Chancen der Datenschutz-Grundverordnung
Über die Datenschutz-Grundverordnung (DSGVO) wird viel berichtet – vorrangig geht es dabei um die horrenden Sanktionen und all die Dinge, die Unternehmen jetzt noch zu tun haben. Dass die DSGVO aber auch Chancen bietet, sehen bisher noch die wenigsten.
Die Datenschutz-Grundverordnung gibt es schon seit 2 Jahren
Die Datenschutz-Grundverordnung ist keinesfalls neu: Bereits seit dem 25. Mai 2016 ist sie in Kraft. Jedoch endet zum 25. Mai 2018 die Übergangsfrist und die DSGVO wird für alle Unternehmen innerhalb der EU verbindlich. Die meisten Unternehmen haben bis vor kurzem noch nichts zur DSGVO gehört – Studien belegen: Eine Bitkom-Umfrage zeigte, dass sich jedes dritte Unternehmen noch immer nicht mit der Datenschutz-Grundverordnung beschäftigt hat.
Das ist ziemlich schade, denn mit der Datenschutz-Grundverordnung erhalten Unternehmen auch Chancen. Natürlich kommen immense Herausforderungen auf Unternehmen zu. Die drohenden Bußgelder sind existenzvernichtend. Momentan herrschen eher Angst und Überforderung. Das möchten wir ändern und stellen Euch Chancen vor, die Ihr mit der Umsetzung der Datenschutz-Grundverordnung realisieren könnt.
Endlich Transparenz
Schon seit Jahren gehen Verbraucherschützer auf die Barrikaden und fordern von Unternehmen mehr Transparenz. Mit der DSGVO kann diese nun kommen! Die Rechte von Betroffenen werden deutlich gestärkt. Da wären etwa die Informationspflichten:
Das bisherige Auskunftsrecht der Betroffenen erlaubte es bislang, Unternehmen zu fragen, welche persönlichen Daten gespeichert wurden. Heißt: Erst in dem Moment, in dem Daten bereits erhoben und verarbeitet wurden, konnten sich betroffene Personen darüber informieren.
Mit der DSGVO sind betroffene Personen bereits vor der Datenerhebung zu informieren: Art, Zweck, Umfang und eventuell die rechtliche Grundlage der Datenerhebung und -verarbeitung müssen geklärt sein. Verkauft Ihr also ein Produkt oder eine Dienstleistung, muss der potenzielle Käufer zu Beginn des Verkaufsgesprächs über den Umgang mit seinen Daten informiert werden. Auch müssen Betroffene informiert werden, wenn sich die Art, der Umfang oder der Zweck der Datenspeicherung ändern.
Unternehmen bekommen also zu tun: Kunden, die bislang gar nicht oder nicht ausreichend informiert wurden, müssen noch bis zum 25.05.2018 informiert werden. Dies gilt auch, wenn Daten weitergegeben werden – beispielsweise wenn die Kundendaten in die Cloud ausgelagert werden. Auch dann muss über Art, Zweck, Umfang usw. informiert werden. Bekommt Ihr hingegen Daten von Geschäftspartnern, gelten diese Informationspflichten auch für Euch.
Wissen, was vorgeht
Aus all dem ergibt sich ein entscheidender Punkt: Eure Organisation muss konkret wissen, welche Informationen mithilfe welcher Prozesse wie verarbeitet werden. In der Datenschutz-Grundverordnung wird von „Verarbeitungstätigkeiten“ gesprochen. Ein Verfahrensverzeichnis gibt Auskunft über diese Verarbeitungstätigkeiten – wir haben dieses Verfahrensverzeichnis bereits in einem gesonderten Blogbeitrag „Das Verfahrensverzeichnis – Vorbereitungen zur DSGVO“ thematisiert.
Genau hier liegt eine der Chancen der Datenschutz-Grundverordnung: Durch die Abbildung des Datenflusses in Eurer Organisation entsteht ein genaues Abbild der Zusammenhänge der IT und der Geschäftsprozesse. Ihr erreicht eine transparente Service-Architektur.
Verbindung zwischen IT und Geschäftsprozessen
Die Anforderungen, die die Datenschutz-Grundverordnung stellt, bergen die Chance, endlich die Verbindung zwischen IT und den Geschäftsprozessen herzustellen. Wenngleich Eure Organisation bislang über keine Prozess-Dokumentation verfügt: Das Verzeichnis der Verarbeitungstätigkeiten muss unbedingt angelegt werden!
Damit entsteht die Chance, ein Prozessmanagement zu etablieren. Denn spätestens, wenn es um die technisch organisatorischen Maßnahmen der DSGVO geht, wird die IT-Abteilung in alle Überlegungen involviert. Übernimmt die IT dann noch das Aufzeichnen der Verarbeitungsvorgänge bzw. der entsprechenden Prozesse, können sofort Optimierungsvorschläge unterbreitet werden.
Ein Beispiel soll verdeutlichen: Werden den einzelnen Prozessen die jeweiligen IT-Systeme zugeordnet, ergeben sich neue Informationen. Ihr erkennt beispielsweise Medienbrüche, Ihr erkennt, an welcher Stelle manuelle Tätigkeiten abgebaut und automatisierte aufgebaut werden können. Euer gesamter Workflow wird transparent, sodass sich in der Folge auch Aufgaben für bestimmte Mitarbeiter ergeben.
