Das muss jedes Unternehmen für sich beantworten, jenseits aller rechtlichen Vorgaben. Die Unterschiede in der Umsetzung sind unserer Erfahrung nach erheblich. Es gibt allerdings ein paar „Must-haves“ die jeder vorweisen muss. Anderen Themen sollten ebenfalls bereits in einem fortgeschrittenen Stadium umgesetzt sein.

Es gibt aber auch Themen, die bisher ganz unterschiedlich bearbeitet wurden. Diese sind in einigen Projekten nicht über ein „da müssen wir was machen“ hinausgekommen. Selbstverständlich gilt das nicht für alle. Einige Unternehmen arbeiten bereits deutlich länger an der Umsetzung von DSGVO-Anforderungen und sind dem entsprechend heute sehr gut aufgestellt. Allenfalls fehlt es noch an einem Prozess, die einmal etablierten Anforderungen, einer regelmäßigen Kontrolle zu entwerfen. Denn Datenschutz ist kein Zustand, sondern unterliegt einem dynamischen Prozess. Gerade auch, weil viele rechtlichen Detailfragen noch ungeklärt sind.

Schließlich existieren Themen, die rechtlich nicht neu sind, aber erst neuerdings im Bewusstsein der Unternehmen und damit unserer Beratungspraxis ankommen. Hierzu zählt allen voran die Durchführung von Datenschutzfolgenabschätzungen. Oftmals aufwendig und daher ignoriert, kann man Art. 35 DSGVO heute nicht mehr ignorieren.

Die nachfolgende Übersicht erhebt keinen Anspruch auf Vollständigkeit. Sie bewertet rechtliche Anforderungen nicht in ihrer rechtlichen Bedeutsamkeit und bietet keine garantierte Objektivität. Vielmehr handelt es sich um einen Überblick relevanter Themen in unser Erfahrung nach aktuell unterschiedlichen Umsetzungsstadien. Weder in die eine noch in die andere Richtung der Umsetzung ist das selbstverständlich bei allen Unternehmen so.

Die Einordnung von rot (sehr) nach dunkelgrün (wenig) an Hand von Kriterien wie dringend ist die Umsetzung nach außen, wie wichtig ist das für ein Unternehmen und welcher Aufwand ist dafür zu betreiben, soll vor allem eine Priorisierung ermöglichen. Dabei handelt es sich um eine subjektive Momentaufnahme aus der Beratungspraxis.

Zusätzlich sind die Themen wie folgt priorisiert:

A: Muss umgesetzt sein B: Sollte bereits umgesetzt sein, zwingend angehen
C: Kommt nach A & B D: Nach 1 Jahr DSGVO kann man das nicht ignorieren