Interview zur DSGVO mit Henning Bruestle, OpenText „Kernsysteme im Unternehmen sind in mehrfacher Hinsicht betroffen."

12. März 2018

Die Datenschutzgrundverordnung (DSGVO) wirkt sich stark auf Business-Prozesse im Tagesgeschäft eines Unternehmens aus. Schließlich werden in vielen Geschäftsabläufen etliche personenbezogene Daten von Geschäftspartnern, Kunden oder Lieferanten verarbeitet und gespeichert. Welche Auswirkungen die DSGVO auf Anwender hat und welche Rolle Softwarelieferanten dabei spielen, gibt Henning Bruestle, Vice President Enterprise Sales Germany bei OpenText, im Interview mit www.line-of.biz (LoB) zu Protokoll.

Zukunftssicherheit

LoB: Wie können Unternehmen sicherstellen, dass die bisherigen Prozesse mit Bezug zu persönlichen Daten künftig der EU-DSGVO entsprechen?
Bruestle: Die EU-DSGVO erfordert eine klare Definition von Verantwortlichkeiten und Zuständigkeiten. Sie müssen jederzeit nachvollziehbar sein. Unternehmen müssen genau wissen, über welche Daten sie verfügen und wer darauf zugreifen kann und darf. Um die volle Kontrolle über die Datenerhebung, -verarbeitung und -speicherung zu erhalten, ist eine Enterprise Information Management Lösung (EIM) ratsam. Sie sollte auf dem neuesten Stand sein, Funktionen für die Zugangskontrolle bieten und einen sicheren Informationsaustausch und eine Verschlüsselung ermöglichen.

LoB: Welche Aufgaben fallen für einen Datenschutzbeauftragten in diesem Kontext an?
Bruestle: Nach § 4f Bundesdatenschutzgesetz (BDSG) muss ein betrieblicher Datenschutzbeauftragter (DSB) bestellt werden, wenn „mindestens 10 Personen mit der automatisierten Verarbeitung personenbezogener Daten oder mindestens 20 Personen mit der nicht-automatisierten Erhebung, Verarbeitung und Nutzung personenbezogener Daten mittels manueller Dateien (Karteien, Formularsammlungen) beschäftigt werden.“ Meist übernimmt ein entsprechend qualifizierter Mitarbeiter oder ein externer Dienstleister diese Rolle. Ein DSB wird geschult und hat die Aufgabe, sicherzustellen, dass alle bisherigen Prozesse den Richtlinien der DSGVO unterliegen. Neben ihren eigenen Prozessen sollten Unternehmen übrigens auch die Verträge mit Dienstleitern wie Cloud-Anbietern prüfen und an die Anforderungen der EU-DSGVO anpassen.

LoB: Wo können – vor allem kleinere und mittlere – Unternehmen dabei Hilfestellung erwarten?
Bruestle: Viele kleine und mittlere Unternehmen stehen unter Druck, sich wesentlich stärker als bisher mit dem Thema Datenschutz auseinanderzusetzen. Sie haben meist den größten Nachholbedarf und müssen grundlegende Fragen klären. Dazu gehören: Welche personenbezogenen Daten sammeln wir? Wer hat Zugriff? Wo sind die Daten gespeichert? Eine Hilfe für Unternehmen für einen Status quo in der Vorbereitung bietet eine Checkliste des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA)  bzw. eine entsprechende "Tour".

Welche Tools helfen?

LoB: Gibt es dazu weitere Hilfestellung, zum Beispiel in Form von Software?
Bruestle: Um Lücken bei der Umsetzung der DSGVO schließen zu können, benötigen gerade kleine und mittlere Unternehmen eine passende Software, die die Einhaltung der neuen Regeln erleichtert. Angebote gibt es reichlich auf dem Markt. Neben den großen Beratungshäusern bieten auch viele Softwareanbieter Tools für die DSGVO-Umsetzung. Die OpenText Content Suite beispielsweise hilft dabei, transparente, automatisierte und unternehmensweite Governance, Informationssicherheit, Datenschutz und Compliance zu gewährleisten. Sie unterstützt zusätzlich dabei, alle Prozesse zu dokumentieren und die erforderlichen Abläufe zu gestalten, wie beispielsweise die Meldepflicht bei Datenpannen (Art 33ff).

