NTT Security (Germany), das auf Sicherheit spezialisierte Unternehmen und „Security Center of Excellence“ der NTT Group (NYSE: NTT), sieht nach wie vor einen beträchtlichen Bedarf bei der Umsetzung der EU-Datenschutz-Grundverordnung. Wer erst jetzt mit der Bestandsaufnahme und Planung startet, sollte Ende Mai zumindest nachweisen können, dass er konkrete Aktivitäten bereits umgesetzt hat und es erste Ergebnisse gibt.
Auch wenn die Zeit drängt, ist es noch nicht zu spät. Spätestens bis zum 25. Mai dieses Jahres müssen Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, die umfangreichen Vorgaben aus der EU-Datenschutz-Grundverordnung (EU-DSGVO) umgesetzt haben. Aus dem Berateralltag weiß NTT Security, dass einige Unternehmen die Relevanz und den Aufwand zur Umsetzung der EU-DSGVO noch immer unterschätzen. Unternehmen, die bislang abwarteten, sollten unverzüglich aktiv werden.
Um mit einem überschaubaren Aufwand einen ersten Überblick über den Status quo der Datenschutzorganisation in Abgleich zu den Anforderungen der EU-DSGVO zu erhalten und den grundlegenden Handlungsbedarf zu identifizieren, bietet sich die Durchführung eines Self Assessment an. Mit einem von NTT Security auf einer eigenen Website bereitgestellten Tool können Unternehmen den Reifegrad ihres organisatorischen und technischen Datenschutzes unter besonderer Berücksichtigung zentraler Aspekte der neuen EU-DSGVO überprüfen. In zwölf Themengebieten, angefangen von der Awareness über den Schutz der persönlichen Rechte der Betroffenen bis hin zum Umgang mit Datenpannen und der Datenschutzfolgeabschätzung erhalten Unternehmen eine Indikation zum aktuellen Stand. Ein Management Summary, das auch heruntergeladen werden kann, zeigt mit Hilfe von Ampelfarben, wo der größte Handlungsbedarf besteht.
Das Self Assessment kann als Einstieg dienen, es ersetzt aber nicht eine explizite Bestandsaufnahme des Ist-Zustandes der Datenschutzorganisation im Unternehmen durch erfahrene Datenschutzexperten. NTT Security bietet dazu ein umfangreiches Serviceportpolio. Dabei identifizieren und priorisieren die Berater die zur Umsetzung der Anforderungen erforderlichen Aktivitäten vor dem Hintergrund des Geschäftszweckes des jeweiligen Unternehmens beziehungsweise der jeweiligen Institution und den damit verarbeiteten personenbezogenen Daten. Als Ergebnis der Bestandsaufnahme entsteht eine Handlungsempfehlung, die den Ist- mit dem Soll-Zustand vergleicht und beispielsweise aufzeigt, was gesetzlich aufgrund der EU-DSGVO erforderlich ist, was vor dem Hintergrund der konkreten Risiken für die Betroffenen und das Unternehmen notwendig ist und auf welche Vorgaben und Prozesse vorhandener Systeme, etwa zur Informationssicherheit, aufgesetzt werden kann. Dazu gehören etwa auch die Identifizierung personenbezogener Daten sowie die Ermittlung von Datenquellen und -fluss dieser Daten in Geschäfts- und IT-Prozessen.
Haben sich die verantwortliche Stelle, der Datenschutzbeauftragte sowie der Informationssicherheitsbeauftragte auf die Maßnahmen aus der Handlungsempfehlung verständigt, ist ein wesentlicher Erfolgsfaktor für die Umsetzung die Unterstützung des Managements. Das gilt sowohl bezüglich der finanziellen Mittel und Ressourcen als auch im Hinblick auf deren Promotorenfunktion für die umzusetzenden Maßnahmen.
Noch ist für die Nachzügler Zeit bis zur Deadline am 25. Mai. Ab diesem Zeitpunkt ist damit zu rechnen, dass die Datenschutzaufsichtsbehörden der einzelnen Bundesländer stichprobenartig Kontrollen bei Unternehmen durchführen. Denkbar ist beispielsweise auch, dass Unternehmen einen Fragebogen mit der Aufforderung zur Selbsteinschätzung erhalten. Gibt es dann Grund zur Beanstandung, lässt sich nicht ausschließen, dass eine genauere Überprüfung folgt.
„Die rechtzeitige Umsetzung der Anforderungen aus der EU-DSGVO bedeutet für viele Unternehmen einen nicht zu unterschätzenden finanziellen und personellen Aufwand. Wer sich bislang nur am Rand damit befasst hat, geht erhebliche Risiken ein“, kommentiert Eva-Maria Scheiter, Executive Consultant GRC bei NTT Security. „Wer jetzt durchstartet, externen Sachverstand und Best Practices zu Rate zieht und internes Personal umfassend in die Projektarbeit einbringt, hat durchaus noch reelle Chancen, wichtige Meilensteine auf dem Weg zur EU-DSGVO-Konformität zu erreichen.“
Weitere Informationen zur EU-DSGVO gibt es bei NTT Security unter https://www.nttsecurity.com/de-de/DSVGO.
