Das Projektteam sollte sich mithilfe einer GAP-Analyse zunächst einen Überblick verschaffen, welche Punkte der DS-GVO dringend realisiert werden müssen und entsprechende Prozesse etablieren. „Wichtig ist, die bisherigen Dokumentationen zu überprüfen und an das neu geforderte Verzeichnis der Verarbeitungstätigkeiten mit Risikoanalyse je betroffener Personengruppe anzupassen. Bei hohen Risiken ist eine Datenschutzfolgeabschätzung durchzuführen“, schrieb Spaeing.
Weitere Kernpunkte: „Verträge mit Dienstleistern überprüfen und anpassen“ sowie Prozesse installieren, um die Rechte der Betroffenen sicherzustellen. Auch für die Pflicht zur regelmäßigen und fristgerechten Meldung bei den Aufsichtsbehörden der Länder sollten die Unternehmen ein Verfahren entwickeln, rät Spaeing.
„Für viele Unternehmen wird die Umstellung zum 25. Mai 2018 nicht abgeschlossen sein“, erklärte Spaeing. Die Firmen sollten aber bis dahin „einen guten Überblick besitzen, was alles zu tun ist“ und die Umsetzung der wichtigsten Maßnahmen eingeleitet haben.
Auf bvdnet.de stellt der Verband Stellungnahmen, Auslegungen und Checklisten für die Vorbereitungen zum 25. Mai 2018 zur Verfügung. Interessierte erhalten in der Geschäftsstelle eine Übersicht der BvD-Datenschutzexperten in den Regionen.