LoB: Welche Auswirkungen hat die EU-DSGVO an bestehende Kernsysteme in Unternehmen, wie etwa DMS-, ERP- und CRM-Lösungen?
Bruestle: Die Regelungen der DSGVO wirken sich auf die Kernsysteme wie DMS, ERP und CRM in mehrfacher Hinsicht aus: Die DSGVO stärkt die Rechte des Einzelnen und gibt ihm mehr Kontrolle über die Verwendung seiner Daten. Dazu gehört auch das Recht auf Zugang zu den persönlichen Daten, auf Berichtigung, Löschung oder auf Unterlassung ihrer Verarbeitung. Die Kernsysteme enthalten in der Regel sehr viele persönliche Informationen, darunter Kundendaten in CRMs, Mitarbeiter- und Finanzaufzeichnungen in ERPs sowie Verträge und Lebensläufe in DMS-Repositories. Organisationen müssen über Werkzeuge und Prozesse verfügen, um die oben genannten Anforderungen bei Bedarf effizient ausführen zu können. Unternehmen sind aufgefordert, genau zu wissen, welche persönlichen Daten sie besitzen und in welchen Systemen und Repositories sie gespeichert sind. Nach der DSGVO müssen Organisationen auch alle Datenverarbeitungsaktivitäten protokollieren. Viele Organisationen werden zum ersten Mal die unzähligen Möglichkeiten zur Verarbeitung personenbezogener Daten in den verschiedenen Geschäftsbereichen inventarisieren. Wenn ein Kernsystem von einem Cloud-Service-Provider verwaltet wird, müssen zudem die relevanten Verträge und Vereinbarungen überprüft werden, um sicherzustellen, dass sie entsprechend den Anforderungen und Bedingungen der DSGVO aktualisiert werden.

LoB: Wie können Software-Lieferanten wie OpenText den Unternehmen helfen?
Bruestle: Unternehmen benötigen eine umfassende Enterprise-Information-Management-Lösung, um die regulatorischen Anforderungen der EU-DSGVO erfüllen zu können. Die OpenText Information-Governance-Lösungen bieten Kunden die Möglichkeit, Datenerfassung, Verwaltung, Speicherung und Löschung aller strukturierten und unstrukturierten Daten zu kontrollieren und die erforderlichen Prozesse zu gestalten und zu dokumentieren. So reduzieren sie Risiken, gewährleisten Compliance und steigern Produktivität und Effizienz. Die Software gibt Unternehmen die Sicherheit, jederzeit zu wissen, wo sich ihre Informationen befinden und die Fähigkeit, Zugriff und Berechtigungen zu kontrollieren. Ferner bietet sie erweiterte Suchfunktionen, um schnell benötigte Informationen zu finden und die Gelegenheit, Datensätze systematisch und sicher zu löschen.

LoB: Welche zusätzlichen Anbieter müssen für eine Komplettlösungen im Bereich der EU-DSGVO mit ins Boot?
Bruestle: Bei den wenigsten Unternehmen wird eine neue Software ausreichen, um durchgängig compliant zu sein. Zu den Technologien, die zur Unterstützung der DSGVO-Compliance beitragen, gehören unter anderem: Datenermittlung, Enterprise Content Management, Records Management, Archivierungslösungen, Business Process Management, Identifizierung und Behebung von Datenschutzverletzungen, Untersuchung von Datenschutzverletzungen, Content Lifecycle Management, Verschlüsselung, Pseudonymisierung und Anonymisierung, Identitätszugriffsverwaltung und generell Informationssicherheit. Darüber hinaus kommen aber auch neue interne Vorschriften, die Ernennung eines Datenschutzbeauftragten sowie Workshops und Schulungen für Mitarbeiter auf die Unternehmen hinzu.

LoB: Welche Art von Anwenderunternehmen kann direkt Hilfe vom Softwarelieferanten bekommen?
Bruestle: Die Richtlinien gelten natürlich für alle Organisationen, die der DSGVO unterliegen. Dies beinhaltet sämtliche Unternehmen mit Präsenz in Europa sowie Onlineshops (B2B, B2C, G2C etc.) und Websites, die Produkte oder Dienstleistungen in Europa anbieten. Außerdem gelten die Vorschriften für Unternehmen außerhalb der EU, die Datenverarbeitungsaktivitäten im Zusammenhang mit Waren oder Dienstleistungen für Privatpersonen in der EU anbieten oder das Verhalten von Einzelpersonen in der EU aufzeichnen. Dabei ist es unabhängig, ob sie kostenlos oder gegen Entgelt zu haben sind. Die Einhaltung der GDPR-Richtlinien und der Datenschutzgesetze im Allgemeinen, erfordert ein gemeinsames Verständnis rund um den Datenschutz, das in der Unternehmenskultur verankert sein muss. Die Umsetzung verlangt nach Executive Sponsorship und Champion, also einem Fürsprecher für Datenschutz auf Führungsebene. Zudem werden Schulungen und Fortbildungen herangezogen, um alle Betroffenen für die Änderungen zu sensibilisieren. Qualifizierte Fachkräfte, wie beispielsweise Datenschutzprofis kommen vermehrt zum Einsatz. Zudem gibt es verschiedenste Technologie-Tools zur Unterstützung des Verhaltens der Betroffenen. Eine vorher bestimmte Person oder Abteilung ist außerdem für die Überwachung und regelkonforme Durchführung verantwortlich.

Auslagern als Ultima Ratio?

