DSAG-Dossier: Die EU-Datenschutz-Grundverordnung

Am 25. Mai 2018 ist es soweit: Die zweijährige Übergangsfrist zur Umsetzung der EU-Datenschutz-Grundverordnung (EU-DSGVO) endet. Dann heißt es für Unternehmen, die personenbezogenen Daten nutzen, dass sie der Richtlinie entsprechen und deren Anforderungen bei der SAP-Nutzung ausreichend und nachweisbar berücksichtigen müssen. Die Deutschsprachige SAP-Anwendergruppe e. V. (DSAG) bündelt relevante Informationen zur Umsetzung der EU-DSGVO einerseits exklusiv für DSAG-Mitglieder auf einer Landingpage und andererseits öffentlich zugänglich in diesem Dossier.

14. Mai 2018

"Angst und Schrecken wären kontraproduktiv"

Das Fristende zur Umsetzung der EU-Datenschutz-Grundverordnung naht. Doch laut Umfragen konnten viele Unternehmen die Verordnung bislang nicht umsetzen. Wird sich die EU-DSGVO für diese Unternehmen als furchteinflößende Unbekannte herausstellen? Dr. Stefan Brink, Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg, ordnet für die DSAG ein.

Müssen Unternehmen, die noch nicht mit der Umsetzung der EU-DSGVO angefangen haben, jetzt in Angst und Schrecken verfallen?

Dr. Stefan Brink: Nein, Angst und Schrecken wären kontraproduktiv. Aber Unternehmen sollten sich mit dem Thema befassen und es sollte jetzt wirklich Priorität für die Chefetagen haben. Das kann man aber auch ruhig und konzentriert angehen und erst einmal eine Bestandsaufnahme machen – es ist ja nicht so, als hätte es bisher keine datenschutzrechtlichen Regelungen in Deutschland und in der EU gegeben. Wer den Datenschutz bisher nicht vollständig ignoriert hat, sollte sich bestimmte Punkte ansehen.

Welche Punkte sind das?

Das sind zum Beispiel die Anpassung der Informationspflichten an die Vorgaben der Artikel 12 ff. DS-GVO, das Erstellen eines Verarbeitungsverzeichnisses, die Bestellung eines Datenschutzbeauftragten bei Betrieben, in denen mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, eine eventuell notwendige Folgenabschätzung. Das erscheint zunächst wie ein riesiger Berg, lässt sich aber in einzelne Themenfelder herunterbrechen. Es gibt hier auch schon viele gute Informationen im Internet – wenn man auf die Seriosität der jeweiligen Quelle achtet, also z.B. Informationen der Datenschutzbehörden oder anderer vertrauenswürdiger Anbieter, die eben gerade nicht auf die Verbreitung von Angst und Schrecken aus sind.

Wo sehen Sie besondere Herausforderungen bei der Umsetzung der EU-DSGVO und wie können Unternehmen diese meistern?

Gerade die Informationspflichten sind eine Herausforderung, weil sie relativ unterschiedslos auf viele verschiedene Sachverhalte und Akteure anwendbar sind. Diesen auch in Situationen nachzukommen, in denen sich Betroffener und Unternehmer unmittelbar und persönlich gegenüber stehen, oder in denen die Datenverarbeitung dem Willen des Betroffenen entspricht, wird oft als impraktikabel wahrgenommen. Das erfordert einige Anstrengung in der Praxis. Das gilt auch bei der Entwicklung neuer Produkte, bei denen der Datenschutz nicht erst an letzter Stelle und damit als Hindernis einfließen sollte. Unternehmen sollten datenschutz- und damit nutzerfreundliche Lösungen in ihre Unternehmenskultur integrieren und von Anfang an mitdenken. Dann sind sie bestens aufgestellt und für alle Herausforderungen gerüstet.

Wie bekommen Sie die Auswirkungen der EU-DSGVO zu spüren?

Mein Haus wird im Moment von Anfragen überflutet. Das zum Teil auch in Bereichen, in denen es keinen Grund zur Nervosität gibt. Für die normale, alltägliche Verarbeitung von Daten zur Vertragserfüllung gibt es z.B. – wie zuvor auch – eine klare Ermächtigung in der DS-GVO. Auch die Einwilligung und die Verarbeitung zur Wahrung berechtigter Interessen stellen bekannte Erlaubnisnormen dar, die einen Großteil der Verarbeitung im Unternehmen abdecken.

