, muss das Unternehmen dennoch zusätzlich sicherstellen oder erstellen. Soll das Self Assessment seriös durchgeführt werden, ist genügend Zeit einzuplanen. Selbst mit einem solchen Tool lässt sich das Thema Datenschutz nicht einmal kurz nebenher in einer Stunde abarbeiten. Ausserdem werden viele Unternehmen erst beim Assessment realisieren wie viele Datenbearbeitung im Unternehmen überhaupt stattfinden. Der Aufwand sollte deshalb nicht unterschätzt werden.

Selbst wenn mit einem solchen Assessment der Datenschutz nicht umfassend sichergestellt werden kann, hilft ein Assessment komplexe Datenbearbeitungen, Lücken, Unklarheiten und Risiken aufzudecken und es können in der Folge entsprechende Massnahmen getroffen werden. Auf dieser Grundlage können zudem gezielte Fragen für einen Datenschutzexperten formuliert werden und somit externe Beratungskosten eingespart werden.

Das Datenschutz Self Assessment Tool für die GDPR und das neue DSG findet man hier: www.dsat.ch, einweiteres Datenschutz-Tool DSGVO findet man unter https://www.dsgvo-assessment.de.

Weitere nützliche Information zur Umsetzung des Datenschutzes im Unternehmen finden sich auch unter:  https://www.datenschutzzentrum.de/dsgvo/

Allgemeine Informationen zur Datenschutzgrundverordnung

Yves Gogniat hat an der Universität St. Gallen Rechtswissenschaften studiert und danach das Anwaltspatent erworben. Danach hat er in einer Boutique-Kanzlei gearbeitet, welche sich vor allem auf das IT- Recht und Datenschutz konzentriert. Zudem war er als Dozent für IT- und IP-Recht an der ZHAW tätigt. Yves Gogniat konnte dabei seine Leidenschaft für Technologie ausleben und sein Profil in diesen Gebieten schärfen. Seit dem Sommer 2017 ist er als selbständiger Rechtsanwalt bei GoLaw tätig. Yves Gogniat erbringt vor allem Rechtsdienstleistungen in Fragen des Technologie- und Vertragsrechts.

Die Kommentarfunktion ist geschlossen.