Henning Bruestle ist seit Juli 2017 Vice President Enterprise Sales Germany und verantwortet in dieser Funktion den Vertrieb der Enterprise Business Unit in Deutschland. Mit seinem Team unterstützt er Unternehmen bei der Gestaltung ihrer digitalen Strategie und begleitet sie durch den gesamten Transformationsprozess. Quelle: OpenText

LoB: Welche Rolle spielt im Kontext von EU-DSGVO das Auslagern von Unternehmensprozessen in die Cloud?
Bruestle: Unternehmensprozesse und Daten in der Cloud sind nicht per se sicherer oder unsicherer als im eigenen Unternehmensnetzwerk. Es kommt bei beiden Möglichkeiten immer auf die getroffenen Sicherheitsmaßnahmen an. Beim Cloud Computing handelt es sich juristisch gesehen um eine sogenannte Auftragsverarbeitung. Das bedeutet, dass der Cloud-Anbieter Daten im Auftrag des Cloud-Nutzers verarbeitet. In Artikel 28 der DSGVO wird verlangt, dass Unternehmen nur mit Cloud-Anbietern zusammenarbeiten, „die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“ Solche Garantien können laut DSGVO beispielsweise entsprechende Zertifizierungsverfahren sein. Bei der Wahl einer geeigneten Cloud-Lösung sollten Unternehmen also darauf achten, einen Anbieter zu wählen, der über eine Datenschutzzertifizierung nach DSGVO verfügt. Ein Beispiel für eine konkrete Anforderung an die Cloud-Anbieter ist die Aufzeichnung über ihre Verarbeitungstätigkeiten. Um die Einhaltung der Vorschriften zu gewährleisten müssen sie ihre Datenverarbeitungsschritte aufzeichnen und diese Informationen den Datenschutzbehörden auf Anfrage zur Verfügung stellen. Auch im Bereich Datensicherheit gibt es Vorgaben: So muss der Cloudanbieter geeignete technische und organisatorische Sicherheitsmaßnahmen ergreifen, um personenbezogene Daten vor unbeabsichtigter oder unrechtmäßiger Zerstörung oder Verlust, Veränderung, unberechtigter Offenlegung oder unberechtigtem Zugriff zu schützen.

LoB: Welche Auswirkungen hat die EU-DSGVO auf die Marketing- und Vertriebsabteilungen von Unternehmen?
Bruestle: Im Rahmen der neuen Datenschutzrichtlinie bekommen EU-Bürger mehr Rechte: So können sie Zugang zu Informationen über ihre personenbezogenen Daten verlangen und auf die Übertragung ihrer Daten auf einen anderen Datenverarbeiter bestehen. Zudem haben sie das Recht, falsche Daten berichtigen oder löschen zu lassen oder die Verarbeitung ihrer Daten unter bestimmten Umständen einzuschränken. Für Marketing- und Vertriebsabteilungen besonders wichtig ist, dass Verbraucher jetzt Einspruch gegen die Verarbeitung und digitale Vermarktung ihrer Daten erheben können. Darüber hinaus unterscheidet die DGSVO nicht zwischen B2B- und B2C-Marketing, wenn es sich um personenbezogene Daten handelt. Jedoch besagt ein weiterer Punkt der DSGVO, dass bis zu einem gewissen Grad Direktmarketing durchgeführt werden darf, weil es auf Interesse stoßen könnte. Daher glauben viele Verantwortliche, die meisten digitalen Marketingpraktiken seien von den Regulierungen ausgenommen. Allerdings stehen Unternehmen in der Pflicht, ihre legitimen Interessen gegen die „Grundrechte und -freiheiten“ des Verbrauchers abzuwägen. Direktmarketing wird wahrscheinlich nur dann ausgenommen sein, wenn der Verbraucher bereits Kunde ist und eine „begründete Erwartung“ hat, dass das Unternehmen seine Daten verarbeitet. Beispielsweise kann der Anbieter einer Lieferservice-App die zur Verfügung gestellten personenbezogenen Daten wie Namen oder Adressen nutzen, um Folgeangebote zu versenden. Sie dürfen sie jedoch nicht mit anderen Daten – beispielsweise aus anderen Anwendungen oder Standortdaten vom Telefon – zum Zwecke des gezielten Marketings kombinieren. Unternehmen müssen die Zustimmung von EU-Bürgern nachweisen können, die sich für den Erhalt von Marketingmitteilungen entscheiden. Der effektivste Weg, diese Einwilligung und den Nachweis zu erteilen, besteht darin, eine Opt-in-Option mit einem Klick auf die Bestätigungs-E-Mail zu verfolgen. Dies stellt sicher, dass die Kunden verstehen, wofür sie sich angemeldet haben, und dass sie mit der Datenverarbeitung des Unternehmens einverstanden sind. (rhh)

Hier geht es zu Opentext

Lesen Sie auch