Mit Stichtag 25.05.2018 tritt die EU-Datenschutzgrundverordnung (EU-DSGVO) in Kraft. Unternehmen, die personenbezogene Daten nutzen, müssen dann dieser Verordnung entsprechen. Im Interview beschreibt Wolfgang Honold, DSAG-Vorstand Österreich, was die EU-Datenschutzgrundverordnung für Unternehmen bedeutet und gibt erste Empfehlungen zur Umsetzung. [...]
Betroffen von der EU-DSGVO sind Unternehmen jeder Größe, die personenbezogene Daten erheben, speichern und verarbeiten. Die Deutschsprachige SAP-Anwendergruppe e.V. (DSAG) hat es sich zur Aufgabe gemacht, Unternehmen dabei zu unterstützen, ein EU-DSGVO-konformes SAP-System sicherzustellen.
Warum ist die EU-Datenschutzgrundverordnung für die DSAG ein relevantes Thema?
Wolfgang Honold: Mit 99 Artikeln und 173 Erwägungsgründen, die alle beachtet werden müssen, braucht die EU-Datenschutzgrundverordnung einfach eine lange Vorbereitungszeit. Das ist natürlich auch vielen unserer Mitgliedsunternehmen bewusst und sorgt für entsprechende Sensibilität. Unsere Mitglieder erwarten in diesem Zusammenhang einerseits von SAP die uneingeschränkte Einhaltung der Vorschriften und erhoffen sich von SAP und durch den Austausch innerhalb der DSAG wichtige Hinweise und Tipps für ihre eigenen Datenschutzprojekte.
Was bedeutet die EU-Datenschutzgrundverordnung konkret für DSAG-Mitgliedsunternehmen?
Zunächst bedeutet die EU-DSGVO, dass Unternehmen stärker zur Verantwortung gezogen werden im Hinblick auf den Nachweis der Rechtskonformität der Verarbeitung von personenbezogenen Daten und die Datensicherheit. Gleichzeitig bringt die EU-DSGVO umfangreichere Rechenschaftspflichten mit sich. Leider steigen jedoch auch die Bußgelder bei Verstoß. Je nach dem, gegen welche Norm ein Unternehmen verstößt, können künftig Bußgelder in Höhe von bis zu 10 Millionen Euro bzw. bis zu zwei Prozent oder von 20 Millionen Euro bzw. von bis zu vier Prozent des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres fällig werden. Für solche Summen können die meisten Unternehmen nicht mal eben Rückstellungen bilden. Umso wichtiger ist es, sich mit der EU-DSGVO auseinanderzusetzen.
Worin sehen Sie die größten Herausforderungen für die Unternehmen?
In der strengeren Nachweispflicht. Sie erfordert eine sorgfältige Dokumentation aller Datenschutzaktivitäten. Darunter fällt zum Beispiel, dass alle Unternehmensprozesse und Datenströme erfasst und bewertet werden müssen. Gleichermaßen müssen Nachweise über regelmäßige Maßnahmen zur Datenschutzsensibilisierung erbracht werden und Kontrollen eingeführt werden. Und für diejenigen, die ihr System nicht im Standard betrieben haben, wird es doppelt hart. Sie müssen alle Non-Standard-Prozesse, Reports und Modifikationen extra auditieren und analysieren. Eine weitere Herausforderung ergibt sich durch das notwendige Löschkonzept.
Inwiefern?
Für viele Unternehmen war das Löschen von Daten schon immer ein Problem. Noch größer wird das Problem jetzt durch die erweiterten und in einem gesonderten Artikel beschriebenen Löschpflichten und Informationspflichten an die Betroffenen, denen zukünftig die Speicherdauer mitzuteilen sind. Viele Unternehmen wissen aufgrund der Komplexität von modernen IT-Services gar nicht mehr, wo sich ihre Kundendaten genau befinden. Hier muss also vielerorts erst einmal aufgearbeitet werden. Zusätzlich erschwert wird das Löschen der Daten durch die unterschiedlichen Fristen, die es für die Speicherung verschiedener Daten gibt. Diese müssen in einem Löschkonzept natürlich auch berücksichtigt werden.
Bringt das neue Gesetz auch Vorteile mit sich?
Ja, die EU-DSGVO erleichtert den Datenaustausch innerhalb einer Unternehmensgruppe – zumindest dann, wenn zwischen den Unternehmen ein angemessenes Datenschutzniveau erreicht ist, zum Beispiel durch gruppeninterne, vertragliche Regelungen. Dann lassen sich künftig Arbeitnehmerdaten leichter austauschen als bisher.