Wie wahrscheinlich ist es, dass die Datenschutz-Aufsichtsbehörde nicht kommt?

Meine Behörde hat rund 60 Mitarbeiter und ist für über 400.000 Unternehmen in ganz Baden-Württemberg zuständig. Das lässt eine Initiativ-Kontrolle durch uns, abseits der Großunternehmen, sehr unwahrscheinlich erscheinen. Jedoch erreichen uns viele Eingaben Betroffener, und auch Whistle-Blowing nimmt zu. Gerade bei Firmen mit eklatanten Missständen im Datenschutz ist es also sehr wahrscheinlich, dass sie Post von uns bekommen. Und dann werden die Vorsätzlichkeit des Verstoßes, eine völlige Untätigkeit des Unternehmens in diesem Bereich sowie die Art und Weise, wie uns ein Verstoß bekannt wurde, bei der Verhängung der Geldbuße berücksichtigt. Deshalb appellieren wir eindringlich an alle Unternehmen, jetzt noch mit den Vorbereitungen anzufangen. Es ist noch nicht zu spät. Es gibt auch eine Zeit nach dem 25. Mai, in der sich viele Dinge in der Praxis erst noch finden werden.

Die drohenden Strafen sind das eine, doch warum besteht auch darüber hinaus Handlungsbedarf?

Datenschutz ist ein Wettbewerbsvorteil, die DS-GVO ist eines der Exportmodelle der Europäischen Union. Sie entspricht gesellschaftlichen und demokratischen Vorstellungen von Transparenz und Selbstbestimmtheit des Individuums und ist damit ein Thema, mit dem sich viele Menschen identifizieren und das sie auch von Unternehmen einfordern. Das völlig zu missachten, kann erhebliche wirtschaftliche Konsequenzen für ein Unternehmen haben, auch ohne durch Aufsichtsbehörden auferlegte Strafen.

Sicherlich werden die Verantwortlichen in einigen Unternehmen auch denken, wer bei ihnen denn schon anfragen sollte …

Auch Konkurrenten des Unternehmens, die sich selbst an den Datenschutz halten, können ein Interesse daran haben, schwarze Schafe ihrer Branche anzuzeigen. Und ehrlich gesagt ist eine solche Haltung eines Unternehmens, das sonst auch einer Vielzahl rechtlicher Vorschriften unterworfen ist, schwer nachvollziehbar. Da bewegen wir uns schon im illegalen Bereich. Wie einige Unternehmen –nach meiner Erfahrung sind das eigentlich die wenigsten – sich vielleicht Strategien zurecht legen, um den Datenschutz zu vermeiden oder zu unterlaufen, werden wir uns Strategien überlegen, diese Kandidaten heraus zu fischen. Wir haben kein Interesse daran, gut geführten Unternehmen Schwierigkeiten zu bereiten.

Wie wird die Datenschutz-Aufsichtsbehörde nach Fristende vorgehen?

Wir verfolgen zunächst weiter unseren beratenden Ansatz. Auch nach dem 25. Mai können sich die Unternehmen mit ihren Fragen an uns wenden. Am besten dann mit eigener Vorarbeit. Viele Probleme ergeben sich ja erst bei der konkreten Umsetzung. Daneben werden wir aber auch unsere neue Funktion als eigene Bußgeldbehörde aufnehmen und uns gezielt die Fälle aussuchen, die wir hier verfolgen. Unsere Kriterien dafür ergeben sich aus der DS-GVO: Die Verhängung von Bußgeldern muss in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein. Sie setzt normale rechtsstaatliche Verfahrensregeln nicht außer Kraft.

Wie unterstützt die Landesdatenschutzbehörde Unternehmen bei der Umsetzung der EU-DSGVO?

Wir beraten zu konkreten Fragen und bieten eine Vielzahl von Schulungen an – gerade auch in Kooperation mit den IHKs und anderen Berufsverbänden haben wir hier ein breites Informationsangebot auf die Beine gestellt.

