Klingt komisch, ist aber so: generell ist die Verarbeitung personenbezogener Daten grundsätzlich verboten. Das heißt: nur in begründeten Ausnahmen wird die Verarbeitung erlaubt. Somit besteht die große Herausforderung in der Umsetzung der EU-DSGVO darin, die Ausnahme und damit einhergehend die Erlaubnis zu finden. Im Folgenden möchte ich Ihnen aufzeigen, warum die EU-DSGVO kein Showstopper sein muss.
Alle sind betroffen!
Denn alle Firmen nutzen heute personenbezogene Daten. Spontan fühlen sich Firmen im B2B Umfeld eventuell im Vorteil, da sie weniger direkten Endkundenkontakt haben, als der B2B-Bereich. Doch schon auf den zweiten Blick relativiert sich die Aussage, da Mitarbeiterdaten den gleichen Schutz genießen, wie die der Endkunden. Und wer da an Personaldaten denkt, liegt schon mal nicht falsch. Aber was ist mit all den Kontakten im Rahmen von Messen/Veranstaltungen/ im elektronischen Telefonbuch/ in der Telefonanlage? Was ist mit Geburtstagslisten, Online-Kennung, IP- oder MAC-Adresse, mit der Personen eindeutig identifizierbar sind? Niemand denkt spontan an das Logfile einer Netzwerkkomponente, welches zu Diagnosezwecken zum Hersteller in die USA gesendet wird, in dem aber IP-Kennungen enthalten sind. Das nennt sich dann „unzulässige Weitergabe in unsichere Drittstaaten“ und das will doch niemand! Die Liste von möglichen Anwendungen, in denen personenbezogene Daten verarbeitet werden, ist lang und sollte sorgfältig, unter Umständen mit externer Hilfe oder Tool-gestützt, erfolgen.
Showstopper EU-DSGVO?
Fast immer, wenn ich über etwas die bevorstehende EU-DSGVO lese, werden vor allem die drakonischen Strafen in den Vordergrund gestellt. Bei Nichteinhaltung drohen Unternehmen ab dem 25. Mai 2018, Bußgelder von bis zu 20 Millionen Euro bzw. bis zu 4% des weltweiten Umsatzes. Doch neben Risiken, birgt die EU-DSGVO auch Chancen für international agierende Unternehmen. Gerne möchte ich Ihnen an dieser Stelle den Fachbeitrag „EU-Datenschutz-Grundverordnung: Der Countdown läuft“ unseres Axians Datenschutzexperten (Erwin Ritter) ans Herz legen, der sich bereits sehr früh und intensiv mit der EU-DSGVO Thematik beschäftigt hat. Im Folgenden werde ich drei Perspektiven beleuchten, die Sie dabei unterstützen können, Ihr Unternehmen EU-DSGVO-compliant zu machen.
Organisation, Prozesse & Software = 80:20
Das vorrangige Ziel der neuen Verordnung ist der Schutz von personenbezogenen Daten. Ein regelkonformer Umgang mit diesen minimiert folglich das Risiko auf Strafzahlungen. Somit sehe ich die Umsetzung der EU-DSGVO in Unternehmen in erster Linie als ein organisatorisches Thema an, im Sinne der Mitarbeitersensibilisierung und Anpassung der internen Prozesse. Unternehmen benötigen einen Orientierungsrahmen, um nötige Struktur- und Softwareentscheidungen treffen zu können. Dabei gilt es pragmatisch, in Ruhe und nachhaltig, an die Umsetzung heranzugehen, und sich zu fragen, wie man alle Punkte der EU-DSGVO Step-by-Step abarbeiten kann. Aufgrund des guten Datenschutzgesetzes in Deutschland haben wir bereits eine sehr solide Grundlage. Berücksichtigt werden sollte außerdem, dass sich auch die Aufsichtsbehörden neu aufstellen müssen/werden. Ein enger Austausch mit ihnen ist ratsam, da er das Risiko minimiert, einen falschen bzw. schwierigen und vielleicht sogar teuren Weg einzuschlagen.
Aus unseren gesammelten Erfahrungen lässt sich ableiten, dass sich die Adaptation der internen Unternehmensprozesse im Verhältnis zum Einsatz der unterstützenden Software ungefähr 80% zu 20% verhält. Doch wie genau kann Software die EU-DSGVO Prozesse unterstützen? Ein Großteil der neuen Vorschriften, die umgesetzt werden müssen, unterliegen der Dokumentationspflicht. Es gibt beispielsweise Tools, in Form von Software, die Unternehmen dabei hilft, die personenbezogenen und schützenswerten Daten in den verscheiden Systemen zu finden und dafür Kataloge aufzubauen.
Security First: Es ist noch nicht zu spät
Ich stelle leider immer noch zu häufig fest, dass die Unsicherheit in Bezug auf die Umsetzung bzw. die Einhaltung der EU-DSGVO nach wie vor hoch ist. Dies führt bei einigen Unternehmen zu einer Schockstarre, frei nach dem Motto: „Wir machen lieber nichts, dann machen wir auch nichts falsch“. Von diesem Verhalten kann ich jedoch nur strikt abraten, da es früher oder später in jedem Fall (rechtliche und finanzielle) Konsequenzen nach sich ziehen wird. Für Unternehmen, die noch ganz am Anfang stehen, besteht die Möglichkeit, sich über einen Workshop (z.B. IT Workshop zur EU-DSGVO) der neuen EU-Datenschutzgrundverordnung zu nähern. Dieser ganzheitliche Approach beinhaltet u.a. den Abgleich von Ist- und Soll-Zuständen, eine GAP-Analyse für das Management sowie die Priorisierung der bevorstehenden Aktivitäten nach einer klar definierten und strukturierten Vorgehensweise.
Juristische Perspektive: Risiken minimieren und Chancen nutzen
Die Chancen, die sich laut der Einschätzung unserer juristischen Partner aufgrund der EU-DSGVO ergeben, sind ein einheitliches Datenschutzrecht auf europäischer Ebene. Dies ermöglicht international agierenden Unternehmen europaweit auf Basis eines einheitlichen Standards zu agieren. Diese Rechtssicherheit sowie die dadurch resultierende Vereinfachung, kann laut der Ansicht vieler juristischer Experten international agierenden Unternehmen somit zu einem signifikanten Wettbewerbsvorteil verhelfen. Aufgrund der erhöhten Awareness im Markt wird es folglich immer wichtiger, nicht negativ aufzufallen. Je eher sich ein Unternehmen auf die EU-DSGVO und die damit verbunden neuen Regelungen einstellt, desto schneller kann es aufgrund seiner Datenschutz-Compliance im Vergleich zu langsameren Unternehmen Differenzierungsmerkmale erzielen.
Viele Wege führen zur EU-DSGVO
Es gibt viele Herangehensweisen sich mit der bevorstehenden EU-DSGVO vertraut zu machen und deren Anforderungen Step-by-Step im eigenen Unternehmen umzusetzen. Folglich vermag ich es nicht zu sagen, welcher Weg für Sie der Beste ist. So lange Sie bereits angefangen haben bzw. spätestens jetzt damit anfangen und das Thema nachhaltig vorantreiben, sind Sie m.E. auf dem richtigen Weg. Abschließen möchte ich mit einem Zitat von unserem Axians Datenschutzexperten:
„Eins geht gar nicht und das ist Nichts zu tun!“