Die EU-Datenschutzgrundverordnung (DSGVO) tritt am 25. Mai 2018 in Kraft. Wie aber sind Unternehmen dafür gerüstet und wie lässt sich die Umsetzung jetzt noch schaffen? Darüber haben neun DSGVO-Experten im Rahmen eines Roundtables diskutiert. [...]
Es ist höchste Zeit. Wer sich bis dato noch nicht mit der Datenschutzgrundverordnung (DSGVO) beschäftigt hat, hat ein Problem. Es bleiben nur noch rund drei Monate – und dann drohen saftige Strafen bei Nichteinhaltung. Was ist aber zu tun? Wie weit sind Unternehmen jetzt schon gerüstet? Die Komplexität der Materie schreckt offenbar ab. Laut einer aktuellen Umfrage von Deloitte ist nur jedes zweite heimische Unternehmen bis dato ausreichend vorbereitetet, zehn Prozent gaben sogar an, sich kaum bis gar nicht vorbereitet zu fühlen. Für die überwiegende Mehrheit – nämlich 85 Prozent (!) – stellt die Implementierung der EU-DSGVO eine enorme Herausforderung dar. Neben der Einbindung und Aufklärung der Fachbereiche werden auch der Bürokratie- und Ressourcenaufwand als größte Hürden empfunden.
Einen guten Weg, die ab Mai 2018 wirksame DSGVO in Angriff zu nehmen, bietet das schmale Büchlein „EU-DSGVO – Praxiseinführung in sieben Schritten“, herausgegeben von Georg Beham und Reinhard Hübelbauer (erschienen bei Austrian Standards). Es stellt die Kernthemen der DSGVO kompakt zusammengefasst und leicht verständlich dar und bietet damit einen praxisorientierten Leitfaden zur Umsetzung – für alle, die sich jetzt im Unternehmen mit der Realisierung beschäftigen müssen: Management, Datenschutzbeauftragte, aber auch Mitarbeiter aus den Fachabteilungen.
Wir haben IT-Security- und Datenschutz-Fachmann Georg Beham im Rahmen des COMPUTERWELT-Roundtables zum Thema DSGVO ganz konkret gefragt: Was können Unternehmen jetzt noch tun, um DSGVO-fit zu werden? „Ich habe bereits vor drei Jahren begonnen, mich sehr intensiv mit dem Thema DSGVO zu beschäftigen. Mit meinem ersten Buch „Datenschutz Audit“, erschienen bei LexisNexis, habe ich versucht, die DSGVO in konkrete Handlungsmaßnahmen zu übersetzen, die auch ein Organisations- oder IT-Profi in einem Unternehmen versteht, und da ist mir erst richtig bewusstgeworden, wie komplex die Materie ist. Die DSGVO greift auch so stark in die Unternehmensprozesse ein, wie es schon lange kein Compliance-Standard mehr getan hat. Ich glaube, es werden ganz wenige Unternehmen im Mai compliant sein – aber es ist nie zu spät, mit der Umsetzung zu beginnen. Am Anfang sollte sich jedes Unternehmen einen Überblick verschaffen“, macht Beham Unternehmen Mut. Der Oberösterreicher, Partner beim Wirtschaftsprüfungs- und Beratungsunternehmen Grant Thornton und dort unter anderem für den Bereich Cybersecurity verantwortlich, hat derzeit einen sehr vollen Terminkalender und ist ein gefragter Mann.
In Arbeitspakete aufteilen
„Die DSGVO betrifft fast jedes Unternehmen, weil fast überall personenbezogene Daten verarbeitet werden. Wichtig ist, dass im Unternehmen alles dokumentiert wird, weil die Beweispflicht bei den Unternehmen liegt“, betont Beham.Als wesentliche Herausforderungen sieht der Datenschutz-Experte vor allem die Komplexität des Themas, die nur mehr sehr kurze verbleibende Zeit zur Umsetzung und fehlende Ressourcen in vielen Unternehmen. Um das DSGVO-Projekt erfolgreich durchzuführen, werden folgende sieben Schritte bzw. Arbeitspakete von Beham empfohlen, die auch in dem eingangs erwähnten Buch beschrieben sind:
1. Die Erstellung eines initialen Datenschutz-Risikoprofils und die Erhebung des aktuellen Datenschutzniveaus
2. Das Verzeichnis der Verarbeitungstätigkeiten (VdV)
3. Eine Datenschutz-Folgenabschätzung
4. Privacy by Design & Privacy by Default
5. Datenschutz in Vereinbarungen
6. Betroffenenrechte
7. Umgang mit Datenschutzverletzungen
Die Umsetzung der DSGVO kann Unternehmen darüber hinaus nicht nur die Chance bieten, die eigenen Prozesse und IT-Systeme intensiv zu durchleuchten und zu erneuern, sondern sie eröffnet auch die Möglichkeit, sich einen klaren Wettbewerbsvorteil zu verschaffen: „Wir haben einen Kunden aus dem Recruiting-Bereich, der die DSGVO-Umsetzung jetzt sehr ernst nimmt, denn der dortige Geschäftsführer sagt: Wir wollen das beste Recruiting-Unternehmen in punkto Datenschutz sein“, erzählt Beham.
