EU-DSGVO: Der Countdown läuft …
Reportage
Jetzt gilt es, sich der Konformität des eigenen Unternehmens in Bezug auf die EU-DSGVO zu vergewissern, sonst drohen saftige Strafen.
Am 25. Mai 2016 trat die EU-Datenschutzgrundverordnung (EU-DSGVO) in Kraft, ab dem 25. Mai 2018 müssen die EU-Mitgliedstaaten die Verordnung anwenden. Obwohl das Bewusstsein in den Chefetagen der Unternehmen gestiegen ist, sind nicht alle Unternehmen gut aufgestellt.
Mit der EU-DSGVO gibt es erstmals eine Verordnung, die das Datenschutzrecht EU-weit vereinheitlicht und die Unternehmen zum Nachweis verpflichtet, die Prinzipien des EU-Datenschutzes einzuhalten. Sie gilt für in der EU ansässige Unternehmen, aber auch für ausländische Unternehmen, wenn diese eine Niederlassung in der EU haben oder Daten von EU-Bürgern verarbeiten. Also de facto für alle größeren internationalen Unternehmen, aber auch für viele Mittelständler.
Als Daten gelten bspw. Kontaktdaten wie Name, Adresse, E-Mail-Adresse, Telefonnummer, aber auch Geburtstag, Konto- oder Kfz-Daten. Die Strafen bei Verletzung der EU-DSGVO sind saftig: Bis zu 20 Millionen oder vier Prozent des Jahresumsatzes – im Zweifelsfall gilt der höhere Wert. Obwohl viele Unternehmen ihre Hausaufgaben gemacht haben, ist bei anderen regelrechte Panik ausgebrochen, um zum Stichtag noch rechtzeitig in die Zielgerade einzulaufen.
Vieles hängt von der Art und Größe des Unternehmens ab
Einige Experten warnen, die Aufgaben im Zusammenhang mit der Verordnung zu unterschätzen.
Harald Dunst vom Competence Center Safety & Security beim e-Learning-Anbieter bit media e-solutions GmbH warnt: „Die häufig vertretene Ansicht, dass die Erstellung eines Verarbeitungsverzeichnisses die Erfüllung der Richtlinien gemäß DSGVO bedeutet, ist leider nicht richtig. Ein Verarbeitungsverzeichnis ist zwar wesentlich, jedoch nur einer von mehreren Schritten der Umsetzung. Jedes Unternehmen muss also auch alle technischen und organisatorischen Maßnahmen zur Sicherung und zum Schutz der Daten umsetzen und auch dokumentieren. Nicht zu vergessen, die Einhaltung und Dokumentation aller Betroffenenrechte.“ Eine Lösung müsse „all diese Aspekte mitberücksichtigen und ganzheitlich erfüllen“. In welchem „Detailgrad“ die Umsetzung auf Unternehmensebene erfolge, hänge „jedoch von der Art und Größe des Unternehmens sowie den verfügbaren Ressourcen ab“, so Dunst. Entscheidend ist auch die Branche, da jede ihre ganz eigenen Anforderungen hat.
Im Fall der Versicherungsbranche und ihrer Kunden bedeutet die Verordnung „in Zukunft mehr Transparenz über die Speicherung der Daten“, so René Schoenauer, Produkt Marketing Manager EMEA des Versicherungssoftwareherstellers Guidewire Software GmbH.
Schoenauer sagt, Empfehlungen gingen teilweise sogar so weit, „dass für Unternehmen ganzheitliche Datenschutzmanagementsysteme gefordert werden, die weitreichende Veränderungen der Organisation in allen Unternehmensbereichen mit sich bringen“.
Er sieht sein Unternehmen in der Verantwortung, seine „Kunden technologisch mit modernen Werkzeugen auszustatten, die z. B. eine auf Kundenanfrage erforderliche unkomplizierte und vor allem dokumentierte Anonymisierung oder sogar Löschung von personenbezogenen Daten ermöglichen.“ Dies geschieht bspw. durch den Einsatz von Algorithmen zur Anonymisierung von personenbezogenen Daten, die der Analyse von individuellen Kundenbedürfnissen dienen. Algorithmen gewährleisten, dass kein persönlicher Rückschluss aufgrund dieser Daten mehr erfolgen kann, aber Analysen weiterhin möglich sind.
Zertifizierungen als Basis
Manche Unternehmen profitieren von bereits vorhandenen Zertifizierungen, etwa nach ISO 9001 oder ISO / IEC 27001. Diese Zertifizierungen dienen als Basis für ein Datenschutzmanagementsystem (DSMS), das die Compliance mit der EU-DSGVO gewährleistet. Ähnliches gilt für die Zertifizierung nach dem Standard BS 10012:2017.