Wie lautet Ihre Antwort auf die Frage: „Frist verpasst, was nun“?

Auf den Hosenboden setzen, Hausaufgaben machen, Gas geben.

Vielen Dank für das Gespräch!

 

30. April 2018

EU-DSGVO-Einführungsprojekt in SAP

Es soll sie noch geben: Die Unternehmen, die trotz nahendem Fristende der EU-Datenschutz-Grundverordnung (EU-DSGVO) noch nicht einmal mit der Umsetzung begonnen haben. Bei einem Einführungsprojekt der Verordnung in SAP gibt es laut dem Softwarehersteller zwei unterschiedliche Ansätze, die man verfolgen kann:

  • Deduktiver Ansatz:
    Das Unternehmen beschreibt die Zwecke der Verarbeitung und der Verarbeitungsvorgänge unabhängig von technischen Verfahren und realen Datenbeständen. Empfiehlt sich bei Neuimplementierungen.
  • Induktiver Ansatz:
    Das Unternehmen ermittelt die tatsächlich in den Systemen vorhandenen personenbezogenen Daten und schafft technische Transparenz über diese – ganz unabhängig von Systemgrenzen, Verarbeitungszwecken und Verantwortlichen für die Verarbeitung. Eine Bestandsaufnahme. Empfiehlt sich bei bestehenden Systemen.

Vorgehen beim induktiven Ansatz

Hier gibt es einiges zu beachten und das Vorgehen lässt sich in die folgenden Punkte unterteilen, die es auch nachzulesen gibt in dem Buch Datenschutz mit SAP: SAP Business Suite und SAP S/4HANA:

  1. Inventur, Sperren und Löschen
  2. Trennung nach Zweckbestimmungen
  3. Zwecktrennung und Berechtigungen
  4. Auskunft
  5. Protokollierung
  6. Sicherheit in der Datenübertragung
  7. Technische Sicherheit
  8. Datenübertragbarkeit
  9. Audit, Nachweis & Dokumentation

 

11. April 2018

EU-DSGVO: Berechtigungs- und Löschkonzept

Ohne "SAP NetWeaver Information Lifecycle Management“ (ILM) wäre die Umsetzung der Vorgaben der EU-DSGVO nur mit hohem Zusatzaufwand machbar. Das ILM wird unter anderem zum Sperren und Löschen von personenbezogenen Daten benötigt. Umso erfreulicher war es als SAP der DSAG-Forderung nachgekommen ist und die Lizenz für SAP NetWeaver Runtime um die Retention-Management-Funktionen von ILM erweitert hat. Mit dieser Lösung und weiteren Standardfunktionen der SAP-Software – wie beispielsweise dem Berechtigungsmanagement – ist es den DSAG-Mitgliedsunternehmen möglich, die Projekte zur Realisierung der technischen und organisatorischen Maßnahmen umzusetzen.

Um zu klären, welche einzelnen Schritte vom Sperren bis zum Löschen im Information Lifecycle Management zu beachten sind, hilft ein Trick: Den Lebenszyklus eines Datums aufführen.

  1. Der Kunde wird im SAP-System angelegt
  2. Die Belege über einen Kauf oder eine Rechnung sind gebucht
  3. Der Prozess ist abgeschlossen und es gab über längere Zeit keine Folgeprojekte

Sind diese drei Schritte gegangen, ist das Ende der Zweckbestimmung eingetreten. Dieser „End of Purpose“ ist eine technische Methode, um für Daten den Zeitpunkt zu ermitteln, ab dem eine Verarbeitung nicht mehr im Rahmen der ursprünglichen Zweckbestimmung erfolgt und die Daten gesperrt werden müssen.

Eigentlich könnten die Daten jetzt gelöscht werden. ABER …

Durch den Kundenprozess sind auch Belege in der Finanzabteilung angefallen und dort können andere, längere Aufbewahrungsfristen gelten. Also müssen die entsprechenden Daten erstmal nur gesperrt werden. Wie lange die personenbezogenen Daten nach dem Ende des Primärzwecks zu dem sie erhoben und verarbeitet wurden, zu sperren sind, bevor sie gelöscht werden, können Kunden im ILM individuell festlegen. Zudem lässt sich definieren, welche Nutzer die Daten eines gesperrten Kunden mittels Sonderberechtigung trotzdem einsehen dürfen – das geht übrigens auch gezielt für Personaldaten, finanzwirtschaftliche Belege und Verkaufsbelege.