Auch IT-Dienstleister setzen sich intensiv mit der DSGVO-Thematik auseinander. „Meine Passion sind die Themen, wo man ganzheitlich denken muss: IT-Security, Performance, IT-Stabilität und Flexibilität“, sagt Ingrid Kriegl, Geschäftsführerin von Sphinx IT. Das Unternehmen kümmert sich um die Optimierung von heterogenen IT-Systemen. Für die studierte Informatikerin ist das Thema auch ein guter Anstoß um die IT-Security generell zu erhöhen. „Das große Aufräumen im Zuge der DSGVO führt auch zu wichtigen internen Diskussionen: Zum Beispiel führt die Frage „Von welchen Personen in unserem CRM wollen wir unbedingt die Zustimmungen?“ zur Frage „Na, wer ist denn überhaupt unsere Zielgruppe“ oder anders gesagt „Von welchen Leuten brauchen wir welche Daten, damit wir sie noch besser servicieren können?“ Nachsatz: „Wenn es uns gelingt, bei uns selbst und bei den Kunden da einen Aha-Effekt auszulösen, dann bringt die DSGVO dem Unternehmen etwas!“ Die meisten Unternehmen haben aber bis Ende Mai keine Zeit mehr zum „Aufräumen“. Da heißt es jetzt pragmatisch sein, um noch rechtzeitig die wichtigsten Schritte Richtung Gesetzeskonformität zu setzen. Sphinx hat genau dafür eine Last-Minute-Strategie entwickelt. „Wir stellen den Kunden eine Mischung aus bewährter Vorgehensweise, Vorlagen und Tool zur Verfügung“, so Sphinx-Geschäftsführerin Ingrid Kriegl, „dann kann das Management schon mal ruhig schlafen“. Sie rät den Kunden, schrittweise Richtung Nutzen für das Unternehmen weiterzumachen. „Weil es sich lohnt. Es ist wie beim Ausmisten zu Hause: wenn man lange nicht entrümpelt hat, ist es mühsam und langwierig. Aber am Ende hat man wieder Überblick und Freiraum für Neues.“
WK bietet viele Infos
„Der Nutzen muss den Unternehmen jetzt klarwerden“, glaubt Vincenz Leichtfried, Datenschutz-Experte und Gründer von LV7 Media Services, der sich in der WK engagiert, um via UBIT zur Aufklärung und Information bezüglich DSGVO beizutragen. „Fragen Sie nicht, was Sie für den Datenschutz tun können, sondern, was der Datenschutz für Sie tun kann. Datenschutz ist gleich IT-Sicherheit ist gleich Unternehmensstabilität“, stellt Leichtfried klar. „Für größere Firmen ist das schon länger ein Thema, aber gerade in vielen KMU hat sich bislang oft kaum jemand mit Datensicherheit und dem Schutz von IT-Systemen beschäftigt“, sagt Leichtfried. Was aber sollten sich die Unternehmen als erstes ansehen? „Abseits der jeweiligen Kernanwendungen ist vor allem die Website die exponierteste Datenanwendung“, meint Leichtfried. Die Wirtschaftskammer bietet auf wko.at/datenschutz ein umfangreiches Service-Angebot zur Umsetzung der DSGVO, unter anderem Infoblätter, Begriffsbestimmungen, Broschüren, eine Checkliste und Musterdokumente. Weitere Informationen finden Interessierte unter wkoratgeber.at.
„Einerseits müssen wir selbst als Betreiber vieler Datensysteme Datenschutz-Compliance sicherstellen – andererseits haben wir aus unseren Security-Lösungen heraus Systeme geschaffen, damit auch alle anderen Unternehmen relativ rasch selbst DSGVO-compliant werden können“, sagt Walter Khom, Geschäftsführer von bit media. Kernkompetenz des Unternehmens mit Zentrale in Graz sind digitale Lösungen im Bildungsbereich sowie Lösungen für Verwaltung und Sicherheit. „Mit dem neuen Datenschutzmanagement-System PHOENIX lassen sich viele Anforderungen der DSGVO einfach und gut abdecken“, meint Khom. Es sei ein Irrglaube, dass große Unternehmen schon gut vorbereiten sind. „Dem würde ich widersprechen. Unsere Wahrnehmung ist, dass große Unternehmen zwar im Bereich Informationssicherheit und Prozesse im technischen Sinne besser organisiert sind, aber Datenschutz ist kein reines IT-Thema. Es geht auch um organisatorische Prozesse und um Bewusstseinsbildung bei den Mitarbeitern.“ In diesem Bereich gibt es für KMUs, aber auch für große Unternehmen noch einiges zu tun. „Viele Data-Breaches haben heute weniger mit Technik zu tun, sondern beruhen darauf, dass Personen nicht richtig handeln“, ortet Khom einen massiven Aufklärungs- und Schulungsbedarf.
Be the first to comment