Die EU-Datenschutzgrundverordnung (DSGVO) tritt am 25. Mai 2018 in Kraft. Wie aber sind Unternehmen dafür gerüstet und wie lässt sich die Umsetzung jetzt noch schaffen? Darüber haben neun DSGVO-Experten im Rahmen eines Roundtables diskutiert. [...]
Projekt richtig aufsetzen
Wolfgang Prentner, IT-Ziviltechniker, staatlich befugt und beeidet, und seit vielen Jahren mit den Themen Informationssicherheit und Datenschutz befasst, ortet ein massives Informationsbedürfnis: „Viele Unternehmen kommen derzeit zu uns, um Hilfe bei der Umsetzung zu erhalten – und zwar unabhängig von Produkten und Lösungen. Eigentlich hätte die DSGVO ja vor allem globale Unternehmen wie Facebook, Google & Co treffen sollen, um dem Profiling, Datenhandel und eventuellen Datenmissbrauch von personenbezogenen Daten einen Riegel vorzuschieben. Jetzt trifft sie alle Unternehmen. Ich halte sie allerdings für ein wichtiges Instrument, um für die Bürger und auch für die Unternehmen Klarheit im Umgang mit personenbezogenen Daten zu schaffen. Für alle, die jetzt noch starten: Es gibt einige gute Bücher und Best-Practice-Anleitungen des Austrian Standard Institutes (vormals Ö-NÖRMEN Institut), der WKO und der Bundeskammer der Ziviltechniker. Ich sehe aber auch, dass Unternehmen mit der Umsetzung teilweise einfach überfordert sind, da empfiehlt es sich auf alle Fälle, externe Unterstützung in Anspruch zu nehmen. So banal es klingt: Wichtig in der Startphase ist ein interner Projektauftrag zur DSGVO um schon von Anbeginn die Weichen Richtung DSGVO-Compliance zu stellen.“
Thomas Wagner, Information-Security-Experte bei T-Systems, hat zweierlei Sicht auf das Thema: Einerseits ist er intern im Security-Management für die eigenen Prozesse verantwortlich, ist aber auch in externen Projekten für Kunden als Berater oder bei Audits für Informationssicherheit und Datenschutz tätig. „Grundsätzlich ist für uns der Datenschutz kein neues Thema, als Teil der deutschen Telekom beschäftigen wir uns mit Datenschutz schon seit längerem intensiv und haben uns selbst hohe Standards auferlegt. So haben wir auch schon seit einigen Jahren einen Datenschutzbeauftragten bei uns bestellt“, berichtet Wagner.
Das interne Wissen soll jetzt auch extern verstärkt weitergegeben werden: „Wir versuchen jetzt unsere Kunden dabei zu unterstützen, dort aufzuholen und auszugleichen, wo es Aufholbedarf gibt“, so Wagner. „Wir sehen, dass das Thema oft von der IT angestoßen wird, wo es auch als Projekt aufgesetzt wird. Juristen sind zwar dann meistens involviert, es fehlt jedoch oft das entsprechende Fachwissen, um die Themen Recht und Technik gleichermaßen behandeln und sinnvoll verknüpfen zu können“, kritisiert Wagner.
Nationale Datenschutznorm ist in Arbeit
Wolfgang Resch, seit über 25 Jahren in der Österreichischen Computer Gesellschaft (OCG) beschäftigt, hat auch viele Jahre Erfahrung in punkto IT-Security und Datenschutz: „Wir haben schon vor einigen Jahren begonnen, die OCG als Zertifizierungsstelle für ISO 27001, das heißt für Informationssicherheitsmanagementsysteme, aufzubauen und sind damit derzeit eine von nur zwei Zertifizierungsstellen in Österreich.“ Über die Normen kam Wolfgang Resch zu Austrian Standards und leitet dort seit rund einem Jahr die neugegründete Arbeitsgruppe Datenschutz, wo derzeit an einer nationalen Norm für Datenschutz bzw. Datenschutzmanagementsysteme gearbeitet wird, die voraussichtlich 2019 verfügbar sein wird. „Die DSGVO soll ja eigentlich den betroffenen Bürgern nützen, wir haben auch in der OCG den Arbeitskreis Privacy, der sich um Betroffenenrechte kümmern“, stellt Resch fest. Dieses Thema sei bis dato von vielen Unternehmen vernachlässigt worden, hier zwinge die DSGVO viele zum Umdenken. „Ich denke aber, die Unternehmen, denen Datenschutz bislang auch schon ein Anliegen war, die haben jetzt nicht so viel zu tun“, glaubt Resch. „Das Datenschutz Thema hat viele Aspekte und ist sehr stark organisatorisch getrieben, da geht es um Prozesse, um Mitarbeiter und Bewusstseinsbildung – daran sollte jedes Unternehmen jetzt arbeiten. Ich rechne jedenfalls damit, dass die Konsumentenschützer, VKI und AK Musterklagen einbringen werden“, prognostiziert der OCG-Experte.