Uwe Rühl, Mitglied der Geschäftsführung der Rucon-Gruppe, eines Beratungs-, Trainings- und Auditspezialisten für alle Aspekte der Organizational Resilience, betont die Notwendigkeit, „Strukturen aufzubauen und das Thema Datenschutz dauerhaft und systematisch“ zu verankern: „Schauen Sie, welche Ansätze in Ihrem Unternehmen als Basis für ein Datenschutzmanagementsystem taugen. Haben Sie bereits ISO 9001 oder ISO / IEC 27001 in Anwendung: Feuer frei! Damit weitermachen. Wenn nicht? BS 10012 ist eine gute Basis für ein DSMS.“
Ähnlich sieht es Dr. Stephan Killich, Geschäftsführer der ConSense GmbH, eines Anbieters von QM-Software: „Ein etabliertes Verfahren, das im Qualitätsmanagement angewendet wird, ist das Audit. Ein Unternehmen muss sich in regelmäßigen Abständen die Frage nach der Aktualität des Managementsystems stellen. Besteht diesbezüglich vielleicht Handlungsbedarf? Und dieses Verfahren kann eins zu eins auf den Datenschutz übertragen werden, sowohl im Hinblick auf die komplette Dokumentation des Datenschutzmanagement-systems als auch auf die ‚TOMs‘, die technisch-organisatorischen Maßnahmen.“
Datenschutz als Querschnittsaufgabe
Wichtig sei es, darin stimmen die beiden Experten überein, das Thema EU-DSGVO als Querschnittsthema im gesamten Unternehmen zu verankern und das Bewusstsein der Mitarbeiter für diese Problematik zu schärfen. Vom Vorstand oder der Geschäftsführung bis hin zum Betriebsrat müssen die Verantwortlichen über die Regelungen und Veränderungen beim Datenschutz informiert und teilweise aktiv werden: Vorstand und Geschäftsführung müssen die veränderte datenschutzrechtliche Praxis im Unternehmen kennen; die IT-Abteilung muss prüfen, welche technisch-organisatorischen Maßnahmen für das geforderte Risk-Management notwendig sind; die Finanzabteilung muss die Kosten berücksichtigen, die dem Unternehmen durch Anpassungsprozesse entstehen; die Rechtsabteilung muss viele Verträge anpassen; die Compliance-Abteilung muss die Risiken eines Verstoßes gegen die Verordnungen berücksichtigen – diese betreffen die außerordentlich hohen Bußgelder, aber auch den Vertrauensverlust, der bei Kunden, Lieferanten oder Mitarbeitern entstehen kann; die Forschungs- und Entwicklungsabteilung muss schon bei einem frühen Projektstadium darauf achten, dass die datenschutzrechtlichen Grundsätze eingehalten werden; für die Personalabteilung entsteht ein hoher Aufwand, da sie einerseits Mitarbeiterschulungen zum Thema organisieren, andererseits den Mitarbeitern auf Nachfrage nachweisen muss, wie ihre Daten geschützt werden; auch der Betriebsrat ist einzubinden.
Mehr Rechte für Beschäftigte, mehr Pflichten für die Unternehmen
Nach Auffassung vieler Fachleute werden die Pflichten des Arbeitgebers beim Datenschutz deutlich erhöht, die Rechte der Beschäftigten hingegen gestärkt. Diese erhalten die Hoheit über ihre Daten und das Recht, auf Anfrage zu erfahren, „ob, welche und in welchem Umfang personenbezogene Daten durch den Arbeitgeber verarbeitet werden“.
Das muss laut EU-DSGVO schneller und umfassender geschehen, als dies früher der Fall war. Unternehmen ohne digitale Personalakte haben hier einen großen Aufwand, da die dafür zuständigen Personalabteilungen meist in einem mühseligen Prozess die zerstückelt geführten Personalakten, Gehaltsabrechnungen oder Berichte prüfen müssen.
Wieland Volkert vom HR-Softwareanbieter PeopleDoc empfiehlt den Einsatz einer digitalen Personalakte: „Die Arbeit mit der klassischen papiernen Personalakte ist im Gegensatz zum Einsatz einer digitalen Personalakte extrem zeitaufwendig, kompliziert, fehleranfällig und häufig nicht datenschutzkonform. Digitale Personalakten verbessern die Qualität der Personalabteilung, die Zufriedenheit der Mitarbeiter und den Schutz vor Verstößen gegen die EU-DSGVO.“
Checklisten helfen weiter
Um die Personalabteilungen zu unterstützen, hat PeopleDoc eine „umfassende Compliance-Checkliste“ erstellt. „Wer die acht Punkte dieser Checkliste beachtet, ist für die neuen Herausforderungen und Pflichten, die durch die EU-DSGVO entstehen, bestens gewappnet“, so Volkert.
