So können sich Unternehmen für die EU-DSGVO rüsten Maker oder Breaker?
20. September 2017
Kernziel der Europäischen Datenschutzgrundverordnung (EU-DSGVO) ist der Schutz personenbezogener Daten der Bürger in einer zunehmend digitalen Welt. EU-Bürger sollen künftig entscheiden können, ob, wann, wie und wem sie ihre personenbezogenen Daten kenntlich machen wollen und wie diese genutzt werden dürfen. Wenn ein Unternehmen vier Punkte in diesem Kontext beherzigt, ist es für das Gros der Anforderungen gut gerüstet.
Stichtag
Der 25. Mai 2018 ist ein einschneidender Tag für den europäischen Wirtschaftsraum. Denn zu diesem Datum wird die EU-Datenschutzgrundverordnung (EU-DSGVO) anwendbares Recht. Alle Organisationen, die Daten der Mitgliedsstaaten der Europäischen Union verarbeiten, müssen bis dahin ihre Prozesse den Vorgaben der DSGVO gemäß angepasst haben. Für Unternehmen kann die – unter anderem mit deutlich mehr Dokumentations- und Nachweispflichten einhergehende – EU-DSGVO zu gravierenden Sanktionen bei Nichteinhaltung der Vorgaben führen: Bei Missachtung oder unzureichender Umsetzung drohen Strafen von bis zu vier Prozent des weltweiten Umsatzes oder bis zu 20 Millionen Euro.
Unternehmen sollten die Auseinandersetzung mit ihrem Datenmanagement daher als unternehmenskritisches Thema betrachten und beginnen, davon betroffene Unternehmensprozesse auf die EU-DSGVO abzustimmen. Jedoch zeigt die Studie „Informationsmanagement und digitale Transformation“, dass sich viele Unternehmen scheinbar noch nicht ausreichend mit dem Thema befasst haben: rund 11 Prozent der Führungskräfte konnten zum Zeitpunkt der Umfrage keine Einschätzung geben, wie sich die EU-DSGVO auf die Informationsmanagement-Strategie und -Prozesse des Unternehmens auswirken wird.
Unternehmen müssen, um angesichts der gesetzlichen Novelle in einem stark vernetzten Europa weiterhin rechtskonform und wettbewerbsfähig zu bleiben, die Klaviatur von Datenschutz, Datenvorhaltung und Datenhandling beherrschen.
Fehltritte vermeiden
Es gilt, Compliance-Fehltritte von Anfang an zu vermeiden. Folgende Punkte skizzieren wesentliche Auswirkungen der neuen Vorgaben auf Informationsmanagement-Prozesse und unterstützen Unternehmen dabei, sich auf die EU-DSGVO vorzubereiten.
1. Bewusstsein für Datenschutzrichtlinien schaffen: Unwissenheit schützt vor Strafe nicht. Alle Mitarbeiter und Entscheidungsträger müssen über die Veränderungen durch die neue Verordnung informiert sein und verstehen, welche Folgen deren Nicht-Beachtung nach sich zieht. Denn nur wer mit der Relevanz der neuen Regelung vertraut und hinsichtlich der Vorgaben geschult ist, kann angemessen für deren Einhaltung sorgen. Das schließt auch Subunternehmer und Zulieferer mit ein, mit denen Unternehmensdaten im Rahmen von Verträgen und Aufträgen geteilt werden. Regelmäßige Schulungen und umfassende Kommunikation diesbezüglich helfen, das erforderliche Bewusstsein für Compliance und rechtskonforme Umsetzung der DSGVO beim Informationsmanagement auszuprägen.
2. Prozesse und aktuelle Datenschutzrichtlinien im Unternehmen überprüfen: Die neue Gesetzgebung schreibt für alle personenbezogenen Daten genau vor, wie mit diesen umzugehen ist und wie lange sie gespeichert werden dürfen. Sämtliche Aufbewahrungsrichtlinien im Unternehmen müssen daher auf den Prüfstand gestellt und – sofern erforderlich – an die neuen Vorgaben angepasst werden. Die daraus abgeleiteten Richtlinien müssen für die Mitarbeiter verständlich formuliert und gut in die Workflows zu integrieren sein, denn nur dann werden diese und damit die Datenschutzgrundverordnung eingehalten.
Ein guter Ausgangspunkt ist es, sich ein Bild der aktuellen Konformität mit den künftig anwendbaren Datenschutzvorschriften zu machen und die veränderten Anforderungen auf dieser Basis zu erheben. Auch ist es sinnvoll ein Datenverzeichnis anzulegen und Tools zum Datentracking einzusetzen. So lässt sich eine 360-Grad-Sicht auf sämtliche gedruckten und digitalen Daten im Unternehmen gewinnen. Jederzeit können damit alle Informationen lokalisiert, klassifiziert und kontrolliert werden. Gleichzeitig lässt sich damit auch die Compliance-gerechte Verwahrung jederzeit nachweisen.
Aufgrund der hohen Komplexität und der möglicherweise unternehmenskritischen Auswirkungen bei Non-Compliance sollten Organisationen, die umfangreich sensible Daten verarbeiten, kundige Datenschutzbeauftragte einsetzen und gegebenenfalls externe Dienstleister mit spezifischem Know-how zu Rate ziehen, die für die datenschutzrechtliche Bestandsaufnahme und eine strategische Implementierung von geeigneten Maßnahmen zur Einhaltung der Neuregelung sorgen. Hierbei ist nicht nur juristisches Wissen gefragt, sondern zunehmend auch ein Verständnis für die Arbeitsprozesse, die Informations- und Dokumentenspeicherung und die Prozesse zur konformen Vernichtung von Daten, die in der Regel digital und in Papierform vorliegen.
