DSGVO-Tipps für Nachzügler

Wie Unternehmen ein DSGVO-taugliches Datenbewusstsein für die digitale Welt entwickeln.

Illustration: Absmeier, 433737

Am 25. November ist es sechs Monate her, dass die Datenschutzgrundverordnung mit Ende der Übergangsfrist endgültig in Kraft getreten ist. Bis zu diesem historischen Datum im Mai diesen Jahres herrschte eine große Verunsicherung bei Organisationen aller Art darüber, inwieweit die neuen Vorschriften ihre Prozesse betreffen und was getan werden muss, um diese einzuhalten. Und nun? Nach einem halben Jahr scheint sich an diesem Zustand nicht grundlegend etwas geändert zu haben. Wie aus einer aktuellen Umfrage des IT-Branchenverbands Bitkom unter 500 Unternehmen in Deutschland hervorgeht, haben sich die Unternehmen auf dem Weg zur DSGVO-Compliance weitestgehend überschätzt: So hat nur etwa ein Viertel (24 Prozent) alle Vorgaben bisher vollständig umgesetzt, weitere 40 Prozent nach eigenen Angaben größtenteils und fünf Prozent stehen immer noch am Anfang.

Unterdessen hat Facebook einen ersten Datenskandal nach DSGVO-Maßstäben geliefert, ebenso soll ein Krankenhaus in Lissabon auf Grund eines Verstoßes eine Strafe von 400.000 Euro zahlen, da Patientendaten auch externen Dienstleistern zugänglich waren und mittlerweile stehen selbst Klingelschilder bei einigen Experten als rechtswidrig im Verdacht. Gleichzeitig scheinen auch die Regulierungsbehörden noch ein wenig mit der Anwendung des neuen Regelwerks zu kämpfen. Ihnen schlägt auch die Reaktion von Unternehmensverbänden entgegen, die Anpassungen der Gesetzgebung und einen konkreten Maßnahmenkatalog fordern. Eine systematische Überprüfung der Compliance einzelner Unternehmen scheint derzeit allerdings nicht zu drohen. Somit sinkt in Betrieben, die gegenwärtig noch mit den DSGVO-Anforderungen kämpfen, die Priorität für die Umsetzung weiter ab.

 

Anzeige

Der Umgang mit Daten wird zum Wettbewerbskriterium in der digitalen Welt

Dabei wird sich auf lange Sicht der Umgang mit Daten zu einem wesentlichen Bestandteil digitaler Geschäftsmodelle entwickeln, in mehrfacher Hinsicht: Einerseits ist die Auswertung von generierten Daten im Geschäftsalltag wesentlich für die Weiterentwicklung von Produkten und Services und somit schlussendlich für den Absatz. Darüber hinaus wird sich allerdings auch der Umgang mit den persönlichen Daten der Kunden zu einem entscheidenden Wettbewerbsmerkmal entwickeln. Der Grundstein dafür wurde mit der DSGVO gelegt. Und die Tatsache, dass die Entwicklung vergleichbarer Regularien mittlerweile auch jenseits der EU diskutiert wird – darunter Apple-Chef Tim Cook, der die DSGVO als hervorragende Grundlage für weltweite Datenschutzstandards preist – ist ein deutliches Indiz dafür. Womit Unternehmen derzeit allerdings noch zu kämpfen haben, ist die Tatsache, dass die DSGVO für eine überaus heterogene digitale Wirtschaft geschaffen wurde. Mit den Vorschriften zielte die Europäische Union vor allem auf große Konzerne wie Google und Facebook, deren technologische Fähigkeiten in der Datenerhebung und -verarbeitung am weitesten fortgeschritten sind. Die Vorreiter als Grundlage für die Regulierung automatisierter Datenerhebungsprozesse in der digitalen Wirtschaft heranzuziehen, war eine wichtige Voraussetzung für die Wirksamkeit und Zukunftsfähigkeit der DSGVO.