„Wir sehen das ganze Thema DSGVO eher von der Frontend-Seite. Das bedeutet, unsere Kunden sind in der Lage, wiederum ihren digitalen Usern im Sinne eines Self Services Funktionen im Sinne von Löschen, Ändern ihrer persönlichen Daten oder Einfrieren von Information anzubieten“, erklärt Roland Markowski, Country Manager DACH bei Gigya, ein vor zehn Jahren gegründetes US-Unternehmen, bekannt für seine Customer-Identity-Access-Management-Lösungen (CIAM), das erst im November 2017 von SAP hybris übernommen wurde und derzeit als hundertprozentiges Tochterunternehmen agiert. „Bei der DSGVO geht es darum, den Bürgern deutlich mehr Kontrolle über ihre persönlichen Daten zu verschaffen – egal, wo und wie diese verarbeitet werden – und Gigya kann Unternehmen dabei unterstützen“, so Markowskis Botschaft, der darauf verweist, dass jetzt auch Unternehmen aus den USA, aus Japan, ja aus der ganzen Welt gefordert sind, in Europa DSGVO-compliant zu agieren. „Jedes Unternehmen hat jetzt damit die Chance, die Beziehung zu seinem digitalen User zu renovieren und auf neue Füße zu stellen“, bekräftigt Markowski, „die DSGVO-Umsetzung ist ein Corporate Thema.“ Wenn man jetzt damit startet, „ist man für die Datenschutzbehörde zumindest einmal auf dem Weg – aber ich fürchte, keine fünf Prozent der Unternehmen haben diese Chance erkannt, damit dann auch bei ihren Kunden zu punkten“, bedauert der Gigya-Manager. Er sieht – wie Leichtfried – das Thema Website als wichtigen Punkt: „Das Thema Zustimmung ist alles andere als trivial.“ Fazit: „Die Website als solches wird und muss sich ändern – das ist bei Beratern oder Web-Agenturen bis dato allerdings null am Radar“, kritisiert Markowski.
An Mitarbeiterschulung denken
Andreas Schütz, Partner der Anwaltskanzlei Taylor Wessing, beschäftigt sich schon seit 2003 mit dem Thema Datenschutz: „Datenschutz ist ja beileibe kein neues Thema – die DSGVO ist jetzt der letzte Schritt in Richtung Compliance“, sieht Schütz den Start in eine neue Ära. Bis dato habe die Datenschutzbehörde eher in Schwerpunktaktionen bestimmte Branchen kontrolliert wie etwa die Gesundheitsbranche (vor allem Spitäler) oder die Finanzbranche mit Banken und Versicherungen. Schütz stimmt Georg Beham zu und macht Unternehmen Mut: „Es ist nie zu spät zu beginnen. Es ist wie beim Skifahren: Wenn man ganz oben steht, macht ein steiler Hang Angst, aber wenn man die ersten zwei Schwünge hat, ist schon viel geschafft. Dann denkt man sich: So schwer ist es doch gar nicht und dann geht es schon dahin.“
Schütz legt Unternehmen vor allem die Schulung der Mitarbeiter ans Herz: Wichtig sei, den eigenen Mitarbeitern den Sinn und Nutzen klar zu vermitteln. „Was wird jetzt nach dem 25. Mai passieren? Ich sehe das größte Risiko nicht im Vorgehen der Datenschutzbehörde, sondern bei den Betroffenen. Da kommt sicher eine Welle von Klagen, da wird es viele geben, die ihr Recht einfach wahrnehmen wollen, daher muss man genau da als Unternehmen gewappnet sein, beispielsweise was das Auskunftsrecht betrifft“, rät Schütz.
Eigene Daten im Visier
Nach eingehender Diskussion waren sich die Teilnehmer einig: Im ersten Schritt ist es wichtig, sich eine Übersicht zu verschaffen: Wie gehen wir jetzt schon mit dem Thema Datenschutz um? Der Zweite Schritt ist dann die Dokumentation der personenbezogenen Daten (Wo überall sind welche Daten über wen gespeichert?) im Verzeichnis der Verarbeitungstätigkeiten (VdV). Unbedingt ratsam ist es, dabei die eigenen Prozesse anzuschauen und anzupassen. Außerdem muss sich jedes Unternehmen die Betroffenenrechte (Auskunftsrecht, Recht auf Löschung, Berichtigung etc.) genau ansehen, um dann die notwendigen Prozesse dazu aufzusetzen. Gerade Löschen ist im Digital-Zeitalter alles andere als einfach. Nicht vergessen werden darf das mehrfach angesprochene Thema Bewusstseinsbildung und Mitarbeiterschulung. Der Faktor Mensch ist gerade beim heiklen Thema Datenschutz von größter Bedeutung. Letztlich hilft die DSGVO, die eigenen organisatorischen Strukturen und IT-Systeme zu hinterfragen und zu erneuern. Vielleicht reicht ja in Zukunft tatsächlich ein einheitliches zentrales CRM-System?
Christine Wahlmüller
Be the first to comment