Zu den Punkten gehören die Bildung einer Taskforce aus den verschiedenen Abteilungen des Unternehmens, die Prüfung aller personenbezogenen Daten, die Prüfung der Zugriffsrechte auf diese Daten, die Aktualisierung der Datenschutzrichtlinien, die Dokumentation der Handhabung im Fall von Anfragen, die Beschreibung der Vorgehensweise im Fall einer Panne oder Verletzung des Datenschutzes, die Ernennung eines speziellen Datenschutzbeauftragten sowie die Schulung der Mitarbeiter.
„Die Umsetzung der Verordnung muss im Unternehmen gelebt werden.“ |
Den letzten drei Punkten kommt eine besondere Bedeutung zu: Im Fall einer Datenpanne muss diese innerhalb von 72 Stunden der Datenschutzbehörde sowie dem Betroffenen gemeldet werden. Hier gilt es, Verantwortlichkeiten für die Untersuchung zu definieren, Verfahren zur Behebung der Panne im Vorfeld auszuarbeiten und die Auswirkungen und Maßnahmen zu dokumentieren.
Die Mitarbeiter sind entscheidend
In der Person des Datenschutzbeauftragten wird die Verantwortung gebündelt; der Beauftragte ist für die Einhaltung der Compliance verantwortlich und muss den Schutz der Daten gewährleisten. Er kann entweder ein Mitglied des Teams oder ein externer Fachmann sein. Die Umsetzung der Verordnung muss im Unternehmen „gelebt“ werden; das bedeutet, die Mitarbeiter zu sensibilisieren, aber auch über die Compliance-Regeln zu informieren, etwa die Frage, wer im Fall einer Nichteinhaltung zu informieren ist.
PeopleDoc rät, einmal pro Jahr eine Schulung für alle Mitarbeiter zu organisieren.
Dr. Stefan Killich sieht hierin eine Aufgabe für die Unternehmen wie für die Anbieter von Schulungen: „Qualitätsmanagement ist nicht etwas, bei dem jeder Mitarbeiter sagt: ‚Juhu endlich haben wir ein ISO 9001.‘ Auch beim Thema Datenschutz ist das nicht der Fall. So bleibt die Frage: Wie kriegt man das hin, dass es trotzdem akzeptiert und lebendig wird? Ich denke, da haben wir sehr große Erfahrungen.“
Chancen und Risiken
Die Risiken einer Verletzung des Datenschutzes sind groß und müssen im Einzelfall genau analysiert werden. Doch wie sieht es mit den Chancen aus? Uwe Rühl hebt den Aspekt der Organizational Resilience hervor, bei dem es nicht nur darum gehe, die negativen Folgen zu vermeiden. „Es geht nicht nur um Überlebens-, sondern auch um Anpassungsfähigkeit“, so Rühl. „Anpassungsfähigkeit sichert langfristiges Überleben, ggf. kann diese sogar zu Wettbewerbsvorteilen führen, auch wenn man diese auf den ersten Blick nicht wahrnimmt. Zum Beispiel könnte ein gut umgesetztes Datenschutzmanagementsystem auch den Eintritt in Länder mit einem ähnlich hohen Datenschutzniveau deutlich erleichtern, wie z.B. Kanada oder Japan.“
Auch Dr. Stephan Killich von der ConSense GmbH betont die Vorteile: „Wenn ich ein gutes Verhältnis zu meinem Kunden haben möchte, dann ist das für mich eine Mindestvoraussetzung, dass ich mit seinen Daten auch gut umgehe. Und gerade weil es im Kundenverhältnis so wichtig ist, ist das für mich klar ein Wettbewerbsvorteil.
Also kann sich ein Unternehmen durch ein gutes Datenschutzmanagementsystem sehr stark von seinen Mitbewerbern abheben.“ Harald Dunst vom e-Learning-Anbieter bit media e-solutions GmbH sieht den Nutzen für die „gewachsenen IT-Abteilungen“: „Der Verwaltungsaufwand kann zwar mitunter höher sein, jedoch sind alle Unternehmen angehalten, bestehende Datenverarbeitungen und Daten zu prüfen und ‚aufzuräumen‘. Dies wird mehr Überblick und Ordnung schaffen.“
Und für René Schoenauer vom Versicherungssoftwarehersteller Guidewire Software GmbH besteht der Vorteil für die Versicherer vor allem darin, dass sie „von Kunden weiterhin die Zustimmung zur Speicherung und Verarbeitung ihrer persönlichen Daten bekommen und damit einen Wettbewerbsvorteil gegenüber anderen Anbietern haben“.
Es liegt also an den Unternehmen selbst, ob ihnen die EU-DSGVO mehr nutzt oder doch eher schadet.
<<
Autor: Dr. Ralf Magagnoli