Mit der DSGVO hat der Gesetzgeber die Spielregeln gedreht. Bislang waren die Behörden in der Pflicht Datenschutzverstöße nachzuweisen. Jetzt gilt die Rechenschaftspflicht – die Unternehmen müssen ihre Konformität mit den Vorgaben nachweisen. Diese faktische Beweislastumkehr geht mit Dokumentationsanforderungen einher, die in den Verwaltungen und auch in den IT-Abteilungen zu einem hohen Aufwand führen.
Ein großer Teil dieses Aufwandes resultiert ohne Frage daraus, dass die Verantwortlichen in den vergangenen Jahren bei dem korrekten Umgang mit den Daten beispielsweise von Kunden, Mitarbeitern und Partnern eher nachlässig vorgegangen sind.
So war die erste große Auswirkung in den Organisationen erst einmal die Daten zu sichten, das Durcheinander zu entknoten und Strukturen aufzusetzen, mit denen in Zukunft die Vorgaben erfüllt werden.
Unterstützung bei der DSGVO-Konformität
In der Logik der Digitalisierung der Wirtschaft ist begründet, dass sehr schnell Hersteller und Berater auf den Markt gekommen sind, die mit Software und beispielhaften Prozessen das Managen der DSGVO-Regeln erleichtern wollen. Sie versprechen Datenmanagementsysteme, die den Aufwand so gering wie möglich halten.
Die Anwender haben diese Angebote dankbar angenommen. Erhoffen sie sich doch die notwendigen Prozesse relativ einfach und mit professioneller Hilfe korrekt zu implementieren und anschließend auch nachweisen zu können. Denn auch die für Audits notwendigen Dokumente und Vorgehensbeschreibungen werden in den Managementsystemen aufbewahrt.
Darüber hinaus geben die Hersteller der DSGVO-Systeme den Datenschutzbeauftragten eine detaillierte Vorgehensweise an die Hand: Welche Schritte und Aktionen werden notwendig sein, wenn die Behörden vor der Tür stehen und die DSGVO-Konformität prüfen? Die Beweise für das richtige Vorgehen liegen in Containern und Archiven und warten auf eine Kontrolle, die vielleicht niemals kommt.
Das Zertifizierungsdilemma
Es gab viele Diskussionen und auch viel Kritik, weil die DSGVO-Bestimmungen eine behördliche Zertifizierung von Datenschutzmanagement-Systemen ausdrücklich ausgeschlossen haben.
Allerdings hat parallel dazu die „International Organization for Standardization“ Vorgaben formuliert, wie die Strukturen eines Datenschutzmanagement-Systems für die DSGVO aussehen sollten. Die sind nun im Standard ISO 27701 festgelegt, der wiederum auf der ISO 27001 – also der Norm für Informationssicherheit – beruht.
Ein ISO-Standard bedeutet aber keine behördliche Zertifizierung. Da es die aber in absehbarer Zeit nicht geben wird, werden Player wie die großen Consultinghäuser diese ISO-Vorgaben bei ihren Kunden implementieren und bestätigen. Brancheninsider kritisieren, dass vor allem große internationale Unternehmen die Kosten für diese Implementierung und Prüfung aufbringen werden, während kleine und mittlere Unternehmen außen vor bleiben.
Deshalb erweitern die Hersteller und deren Kunden ihre Datenmanagementsysteme nach dem Vorbild der von der ISO vorgegebenen Strukturen und hoffen auf eine behördliche Anerkennung oder sogar Zertifizierung zu einem späteren Zeitpunkt.
