Diskussionsrunde zur EU-DSGVO, Teil 1 „Privacy by Design erfordert Umdenken“
2. Dezember 2017Die Europäische Datenschutzgrundverordnung (EU-DSGVO) wirft ihre Schatten voraus: Es gilt für nahezu alle Unternehmen, organisatorische und die technische Vorgaben umzusetzen. Nach Einschätzung von DSGVO-Experten bietet der organisatorische Teil den größten Handlungsspielraum. In einer Diskussionsrunde von Line-of.biz haben Spezialisten von Citrix/DWA, ESET Deutschland und RSA Security verdeutlicht, welche Herausforderungen auf Unternehmen hierzulande zukommen.
Die Änderungen
Die bestehende Datenschutz-Richtlinie für Deutschland stammt aus dem Jahr 1995 und hat bereits einige wichtige Konzepte abgedeckt, die sich auch in der künftigen Europäischen Datenschutzgrundverordnung (EU-DSGVO) wieder finden. Doch die EU-DSGVO bringt viel mehr Vorgaben mit sich und ist generell mehr auf aktuelle Geschäftsprozesse hin ausgerichtet. „Zu den wichtigsten Änderungen durch die EU-DSGVO gehört, dass nun die technischen Neuerungen, die sich seit 1995 ergeben haben, auch im Bereich ‚Datenschutz‘ nachgeholt werden und sie sozusagen dem aktuellen Niveau angepasst werden“, bringt es Michael Schröder auf den Punkt. Der Business Development Manager New Technologies bei der Eset Deutschland GmbH verweist auf die zwei Bereiche der EU-DSGVO, die organisatorischen und die technischen Vorgaben:
„Dabei bietet der organisatorische Teil den größten Handlungsspielraum. Es geht dabei um Punkte wie ein Verfahrensverzeichnis, um Prüfungen oder auch um eine Risikoanalyse. Dabei wird es wichtig, alle Prozesse in den Unternehmen zu durchleuchten und etablierte Arbeitsweisen zu hinterfragen.“ Nach seiner Einschätzung darf der technische Bereich nicht auf Priorität 2 rangieren: „Denn die technischen Gegebenheiten sind letztendlich das Einzige, was zwischen einem Vorfall und dem Verantwortlichen im Unternehmen ‚steht‘ – etwa bei Thema ‚Data Breach‘ oder Datenverlust.“
„Nach meiner Einschätzung sind die Anwenderunternehmen in Deutschland beim Thema EU-DSGVO bereits gut aufgestellt“, stellt Thomas Biedermann fest. Der Managing Director der DWA GmbH, eine Agentur, die eng mit Citrix zusammenarbeitet, verweist darauf, dass bei genauer Betrachtung der Vorgaben aus der EU-DSGVO die meisten Unternehmen im nationalen Umfeld unter sehr vielen Punkten bereits „einen Haken“ machen können. Im Ausland stellt sich nach seiner Einschätzung die Sache anders dar: „Hier sind einige Länder weit abgeschlagen. Allerdings darf man nicht außer Acht lassen: Einige Punkte der DSGVO lassen sich nicht leicht abbilden, zumindest stehen die Unternehmen an dieser Stelle oftmals vor technischen Herausforderungen, um die Auflagen zu erfüllen.“
Recht auf Vergessen
Speziell das „Recht auf Vergessen“ oder „Recht auf Löschung“ wird sich nach seiner Einschätzung als Problem erweisen. „Bei einer derartigen Anfrage müssten die Unternehmen sicherstellen, wirklich alle entsprechenden Daten zu ‚vernichten‘“, gibt Biedermann zu Bedenken. „Aber welches Unternehmen weiß schon genau, wann welcher Mitarbeiter personenbezogene Daten verarbeitet oder gespeichert hat. Existieren beispielsweise noch Excel-Tabellen mit dem Kundennamen und der Anschrift auf einem Client-System? Oder haben Mitarbeiter noch die E-Mail-Adresse des ehemaligen Kunden in den Kontakten von Clients, Notebooks oder Smartphones gespeichert? Auch müssten die Daten aus den Customer Relationship Management-Systemen, den CRM-Systemen, sowie allen Backup-Datensätzen gelöscht werden – das wird für viele Firmen sicherlich zu einer Herausforderung.“
Als eine markante Änderung sieht Gerald Pernack, RSA Archer eGRC Solutions Consultant bei RSA Security, die Strafen, die bei Verstößen gegen die EU-DSGVO ins Spiel kommen: „Bis zu vier Prozent des weltweiten Umsatzes eines Unternehmens oder bis zu 20 Millionen Euro Strafe können bei Zuwiderhandlungen verhängt werden. Wie die einzelnen Aufsichtsbehörden mit diesen Möglichkeiten umgehen, wird sich erst zeigen. Aber Punkte wie ‚privacy by design‘ beziehungsweise der ‚elektronische Tintenkiller‘ werden für die Unternehmen sicherlich eine große Herausforderung.“
Die Systemfrage
In vielen Firmen spielen in der Regel unterschiedliche Systeme zusammen bei denen personenbezogene Daten eine gewichtige Rolle spielen. Hier sind beispielsweise Systeme für das Enterprise Resource Planning, die ERP-Systeme, aber auch CRM- oder Dokumentenmanagement-Lösungen zu nennen. Vor dem Hintergrund der EU-DSGVO stellt sich die Frage, ob unter Umständen auch alte Software-Lösungen aus dem Unternehmen zu entfernen sind. Daraus lässt sich sogar ein „Henne-Ei-Problem“ ableiten, denn erst müssten die Geschäftsprozesse DSGVO-tauglich gemacht, und danach die Software angepasst werden. Allerdings benötigt die Änderung der Prozessstruktur ja wiederum Kenntnis der Möglichkeiten, sprich sie ist von der eingesetzten Software abhängig.