Und wenn dann der Punkt gekommen ist, an dem keine Anforderungen oder Fristen mehr berücksichtigt werden müssen, kann gelöscht werden. Dann müssen aber auch sämtliche Kopien und entsprechende Daten aus angeschlossenen Systemen entfernt werden. Und Vorsicht: Gelöscht ist gelöscht …

 

21. März 2018

DSAG und Landes-Datenschutzbehörde beschließen Zusammenarbeit

Datenschutz und die EU-Datenschutz-Grundverordnung sind Themen, die die DSAG-Mitgliedsunternehmen umtreiben. Die DSAG hat es sich zur Aufgabe gemacht, ihre Mitglieder hierzu bestmöglich zu informieren. Zu diesem Zweck wurden unter anderem eine Landingpage exklusiv für DSAG-Mitglieder ins Leben gerufen, Webinare veranstaltet und Thementage organisiert. Zudem steht die DSAG im Austausch mit der Landesbehörde für Datenschutz in Baden-Württemberg.

Der Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg, Dr. Stefan Brink, war zu diesem Zweck kürzlich zu Gast in der DSAG-Geschäftsstelle. DSAG-Geschäftsführer Mario Günter, DSAG-Vorstand Gerhard Göttert und die Datenschutz-Experten Matthias Cellarius und Volker Lehnert von SAP haben mit ihm intensiv über das Thema Datenschutz diskutiert und beschlossen, künftig gemeinsame Aktivitäten ins Auge zu fassen. Auf gute Zusammenarbeit!

 

12. März 2018

Erst die Fragen zum Datenschutz, dann die Umsetzung

Wer die EU-DSGVO nicht beachtet, muss möglicherweise mit drastischen finanziellen Konsequenzen rechnen. Doch nicht nur die Bußgelder erhöhen sich mit der neuen Verordnung zum Datenschutz, auch die Verantwortung für Unternehmen im Rahmen des Speicherns und der Verarbeitung personenbezogener Daten wächst. Einerseits im Hinblick auf die Datensicherheit. Andererseits angesichts umfangreicherer Rechenschaftspflichten.

Folgende Fragen muss man sich für die Umsetzung der EU-Datenschutz-Grundverordnung deshalb  unbedingt stellen:

  • Wie lange dürfen die Informationen im Rahmen ihrer Zweckbestimmung genutzt werden?
  • Wann endet der Verarbeitungszweck?
  • Wann können die Daten gelöscht werden?
  • Wann dürfen Daten nur gesperrt werden, weil sie beispielsweise anderen gesetzlichen Aufbewahrungsfristen unterliegen?

Unternehmen können die Regeln, wie lange sie welche Daten vorhalten und wann diese gelöscht oder gesperrt werden müssen, im Rahmen der Zweckbindung und gesetzlichen Aufbewahrungspflichten weitestgehend selbst definieren. Ein Vorteil. Doch um dafür die Voraussetzungen zu schaffen, braucht es erst einmal Grundlagen. Ein Tipp:

  • Akzeptieren Sie, dass die EU-DSGVO kein reines IT-Thema ist und ganz unterschiedliche Abteilungen zusammenarbeiten müssen.
  • Ermitteln Sie, welche Daten vorhanden sind.
  • Finden Sie heraus, welche Fristen und Regeln für deren Verarbeitung gelten und wie diese von der IT umzusetzen sind.