Korrektes Daten-Handling
3. Sachgemäß mit personenbezogenen Daten umgehen: Beziehen sich Informationen auf eine bestimmte Person, spricht man von personenbezogenen Daten. Hierzu zählen neben persönlichen Daten wie Name, Geburtstag oder Wohnort auch gerätespezifische Identifikationsdaten, Cookies und IP-Adressen. Solche personenbezogenen Daten dürfen nur aus gesetzlichen Gründen (wie einem Arbeitsverhältnis), einem legitimen geschäftlichen Interesse oder durch freiwillige Zustimmung des Betroffenen nach erfolgter Information darüber erhoben werden.
EU-Bürger erhalten mit der Neuregelung das Recht auf Transparenz und dürfen Auskunft darüber verlangen, welche Daten über sie gesammelt und wie diese verarbeitet werden. Spricht aus juristischer Sicht nichts dagegen, haben sie sogar das sogenannte „Recht auf Vergessen“, also auf das Löschen der gespeicherten Daten.
Um diesen gesetzlichen Verpflichtungen sowohl organisatorisch als auch technisch nachkommen zu können, ist es essentiell zu wissen, wo im Unternehmen personenbezogene Daten liegen und verarbeitet werden, sei es nun von Bewerbern, Mitarbeitern, Kunden oder Geschäftspartnern. Datenverzeichnisse ermöglichen die erforderliche Übersicht, um nachzuvollziehen, woher die Informationen stammen sowie wo sie gespeichert sind, mit wem sie geteilt werden und welche Löschungs- beziehungsweise Aufbewahrungsfristen einzuhalten sind.
Hierbei dürfen die persönlichen Geräte der Mitarbeiter, Archive und Registraturen, die außerhalb des Unternehmens geführt werden sowie die von Zulieferern, Subunternehmern und Geschäftspartnern, die stellvertretend für das Unternehmen arbeiten, nicht vergessen werden. Für Unternehmen, die eine große Menge an Daten verwalten, ist möglicherweise ein Informations-Audit sinnvoll, um Überblick über die vorhandenen Informationen zu behalten.
Neben der Schaffung von Transparenz hinsichtlich der verwalteten Daten, sollten Unternehmen unbedingt Strategien implementieren, die die Einhaltung der gesetzlichen Aufbewahrungsfristen für Daten nachvollziehbar sicherstellen. Insbesondere für Unternehmen, die in mehreren Ländern aktiv sind und dadurch verschiedenen Richtlinien gerecht werden müssen, ist dies eine Herausforderung. Ein Retention-Management-System wie das Policy Centre kann bei der Reduzierung der Komplexität helfen. Indem diese cloudbasierte Plattform automatisiert auf Änderungen der gesetzlichen Vorschriften hinweist und Informationen zu damit verbunden Fragen bereitstellt, verringert sie den Aufwand für die Rechtsabteilung und unterstützt mit Hilfe von Informations- und Dokumentenexperten die mit Compliance-Aufgaben betrauten Mitarbeiter.
4. Geeignete Basis für Informationsmanagement-Prozesse schaffen: Die EU-DSGVO erweitert für Personen die Rechte des Datenschutzes, wie zur Berichtigung von Fehlern, zum Löschen oder zur Herausgabe von persönlichen Daten und zur Verhinderung des Direktmarketings ohne Zustimmung. Aus Unternehmensperspektive bedeutet dies neue Verpflichtungen und Herausforderungen. „Datenportabilität“ lautet eines der Stichworte und meint, dass Unternehmen gespeicherte Daten auf Wunsch herausgeben müssen und zwar in einem Datenformat, das anderweitig unkompliziert zu nutzen ist.
Hinsichtlich der Löschung und Änderung von Daten müssen klare Richtlinien bestehen, wer über eine Datenlöschung entscheidet. Darüber hinaus ist zu prüfen, ob das System die Daten ausreichend unterstützt, ob beispielsweise Datendubletten in älteren EDV-Systemen oder als Kopien vorliegen. Es muss sichergestellt werden, dass Daten sicher, also vollständig und unumkehrbar, gelöscht werden können.
Dass es hier noch viel zu tun gibt, zeigt eine Umfrage von Iron Mountain und PwC: Mehr als 60 Prozent der Befragten verstehen die gesetzliche Verpflichtung zur Aufbewahrung von Daten im Hinblick auf die verschiedenen Dokumente wie beispielsweise Lebensläufe, Personaldokumente, Steuerunterlagen, Verträge oder Kundenkommunikation.
Doch trotz dieses Bewusstseins gaben die Befragten zugleich an, dass sie wahrscheinlich Personaldokumente in Akten oder auf Rechnern über die Archivierungsfrist hinaus aufbewahren. Moderne Archivmanagement-Technologie mit durchgängigem Datentracking kann hier Abhilfe schaffen und ermöglicht einen schnellen Zugriff sowie die effiziente Verwaltung von Unterlagen – sowohl in digitaler als auch in physischer Form.
Die Anforderungen durch die neue Datenschutzgrundverordnung sind vielfältig, die Konsequenzen drastisch. Ein geeignetes Informationsmanagement ist der Schlüssel zu einer rechtskonformen Datenhandhabung. Unternehmen müssen hier sehr sorgfältig arbeiten und dürfen an dieser Stelle den Anschluss an moderne Technologien nicht verpassen. Denn Unternehmenserfolg und Reputation können durch Nachlässigkeiten beim Thema Datenschutz schnell in Mitleidenschaft gezogen werden.
Hans-Günter Börgmann
ist Geschäftsführer der Iron Mountain Deutschland GmbH.