Effizienzsteigerung im Unternehmen
Ganz konkret bedeutet das eben beschriebene: Ihr steigert die Effizienz in Eurem Unternehmen. Auch in anderer Richtung führt die neue Transparenz zu einer weiteren Chance. Wurde beispielsweise ein Hackerangriff aufs Unternehmensnetz verübt, ist es wichtig, aussagen zu können, welche Verarbeitungstätigkeiten und Informationen betroffen sind. Daraus ergibt sich auch der Kreis betroffener Personen, die zu informieren sind. Bei Datenschutzverletzungen sind die Betroffenen immer zu informieren. Mit dem Verarbeitungsverzeichnis funktioniert das schneller und mit geringerem Aufwand als bislang.
Unter „betroffene Personen“ verstand das Bundesdatenschutzgesetz (BDSG) übrigens etwas anderes als die DSGVO. Bislang waren Kunden, Patienten, Mandanten und auch Mitarbeiter eingeschlossen. Mit der DSGVO werden sämtliche Personen darunter verstanden – ganz unabhängig von ihrer Rolle. Damit sind auch Gesellschafter, Partner oder Dienstleister mit eingeschlossen.
Komplette Prozesslandschaft betrachten
In der Datenschutz-Grundverordnung spricht der Gesetzgeber lediglich davon, personenbezogene Daten zu schützen. Würden Unternehmen dem nachkommen, würden zwei Klassen von Daten entstehen: die schützenswerten personenbezogenen und die nicht-schützenswerten restlichen Daten. Sinnvoll ist dieses Vorgehen nicht – Ihr müsst ohnehin sämtliche Daten sortieren, also könnt Ihr es auch gleich richtig machen.
Es gilt, die komplette Prozesslandschaft zu betrachten, nicht nur ausgewählte Prozesse und Daten. Erfasst sämtliche Prozesse und schaut, welche schützenswerten Daten verarbeitet und gespeichert werden. Daraus leiten sich technische und organisatorische Maßnahmen ab, die Ihr ergreifen werdet, um die Daten ordentlich zu schützen.
Damit sind wir zum Thema Informationssicherheitsmanagementsystem – kurz: ISMS – gekommen. Ganz zwangsläufig kommen wir hierbei auch zum Thema Zertifizierungen. Mehr dazu erfahrt Ihr in unserem Blogbeitrag „Weitere Vorbereitungen zur DSGVO“.
Wir empfehlen Euch und Eurem Unternehmen, Informationssicherheit als Prozess zu begreifen und sie komplett anzugehen. Verschenkt Eure wertvolle Zeit nicht für einzelne personenbezogene Datensätze. Vielleicht erfüllt Ihr damit die Anforderungen der Datenschutz-Grundverordnung, praktisch agiert Ihr so jedoch nicht.
Hieraus ergibt sich eine weitere Chance: Ihr könnt Euren Servicekatalog auf- und ausbauen!
Geschäftsprozesse durch Effizienzpotenziale heben
Die Umsetzung der Datenschutz-Grundverordnung braucht also einen Zusammenhang zwischen den Prozessen und der IT – das sind die sogenannten Verarbeitungstätigkeiten. Ihr zeichnet ein Prozess-Abbild Eures Unternehmens. Um verstehen zu können, wo welche Daten gespeichert, verarbeitet und ggf. übertragen oder weitergegeben werden, braucht es eine Architektur, die sämtliche beteiligten Komponenten und deren Beziehungen darstellt – wir sind also bei der Service-Architektur.
So könnt Ihr die einzelnen Services definieren, die in Eurem Unternehmen genutzt werden. Hier ergibt sich ein großer Vorteil: Arbeitet die IT serviceorientiert, entstehen Prozesse, die den Service über den kompletten Lebenszyklus begleiten. Als Beispiele seien Change-Management, Service-Design, aber auch Bestellprozesse genannt: Ihr wisst ganz genau, wer welche Services nutzt.
Da Ihr Euch in der Vorarbeit intensiv mit den Daten Eurer Kunden befasst habt, wisst Ihr ganz konkret, welche Daten mithilfe welcher Services verarbeitet werden. Integriert Ihr jetzt noch die Datenschutzaspekte, entsteht ein komplettes Management, welches der DSGVO entspricht.
Gleichzeitig könnt Ihr in Eurer Organisation auch die ersten Schritte des Prozessmanagements etablieren. Nutzt einfach die vorhandenen Strukturen – Ihr benötigt keinen großen Mehraufwand. So hebt Ihr das Effizienzpotenzial Eurer Geschäftsprozesse und startet in Richtung Digitalisierung durch.
Chancen der Datenschutz-Grundverordnung – Fazit
Die Datenschutz-Grundverordnung wird von Unternehmen wahrlich nicht mit offenen Armen empfangen – vielmehr wird sie gerne als Bürokratiemonster mit vielen Hindernissen betrachtet. Doch es lohnt sich, auch mal die Perspektive zu wechseln: Ja, es müssen nahezu alle Prozesse und Arbeitspraktiken generalüberholt werden.
Aber genau das kann einen großen Wandel herbeiführen. Seht die neuen Regelungen doch als Chance, Eure Daten endlich vereinheitlichen zu können. Ihr könnt Euch schlanker und agiler organisieren. Darüber hinaus erhaltet Ihr tiefere Einblicke in Eure Daten und könnt Produkte sowie Dienstleistungen optimieren und Prozesse straffen. Nutzt Eure Chancen und erzielt mit dem Schutz von Daten und einer neuen Transparenz einen echten Wettbewerbsvorteil!