„Die IT in den Unternehmen ist ja keine grüne Wiese, sondern in der Regel in den letzten zehn, zwanzig Jahren gewachsen“, stellt Michael Schröder fest. „Und in vielen Komponenten der Firmen-IT schlummern persönliche Daten von Kunden oder Geschäftspartnern. An dieser Stelle versuchen einige Software-Anbieter eine Komplettlösung ‚aufzusetzen‘, um auf dem bestehenden System, oder gar mit einem neuen Produkt, sämtliche Vorgaben der DSGVO umzusetzen. Allerdings glaube ich nicht, dass dies der richtige Weg ist.“ Er sieht eher die Hersteller der bereits vorhandenen und im Einsatz befindlichen Software in der Pflicht, ihre Produkte entsprechend nachzurüsten, sie „DSGVO-fähig“ zu machen. „Bei SAP oder Microsoft-Produkte oder auch den großen Cloud-Anbietern ist dies in der Regel auch der Fall. Aber auch die Hersteller der klassischen ERP- und CRM-Systeme müssen nun ‚nachrüsten‘“, räumt Schröder ein. „Zumal entsprechende Wartungsverträge bestehen, und die Hersteller nun in der Pflicht stehen, die DSGVO zu erfüllen.“
„Wenn man sich die typische Unternehmensstruktur in Deutschland genauer ansieht, wird man feststellen, dass gut 90 Prozent der Unternehmen nicht in der Lage sind, sich komplett neu aufzustellen, und auf eigene Kosten die DSGVO-konforme Infrastruktur aufzubauen“, stellt Thomas Biedermann fest. Damit bricht er eine Lanze für die schrittweise Umsetzung der künftigen Vorgaben.
Für Gerald Pernack steht dagegen fest: „Wenn man sich die Aufgabenstellung durch die EU-DSGVO vor Augen führt, und Legacy-Systeme einsetzt, die die in der DSGVO geforderten Funktionalitäten nicht abbilden, wird es schwierig.“ Nach seiner Einschätzung gibt es zum Beispiel Softwaresysteme, die ein Löschen gar nicht zulassen. „Aus unterschiedlichen Blickwinkeln heraus ergibt sich ein differenziertes Bild: Der wichtigste Aspekt dabei ist sicherlich die Beschaffenheit des Prozesses. Welche Maßnahmen hat das Unternehmen getroffen, um diese Daten – etwa wenn diese nicht mehr benötigt werden oder der Kunde sein Einverständnis widerrufen hat – zwar nicht zu löschen, aber aus dem Zugriff zu entfernen“. Eventuell könne hier der Hersteller des Systems, etwa im Zuge eines Upgrades helfen, oder die Firma muss in den sauren Apfel beißen und das entsprechende System abschalten oder es anderweitig außer Betrieb nehmen. „Daten, die noch benötigt werden, gilt es dann zu migrieren, und zwar in ein System, das die Forderungen der DSGVO erfüllt. Zirka 80 Prozent dabei werden als organisatorische Probleme auf die Unternehmen zukommen, etwa 20 Prozent macht die technische Seite aus.“
Vor blinder Hektik warnt dagegen Michael Schröder: „Nichts wird so heiß gegessen, wie es gekocht wird. Wenn nämlich der Gesetzgeber nicht in der Lage ist, die Unternehmen im passenden Zeitrahmen zu informieren, dass bestimmte Änderungen im Zuge der DSGVO notwendig werden, gibt es ein grundsätzliches Problem. Denn der Unternehmer wird eine Risikoabschätzung vornehmen.
Dabei gelte es, unterschiedliche Parameter zu beleuchten, so Schröder weiter: „Wie hoch ist das Risiko „entdeckt“ zu werden? Welche Investitionskosten kommen auf mich zu, um komplett DSGVO-konform zu werden? Wie hoch werden die Strafen ausfallen, falls das Unternehmen „entdeckt“ wird?“ Dies werde eher in den KMUs, also den kleinen und mittleren Unternehmen, zu einer Herausforderung. Die großen Dax-Unternehmen sind nach seiner Einschätzung bereits sehr weit, was das Bundesdatenschutzgesetz und auch die EU-DSGVO angeht.
Rainer Huttenloher
Es diskutierten (von links): Gerald Pernack (Archer eGRC Solutions Consultant bei RSA Security), Rainer Huttenloher (Moderator), Thomas Biedermann (Managing Director der DWA GmbH) und Michael Schröder (Business Development Manager New Technologies bei der ESET Deutschland GmbH)