Derzeit sind jedoch noch nicht alle Unternehmen in derselben Ausprägung »digital« wie die führenden Global Player – zumindest, was die Erhebungs- und Verarbeitungsfähigkeiten großer Datenmengen anbelangt. Die DSGVO-Vorgaben gelten allerdings ebenso für analoge Prozesse, was in manchen Betrieben oder kleineren Organisationen zum Teil an den Rand der Absurdität führt – zumindest noch. Für die Zukunft ist jedoch davon auszugehen, dass im Zuge der digitalen Transformation vergleichbare Technologien auch von kleineren Organisationen standardmäßig genutzt werden. Zudem ist es wahrscheinlich, dass sich allgemein die Ansprüche von Endkunden an das Datenschutzniveau langfristig erhöhen werden.

Anzeige

 

Umdenken im digitalen Zeitalter: Daten zum Zentrum der Unternehmensprozesse machen

Da die Datenverarbeitungsprozesse in Unternehmen stark variieren, ist es schwierig, einen Maßnahmenkatalog zu entwickeln, der die Bedürfnisse jedes einzelnen Unternehmens optimal abdeckt. Doch auch als Nachzügler in Sachen DSGVO-Compliance sollte man sich nicht bis in alle Ewigkeit darauf verlassen, dass die Regulierungsbehörden nicht genau hinsehen werden. Nicht zuletzt deshalb, weil fehlende geeignete Prozesse für den Schutz von Daten sich auch nachteilig auf die Gunst der Kunden auswirken können.

Für all diejenigen, die nach wie vor mit den Regularien zu kämpfen haben, können folgende einfache Maßnahmen helfen, sich an die Anwendung der DSGVO heranzutasten:

  1. Daten, Anwendungen und Personen ermitteln
    Ein guter Ausgangspunkt ist eine einfache Fragestellung: Was, wo und wer? Was für Daten werden an welcher Stelle im Geschäftsprozess erhoben? Dabei ist es sinnvoll mit dem wesentlichen, den personenbezogenen Daten anzufangen und sich mit dem Begriff derselben vertraut zu machen. Als personenbezogene Daten gelten dabei nicht nur Angaben zur Person, sondern weitere Daten, die eine natürliche Person bestimmbar machen, beispielsweise die IP-Adresse. Wo, beziehungsweise auf welchen Wegen werden diese erhoben, an welcher Stelle haben Kunden die Gelegenheit zur Einwilligung und in welchen Softwareanwendungen werden diese verarbeitet und gespeichert? Und zu guter Letzt – wer im Unternehmen hat Zugriff und welche Nutzungsrechte für welche Menge an Daten?
  2. Verschlüsselungstechnologien nutzen
    Worst Case im Sinne der DSGVO ist der Verlust von personenbezogenen Daten an unbefugte Dritte, beispielsweise durch den Datenverlust im Rahmen einer IT-Sicherheitslücke. Geschieht dies, ist das betroffene Unternehmen verpflichtet, die betroffenen Kunden sowie die Aufsichtsbehörden innerhalb von 72 Stunden über den Vorfall zu unterrichten. Auch für Unternehmen dürfte dieses Szenario wohl unter dem Begriff »Alptraum« rangieren. Es empfiehlt sich daher, geeignete Daten-Verschlüsselungstechnologien zu implementieren, um sicherzugehen, dass Kundendaten auch im schlimmsten möglichen Fall geschützt sind. Werden Verschlüsselungstechnologien angewendet und sind damit die verloren gegangenen Daten für Dritte unbrauchbar, entfällt zudem auch die Informationspflicht gegenüber dem Kunden, wie in Artikel 34, Abs. 3a) dargelegt.
  3. Datenschutz zum Bestandteil der Unternehmenskultur machen
    Der Schutz von Daten – immerhin die Grundlage eines digitalen Unternehmens – sollte alle angehen und nicht ausschließlich auf Verantwortliche wie den Datenschutzbeauftragten oder IT-Administratoren beschränkt bleiben. Mitarbeiter bilden regelmäßig die Schnittstelle zu wichtigen Daten und sollten für die Probleme im Umgang mit Daten sensibilisiert werden. Ein angemessenes Problembewusstsein auf Seiten der Mitarbeiter kann sich insbesondere in unvorhergesehenen Ausnahmefällen bezahlt machen. Wenn beispielsweise der E-Mailserver ausfällt, sollte es für alle Betroffenen selbstverständlich sein, dass sie nicht auf andere Lösungen wie private E-Mailpostfächer bei Drittanbietern ausweichen und somit sensible Unternehmensdaten einem Sicherheitsrisiko aussetzen. Daher sollten Beteiligte aller Unternehmensebenen für die Probleme im Umgang mit Daten sensibilisiert werden. Schulungen sind zwar ein nützliches Mittel, um strukturiert die wichtigsten Sachverhalte zu vermitteln, doch der Lerneffekt lässt erfahrungsgemäß nach, wenn die Inhalte im Tagesgeschäft keinerlei Anwendung finden. Der Umgang mit Daten und deren Rolle in den Geschäftsprozessen sollte daher immer wieder in alltägliche Diskussionen einfließen, ob in Teammeetings, Einzelgesprächen oder auch mal kurz beim lockeren Gespräch in der Kaffeepause. Dies führt letztendlich dazu, dass Mitarbeiter bewusster und verantwortungsvoller mit Daten umgehen.