Was raten Sie DSAG-Mitgliedsunternehmen, die die EU-DSGVO bisher noch nicht umgesetzt haben?
Die Zeit drängt und die Unternehmen müssen aktiv werden. Doch übereilt werden sollte hier auch nichts. Zunächst sollten Unternehmen einen Maßnahmenplan erarbeiten.
Wie könnte dieser Maßnahmenplan aussehen?
Der erste Schritt zum EU-DSGVO-konformen System ist eine Bestandsaufnahme in Bezug auf die Einhaltung heute noch bestehender Datenschutzgesetze und auf die DSGVO. Diese Erfassung des Ist-Zustands dient als Basis auf dem Weg zum Soll-Zustand, dem DSGVO-konformen Umgang mit Daten. Sie umfasst bestenfalls neben der Analyse der Geschäftsprozesse und der involvierten IT-Systeme die Identifikation aller neben der DSGVO relevanten Rechtsnormen. Je nach Branche können sich hier Besonderheiten ergeben. Aus den Ergebnissen heraus ergibt sich der Maßnahmenplan, dessen Umsetzung bis zum Stichtag abgeschlossen sein sollte.
Was ist noch wichtig bei der Umsetzung der EU-DSGVO?
Unternehmen müssen klären, wo die Verantwortlichkeit liegt. Es hilft nicht, wenn die Personalabteilung oder der Datenschutzbeauftragte den schwarzen Peter der Verantwortung zugeschoben bekommen. Es sollte stattdessen ein Datenschutzmanagement durch Verantwortliche in den Prozessen etabliert werden. Außerdem müssen die Fachbereiche mit ins Boot geholt werden. Sie müssen feststellen, ob in ihren Bereichen rechtskonform gehandelt wird und die Prozesse die datenschutzrechtlichen Anforderungen erfüllen. Das ist nicht die Aufgabe des Datenschutzbeauftragten. Der Datenschutzbeauftragte ist für die Strategieabstimmung zuständig, berät und überwacht. Er kann jedoch keine operative Verantwortung tragen.
Welche Rolle spielt die Dokumentation?
Dokumentation ist das A&O. Vielen Unternehmen erscheint das Thema lästig, müssen sie doch Datenschutzmaßnahmen nicht nur umsetzen, sondern die Umsetzung und deren Kontrolle auch noch dokumentieren. Doch solche Dokumentationen prüft die Aufsichtsbehörde. Und wenn es einmal zu einer Datenschutzverletzung kommt, ist es umso wichtiger, dass die Dokumentation vollständig verfügbar ist.
Zusammengefasst: Womit steht und fällt die erfolgreiche Umsetzung der EU-DSGVO?
Hier spielen mehrere Faktoren eine Rolle. Angefangen mit einem gründlichen Projektmanagement und der frühzeitigen Einbindung aller betroffenen Geschäftsbereiche. Eine Hürde können Geschäftsführung und Vorstand sein. Hier bedarf es in der Regel insbesondere bei der datenschutzrechtlichen Pflicht zur Löschung etwas Erklärungsarbeit. Ist die geleistet, wären die nächsten Schritte eine ausführliche Datenanalyse und die Erarbeitung einer nachvollziehbaren Struktur, die später als Konzept zum Nachweis gegenüber den Prüfungsbehörden dient. Zum Schluss müssen die Betroffenen noch einen soliden Implementierungsplan erstellen und behält man dann noch die Meilensteine im Blick, sollte die Umsetzung der EU-DSGVO gelingen.
Wie unterstützt die DSAG ihre österreichischen Mitglieder dabei?
Zum einen haben unsere Mitglieder im DSAGNet die Möglichkeit, sich untereinander auszutauschen und von bereits gemachten Erfahrungen zu profitieren. Es gibt außerdem eine eigene DSAG-Arbeitsgruppe, die sich mit dem Thema beschäftigt. Zum anderen hat die DSAG unter www.dsag.de/eu-dsgvo eine Landingpage erstellt, auf der relevante Informationen und Links rund um die EU-DSGVO aufgeführt werden. Und aufgrund der Brisanz des Themas haben wir am 14. September 2017 in den Räumlichkeiten von SAP Österreich in Wien eine halbtägige Veranstaltung ins Leben gerufen. Dort erhalten Teilnehmer konkrete Tipps zum Umgang mit der EU-DSGVO. Sie erfahren, wie Unternehmenein EU-DSGVO-konformes SAP-System sicherstellen können und können gesetzliche Grundlagen und mögliche betriebliche Vorbereitungsszenarien diskutieren.
Be the first to comment