 

 

28. Februar 2018

EU-DSGVO: Den Aufwand meistern

Der mit der EU-DSGVO einhergehende Aufwand zeigt sich schon allein durch die technisch-organisatorischen Maßnahmen, die festzulegen sind. Das ist umfangreich – vom Standort der Server und den Zugangsbedingungen zu den Büros bis zu den Reinigungskräften, die bei der Papierentsorgung mit Daten in Berührung kommen könnten. Außerdem muss mit jedem Prozess, der zwischenzeitlich verändert oder neu aufgesetzt wird, das ehemalige Verfahrensverzeichnis, das jetzt Verzeichnis der Verarbeitungstätigkeiten heißt, entsprechend angepasst werden. Von den verantwortlichen Stellen über die automatischen Verfahren, einer Beschreibung der betroffenen Personengruppen bis zu Regelfristen für die Löschung von Daten. Und schließlich gilt es, ein internes Kontrollsystem aufzubauen und die Prozesse regelmäßig gewissenhaft zu überprüfen.

Freiräume schaffen

Auch wenn Unternehmen für die betroffenen Kollegen Freiräume geschaffen, bleibt die Umsetzung der EU-DSGVO ein Projekt on top des Tagesgeschäfts, das macht es besonders schwierig. Hier hilft es, wenn man das Thema seit Langem im Blick hatte und beispielsweise Verträge mit Dienstleistern z. B. schon länger mit einem zusätzlichen Vertrag zur Auftragsdatenverarbeitung versehen hat. Und die bisherigen Verfahrensverzeichnisse nur stellenweise noch an die neuen Anforderungen angepasst werden müssen und auf Vollständigkeit geprüft werden.

Externer Datenschutzbeauftragter

Neu für einige Unternehmen ist das Recht auf Vergessenwerden und was ein damit verbundenes Löschkonzept bedeutet. Es kann helfen, mit einem externen Datenschutzbeauftragten zusammenzuarbeiten und die operative Umsetzung der EU-DSGVO auch in einer Position im Unternehmen zu verankern.

 

 

07. Februar 2018

Die Zeit drängt

Die neuen Vorschriften bringen einige Veränderungen mit sich – zum Beispiel mehr Verantwortung für den Nachweis der Rechtskonformität der Verarbeitung und der Datensicherheit. Darauf und auf die Systemkonformität werden die Wirtschaftsprüfer schauen. Es darf zum Beispiel im Berechtigungsmanagement keine generelle Freigabe geben. Unternehmen, die noch nicht aktiv geworden sind, sollten das schnellstmöglich nachholen. Die Zeit drängt.

Doch weit sind die DSAG-Mitglieder laut einer aktuellen Umfrage leider noch nicht. Bisher hat gerade einmal etwas mehr als die Hälfte der befragten Unternehmen eine Vorgehensweise (Roadmap) zur Umsetzung der EU-DSGVO in ihrem Unternehmen und das, obwohl zwei Drittel der Befragten (73 Prozent) angeben, dass sie wissen, welche Anforderungen an die IT die EU-DSGVO mit sich bringt. Das ist auch dem geschuldet, dass es noch viele zu klärende Fragen gibt. Die Umfrageteilnehmer haben beispielsweise angemerkt, dass es aktuell noch keine Rechtsprechung zur EU-DSGVO gibt und sie Verständnisfragen haben. Hier fehlt es wohl einfach an Transparenz und das führt dazu, dass viele Unternehmen auf den letzten Drücker mit der Umsetzung anfangen, ohne sich sauber und umfassend informiert zu haben.

Noch viel zu tun

Deshalb überrascht es  auch wenig, dass die Zahl derer, die wirklich zuversichtlich sind, dass ihr Unternehmen es schafft, sich fristgerecht bis zum Stichtag entsprechend der EU-Datenschutz-Vorgaben aufzustellen, mit 39 Prozent der Befragten recht niedrig ist. Mit 99 Artikeln und 173 Erwägungsgründen, die alle beachtet werden müssen, braucht die EU-Datenschutz-Grundverordnung einfach eine lange Vorbereitungszeit. Bei der Umsetzung der EU-DSGVO ist ein Jahr Projektdauer normal und das ist natürlich auch vielen DSAG-Mitgliedsunternehmen inzwischen bewusst und sorgt für entsprechende Sensibilität. Daher ist es wenig verwunderlich, dass knapp 61 Prozent der Umfrageteilnehmer wenig zuversichtlich sind. Es erstaunt auch nicht, dass bisher erst knapp 4 Prozent der Befragten auf die Einführung vorbereitet sind und zum jetzigen Zeitpunkt den Anforderungen der Verordnung entsprechen. Rund 66 Prozent der Befragten haben einige Vorbereitungen für die EU-DSGVO-Einführung getroffen, auch wenn sie noch nicht komplett konform sind.