Bei der Datenschutzgrundverordnung geht es weniger darum, Maßnahmen »abzuarbeiten«, um einer Vorschrift zu entsprechen, sondern sie ist ein Weckruf für Unternehmen, ihre Datenverarbeitungsprozesse zukunftsfähig auszurichten. Die digitale Welt verändert sich beständig weiter, dementsprechend ist auch der Schutz der Daten ein fortlaufender, dynamischer Prozess. Unternehmen sollten daher ihre Erhebungs-, Verarbeitungs- und Sicherungsprozesse regelmäßig evaluieren und stets nach technischen Verfahren Ausschau halten, mit denen sich diese verschlanken lassen. Dies ist wesentlich für eine starke Position im Marktwettbewerb. Auch wenn gegenwärtig der Umgang mit Daten noch wenig reguliert erscheinen mag und wegweisende Präzedenzfälle erst noch entstehen müssen, die Bedeutung des Datenschutzes im digitalen Zeitalter steht fest – dies markiert auch die ePrivacy-Verordnung, die gegenwärtig noch ausgearbeitet wird.

Michael Scheffler, Regional Director Central and Eastern Europe, Bitglass

 


 

 

Mehr Schatten als Licht: Wie weit sind Unternehmen wirklich in Bezug auf die DSGVO?

Noch vor wenigen Monaten beherrschte vor allem ein Thema die Geschäftswelt: die neue Datenschutzgrundverordnung (DSGVO). Seit dem 25. Mai 2018 ist diese nun vollends in Kraft – inklusive aller Folgen bei Verstößen, wie beispielsweise Abmahnungen oder gar hohe Bußgelder. Noch immer stellt das moderne Regelwerk zahlreiche Betriebe vor große Herausforderungen.

Illustration: Absmeier, Secupay

»Zu viele Manager versuchen sich noch allein mit der Thematik auseinanderzusetzen, ohne über das notwendige Know-how zu verfügen«, mahnt Dr. Consuela Utsch, Geschäftsführerin der Acuroc GmbH. »Setzen Unternehmen auf externe Berater, erhalten sie vor allem einen Vorteil: einen neutralen Blick von außen, durch den die Experten Prozesse und Situationen anders wahrnehmen und so ungenutzte Potenziale besser erkennen.« Doch worin bestehen überhaupt die Probleme, mit denen sich die Verantwortlichen auseinandersetzen? Und wie können sie diese beheben?

 

Einheitliche Definitionen festlegen

Die digitale Transformation und die damit einhergehenden technischen Neuerungen beeinflussen interne sowie externe Geschäftsprozesse maßgeblich. Hard- und Software befinden sich ebenso im Wandel wie die Anforderungen von Kunden, Mitarbeitern und der Führungsetage. Industrie 4.0, Cloud-Services und Big Data sind in der Unternehmenswelt stets präsent. Vor allem Letzteres stand in Bezug auf die DSGVO vermehrt im Fokus, denn durch Internet und Softwarelösungen wachsen die Datenmengen rasant und kontinuierlich. Eine einheitliche Regelung über den Umgang mit personenbezogenen Daten war demnach nur eine Frage der Zeit. Auf diese modernen Gegebenheiten müssen die Unternehmen reagieren – andernfalls gehen sie auf einem sich stetig verändernden Markt unter.

