IT

"Ein bisschen DSGVO geht nicht"

Ganz oder gar nicht: Mit der neuen EU-Datenschutzgrundverordnung müssen viele Aufgaben erledigt werden. Welche das sind erklärt die Datenschutzbeauftragte der Stadtwerke Kelheim.
09.04.2018

Das Datenschutzbeauftragten-Team der SWK: (von links) der externe Berater Volker Noé, Geschäftsführer Octothorpe GmbH, die Datenschutzbeauftragte Christine Holzer und ihr Stellvertreter Felix Ipfelkofer sowie Informationssicherheitsbeauftragter Patrick Stadtherr und sein Stellvertreter Kevin Heidepriem.

 

Die Stadtwerke Kelheim bereiten sich seit November 2017 fleißig auf die neue EU-Datenschutzgrundverordnung (EU-DSGVO) vor, die am 25. Mai in Kraft tritt. Zwar habe man rechtzeitig mit dem Projekt begonnen, der Prozess ist aber noch nicht vollumfänglich abgeschlossen. "Voraussichtlich werden wir noch gut ein dreiviertel Jahr beschäftigt sein, alle Bereiche im Unternehmen auf die DSGVO anzupassen", sagt Christine Holzer, Datenschutzbeauftragte der Stadtwerke.

Besonders herausfordernd sei gewesen, dass die Komplexität und die Auslegung der Verordnung noch nicht greifbar sind. "Es gibt keine konkreten Regeln, wie man vorgehen muss, um in den Unternehmen eine klare Struktur einzuführen. Es ist auch noch nicht klar, wie die Aufsichtsbehörden auf die Umsetzung in den Unternehmen ab dem 25. Mai reagieren", führt Holzer aus.

Kurz vor Zwölf – die Zeit eilt

Um gut vorbereitet zu sein, rät die Datenschutzbeauftragte anderen Stadtwerken, sich voll und ganz auf die trockene juristisch anmutende Materie einzulassen. Eine halbe Umsetzung der DSGVO sei nicht möglich. Die Stadtwerke Kelheim haben sich zudem entschlossen, Hilfe in Form eines Beraters zu holen. "Dieser ist mit der neuen Verordnung so vertraut, dass wir mit dem Aktionsplan vollumfänglich im gewünschten Zeitfenster liegen", sagt Holzer. Allerdings: jetzt sei es "kurz vor Zwölf" – also, höchste Zeit die Verordnung umzusetzen. "Wer jetzt beginnt, muss auf Hochtouren arbeiten, um einigermaßen bis zum 25. Mai gerüstet zu sein."

Die Stadtwerke Kelheim haben neben ihrer Datenschutzbeauftragten außerdem ein Team für Datenschutz und Informationssicherheit gegründet. Es besteht aus der Geschäftsführerin Sabine Melbig, der Datenschutzbeauftragten Holzer und ihrem Stellvertreter, dem Informationssicherheitsbeauftragten und dessen Stellvertreter sowie dem externen Berater. Das Team hält die Mitarbeiter mit regelmäßigen Unterweisungen und Workshops über die Änderungen auf dem Laufenden.

Geschäftsführer und auch Mitarbeiter können haften

Verstößt ein Unternehmen gegen die Verordnung, kann es teuer werden: Selbst natürliche Personen wie etwa Geschäftsführer und auch Mitarbeiter müssen mit Bußgeldern im zweistelligen Millionenbereich rechnen. Bei manchen können aufgrund Ihres Umsatzes auch dreistellige Millionenbeiträge fällig werden. Eine sorgfältige Umsetzung ist daher das A und O.


Die Aufgaben dabei sind vielfältig:

  1. Ganz am Anfang steht eine Inventur: Alle personenbezogenen Daten müssen im Unternehmen analysiert werden.
  2. Im zweiten Schritt muss ein Verzeichnis aller Prozesse im Unternehmen definiert und in einer Datei finalisiert werden.
  3. Anschließend gilt es, den Datenschutz-Anwendungsbereich im Unternehmen festzulegen.
  4. Ebenso müssen die Datenschutz-Leitlinien und Verhaltensregeln im Unternehmen festgehalten werden, über die die Geschäftsführung an das Team kommunizieren.
  5. Nötig war auch eine Überarbeitung der Homepage. Dabei wurden alle Anforderungen für die Öffentlichkeitsarbeit aktualisiert.
  6. Was auch nicht übersehen werden sollte, ist die Zusammenarbeit mit Dienstleistern: Mit diesen schlossen die Kelheimer Vereinbarungen zur Auftragsdatenverarbeitung mit all ihren Dienstleistern ab.

(sg)