Bei der Umsetzung der EU-DSGVO muss klar sein: Nicht nur Mitarbeiter- und Mitgliederdaten sind betroffen, sondern alle Bereiche, die personenbezogene Daten speichern, wie zum Beispiel Vertrieb, Marketing oder Buchhaltung. Und da die Verordnung auch in den Personalwirtschafts-Lösungen der SAP oder in Human-Resources-Lösungen Anwendung findet, gibt es im Grunde kein Unternehmen, das die EU-DSGVO nicht umsetzen muss.

Darüber hinaus betrifft die Einführung sämtliche Unternehmen mit SAP ERP- und Industrie-Lösungen, in denen Business-to-Customer-Geschäftsbeziehungen bestehen, wie zum Beispiel bei Versorgungs-, Telekommunikations- und Versicherungsunternehmen. Da es für die Umsetzung der Verordnung in SAP ERP- und Industrie-Lösungen keine standardisierte Lösung im Rahmen eines Auslieferungskonzeptes gibt, müssen Unternehemn selbst ihre Prozesse und Datenstrukturen überprüfen.

Investitionen notwendig

Außerdem müssen sich die Unternehmen im Klaren sein, dass die Umsetzung der EU-DSGVO nicht ohne Investitionen geht. Wie etwa 43 Prozent der Befragten hat auch die DSAG zusätzliche Investitionen getätigt, um die EU-Datenschutz-Grundverordnung umzusetzen. Mehr als die Hälfte (54 Prozent) der Befragten, die investiert haben, steckten laut Umfrage zusätzlich Geld in die IT-Beratung. Zudem haben etwa 40 Prozent der Umfrageteilnehmer in Non-IT-Beratung investiert, knapp 14 Prozent in IT-Lizenzen und etwa 18 Prozent in sonstige Bereiche wie Hardware, Datenschutzsoftware oder Personal.

Die Bereitschaft, Geld auszugeben, überrascht nicht. Denn: Je nachdem, gegen welche Norm ein Unternehmen verstößt, können künftig Bußgelder in Millionenhöhe fällig werden. Für solche Summen können die meisten Unternehmen nicht mal eben Rückstellungen bilden – es gilt Rechtskonformität herzustellen. Umso wichtiger ist es, sich mit der EU-DSGVO intensiv auseinanderzusetzen.

Mehr Unterstützung von SAP gewünscht

Doch auch seitens SAP wünschen sich die DSAG-Mitglieder Unterstützung. Sie erwarten einerseits von SAP die uneingeschränkte Umsetzung der Vorschriften. Andererseits erhoffen sie sich von SAP und durch den Austausch innerhalb der DSAG wichtige Hinweise und Tipps für ihre eigenen Datenschutzprojekte. Rund 89 Prozent der Befragten wünschen sich Datenschutz-Leitfäden, um ihre SAP-Systeme verordnungskonform zu machen. Insbesondere, was die Unterstützung seitens SAP anbelangt, sehen sie Nachholbedarf. Während nur etwas mehr als 11 Prozent der Befragten mit der Unterstützung durch SAP sehr zufrieden oder zufrieden sind, erwarten 72 Prozent mehr. Sie sind nur mäßig oder gar nicht zufrieden mit dem, was SAP bezogen auf die Umsetzung der Datenschutz-Grundverordnung im SAP-System bietet. Sie erhoffen sich bessere Unterstützung seitens des Herstellers bezogen auf die Softwarelösungen, detaillierte Informationen zu den SAP-Standard-Tools und ein klares Statement, welche Unterstützung von SAP zu erwarten ist.