»Vorrangig kleine und mittelständische Betriebe verfügen hier nur über unzureichende Kompetenzen«, weiß Utsch. »Die Herausforderungen beginnen bereits bei den unterschiedlichen Definitionen für die relevanten Begrifflichkeiten. In Bezug auf die DSGVO gehören hier unter anderem die Bezeichnungen ›Daten‹, ›Informationen‹, ›Sicherheit‹, ›Datensicherung‹ und ›Datensicherheit‹ dazu.« Diese Definitionen gilt es zunächst einheitlich festzulegen und der Belegschaft so die Basis für ein ausreichendes Verständnis der Thematik zu bieten. Die benötigte Unterstützung erhalten die Verantwortlichen unter anderem durch externe Berater und mithilfe entsprechend durchgeführter Maßnahmen. Allem voran zählt hierzu ein sogenannter Readiness-Check, der den notwendigen Überblick über die Ist-Situation und mögliche Lösungs- sowie Handlungswege aufweist.

 

Readiness-Check

Mithilfe der Durchführung des Readiness-Checks bekommen die Verantwortlichen eine neutrale und transparente Einschätzung des aktuellen Reifegrades der Organisation und damit einen belastbaren Handlungsrahmen für die Umsetzung. Der Ansatz gliedert sich dabei in zwei Schritte. Zu Beginn erfolgt die Analyse der Ist-Situation auf Basis eines branchenspezifisch ausgeprägten Fragenkatalogs, der im Interviewverfahren durchgegangen wird. Die Anzahl der Interviewpartner richtet sich dabei sowohl nach der Unternehmensgröße als auch nach der aktuellen Komplexität des Betriebes. »Die aus den Befragungen erhaltenen Informationen ermöglichen dann die Reifegradbestimmung«, erläutert die Acuroc-Geschäftsführerin. »Daraus ergeben sich Empfehlungen, welche Themen mit welcher Priorität zeitnah umzusetzen sind.« Dabei spielt neben der Analyse der vorhandenen Informationen auch die Erarbeitung sowie Beschreibung der Zielsituation bezüglich der Relevanz der DSGVO eine wichtige Rolle.

 

Zertifizierung als Wettbewerbsvorteil

Der Vergleich zwischen der Ist- und Zielsituation erfolgt daraufhin unter Einsatz einer GAP-Analyse, woraus sich wiederum Handlungsfelder erkennen lassen. Die dann erstellte Roadmap dient dazu, die erkannten Herausforderungen entsprechend anzugehen. »Auf Basis des Readiness-Checks können wir deshalb genau ermitteln, was bisher unternommen worden ist und welche Aspekte noch fehlen«, so Utsch. »Dabei bringen wir unser Know-how ein, welche Daten wie ausgewertet werden dürfen, um gesetzeskonform zu agieren und dennoch die Digitalisierung voranzubringen.« Nach erfolgreicher Umsetzung der auf Basis des Checks identifizieren Handlungsfelder, können die Unternehmen eine TÜV-geprüfte und DSGVO-konforme Datenschutzzertifizierung durchführen, mit der sie sich einen erheblichen Wettbewerbsvorteil verschaffen. Denn ein Datenschutzzertifikat dokumentiert allen Kunden eindeutig, die Sensibilität, die Unternehmen bezüglich des richtigen Umgangs mit personenbezogenen Daten intern leben und umsetzen. Zudem kann damit die Zahl der Audits, die Kunden durchführen deutlich reduziert werden, was interne Aufwände signifikant reduziert. Insbesondere innovative Branchen, die auf die Digitalisierung setzen, profitieren von der Zertifizierung.

Weitere Informationen über die Acuroc GmbH und über die AQRO GmbH unter www.acuroc.de und www.aqro.eu