 

 

15. Januar 2018

Wir brauchen eine neue Wertediskussion

Die EU-Datenschutz-Grundverordnung ist gut und richtig. Sie rückt das Öl der Zukunft in den Fokus: unsere Daten – und somit auch unsere personenbezogenen Daten. Es genügt z. B. schon die Telefonnummer oder eine IP-Adresse, um personenbezogen und datenschutzrelevant zu sein. Doch die EU-DSGVO deckt hier lediglich den rechtlichen Teil ab und droht mit hohen Bußgeldern bei Missachtung. Dabei ist das längst nicht alles, was Unternehmen brauchen.

Auf der einen Seite braucht es mehr Transparenz und Aufklärung sowie ein Kontrollsystem, das die Einhaltung der neuen Standards in ganz Europa überwacht. Es müssen aber auch Wege gefunden werden, trotz EU-DSGVO flexibel und agil zu bleiben, damit der außereuropäische Wettbewerb den deutschen nicht überholt. Gleichzeitig darf die EU-DSGVO auch innereuropäisch nicht zu einer Wettbewerbsverzerrung führen. Sie muss Maßstab für alle 28 Beitrittsländer werden.

Ein bisschen Datenschutz gibt es nicht. Nur gemeinsam gelingt erfolgreicher Datenschutz – nicht als Stückwerk einzelner Abteilungen.

Große Unternehmen können eine ganze Abteilung für den EU-Datenschutz etablieren, während mittelständische bereits bei dem initialen Projekt an ihre Kapazitätsgrenzen stoßen können. Die neue Datenschutz-Grundverordnung wird zwangsläufig zu großen Veränderungen führen – und zwar für das gesamte Unternehmen. Das muss entsprechend von der Geschäftsführung und den Datenschutzverantwortlichen bis hinunter in jede einzelne Abteilung kommuniziert und praktiziert werden. Nicht als Stückwerk, nur gemeinsam gelingt erfolgreicher Datenschutz.

Auf der anderen Seite müssen wir unsere Denkweise erweitern, um in der Gesellschaft ein Bewusstsein zu schaffen, wie notwendig eine offene Diskussion über neue Werte im Umgang mit Daten ist. Je mehr man sich mit dem Thema beschäftigt, umso mehr wächst das Wissen darüber, wo überall Daten verarbeitet werden – im Berufs- und im Privatleben. Und umso mehr wird auch deutlich, wie überfordert man schon im Privatleben von diesem Thema ist. Sei es bei der Vergabe von Nutzungsrechten für die Handykamera oder bei der Bestätigung komplexer AGBs, die niemand mehr liest und nur noch wenige in Gänze verstehen.

Man muss sich jetzt der Frage stellen, wie künftig damit umgegangen werden soll, dass Daten mehr und mehr zum wertvollsten Gut werden. Ein Vorschlag: Über Jahrzehnte etablierte Denkmuster durchbrechen und das Thema Daten aus 360 Grad betrachten. Sowohl im Wirtschaftsleben als auch in der Gesellschaft.

 

 

20. Dezember 2017

EU-DSGVO: Tipps zur Umsetzung

Für die DSAG-Mitgliedsunternehmen bedeutet die EU-DSGVO, dass sie stärker zur Verantwortung gezogen werden im Hinblick auf den Nachweis der Rechtskonformität der Verarbeitung von personenbezogenen Daten und die Datensicherheit. Gleichzeitig bringt die EU-DSGVO umfangreichere Rechenschaftspflichten mit sich. Leider steigen jedoch auch die Bußgelder bei Verstoß. Je nach dem, gegen welche Norm ein Unternehmen verstößt, können künftig Bußgelder in Höhe von bis zu 10 Millionen Euro bzw. bis zu zwei Prozent oder von 20 Millionen Euro bzw. von bis zu vier Prozent des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres fällig werden. Für solche Summen können die meisten Unternehmen nicht mal eben Rückstellungen bilden. Umso wichtiger ist es, sich mit der EU-DSGVO auseinanderzusetzen.

Die größte Herausforderung liegt dabei in der strengeren Nachweispflicht. Sie erfordert eine sorgfältige Dokumentation aller Datenschutz-Aktivitäten. Darunter fällt zum Beispiel, dass alle Unternehmensprozesse und Datenströme erfasst und bewertet werden müssen. Gleichermaßen müssen Nachweise über regelmäßige Maßnahmen zur Datenschutzsensibilisierung erbracht  und Kontrollen eingeführt werden. Und für diejenigen, die ihr System nicht im Standard betrieben haben, wird es doppelt hart. Sie müssen alle Non-Standard-Prozesse, Reports und Modifikationen extra auditieren und analysieren. Eine weitere Herausforderung ergibt sich durch das notwendige Löschkonzept. Für viele Unternehmen war das Löschen von Daten schon immer ein Problem. Noch größer wird das Problem jetzt durch die erweiterten und in einem gesonderten Artikel beschriebenen Löschpflichten und Informationspflichten an die Betroffenen, denen zukünftig die Speicherdauer mitzuteilen sind. Viele Unternehmen wissen aufgrund der Komplexität von modernen IT-Services gar nicht mehr, wo sich ihre Kundendaten genau befinden. Hier muss also vielerorts erst einmal aufgearbeitet werden. Zusätzlich erschwert wird das Löschen der Daten durch die unterschiedlichen Fristen, die es für die Speicherung verschiedener Daten gibt. Diese müssen in einem Löschkonzept natürlich auch berücksichtigt werden. Unternehmen sollten deshalb am besten einen Maßnahmenplan haben, um die EU-DSGVO umzusetzen.

Der Maßnahmenplan:

  • Der erste Schritt zum EU-DSGVO-konformen System ist eine Bestandsaufnahme in Bezug auf die Einhaltung heute noch bestehender Datenschutzgesetze und auf die DSGVO.
    Diese Erfassung des Ist-Zustands dient als Basis auf dem Weg zum Soll-Zustand, dem DSGVO-konformen Umgang mit Daten. Sie umfasst bestenfalls neben der Analyse der Geschäftsprozesse und der involvierten IT-Systeme die Identifikation aller neben der DSGVO relevanten Rechtsnormen. Je nach Branche können sich hier Besonderheiten ergeben. Aus den Ergebnissen heraus ergibt sich der Maßnahmenplan, dessen Umsetzung bis zum Stichtag abgeschlossen sein sollte.
  • Unternehmen müssen klären, wo die Verantwortlichkeit liegt.
    Es hilft nicht, wenn die Personalabteilung oder der Datenschutzbeauftragte den schwarzen Peter der Verantwortung zugeschoben bekommen. Es sollte stattdessen ein Datenschutzmanagement durch Verantwortliche in den Prozessen etabliert werden. Außerdem müssen die Fachbereiche mit ins Boot geholt werden. Sie müssen feststellen, ob in ihren Bereichen rechtskonform gehandelt wird und die Prozesse die datenschutzrechtlichen Anforderungen erfüllen. Das ist nicht die Aufgabe des Datenschutzbeauftragten. Der Datenschutzbeauftragte ist für die Strategieabstimmung zuständig, berät und überwacht. Er kann jedoch keine operative Verantwortung tragen.
  • Dokumentation ist das A&O.
    Vielen Unternehmen erscheint das Thema lästig, müssen sie doch Datenschutzmaßnahmen nicht nur umsetzen, sondern die Umsetzung und deren Kontrolle auch noch dokumentieren. Doch solche Dokumentationen prüft die Aufsichtsbehörde. Und wenn es einmal zu einer Datenschutzverletzung kommt, ist es umso wichtiger, dass die Dokumentation vollständig verfügbar ist.
  • Die Umsetzung der EU-DSGVO steht und fällt mit einem gründlichen Projektmanagement und der frühzeitigen Einbindung aller betroffenen Geschäftsbereiche.
    Eine Hürde können Geschäftsführung und Vorstand sein. Hier bedarf es in der Regel insbesondere bei der datenschutzrechtlichen Pflicht zur Löschung etwas Erklärungsarbeit. Ist die geleistet, wären die nächsten Schritte eine ausführliche Datenanalyse und die Erarbeitung einer nachvollziehbaren Struktur, die später als Konzept zum Nachweis gegenüber den Prüfungsbehörden dient. Zum Schluss müssen die Betroffenen noch einen soliden Implementierungsplan erstellen und behält man dann noch die Meilensteine im Blick, sollte die Umsetzung der EU-DSGVO gelingen.