Am 25. Oktober 2018 sind fünf Monate vergangen, seitdem die Datenschutzgrundverordnung (DSGVO) mit Ende der Übergangsfrist endgültig in Kraft getreten ist. Bis zu diesem historischen Datum im Mai 2018 herrschte eine große Verunsicherung bei Organisationen aller Art darüber, inwieweit die neuen Vorschriften ihre Prozesse betreffen und was getan werden muss, um diese einzuhalten. Und nun?
Nach einem halben Jahr scheint sich an diesem Zustand nicht grundlegend etwas geändert zu haben. Wie aus einer aktuellen Umfrage des IT-Branchenverbands Bitkom unter 500 Unternehmen in Deutschland hervorgeht, haben sich die Unternehmen auf dem Weg zur DSGVO-Compliance weitestgehend überschätzt: So hat nur etwa ein Viertel (24 Prozent) alle Vorgaben bisher vollständig umgesetzt, weitere 40 Prozent nach eigenen Angaben größtenteils und fünf Prozent stehen immer noch am Anfang.
Unterdessen hat Facebook einen ersten Datenskandal nach DSGVO-Maßstäben geliefert, ebenso soll ein Krankenhaus in Lissabon auf Grund eines Verstoßes eine Strafe von 400.000 Euro zahlen, da Patientendaten auch externen Dienstleistern zugänglich waren und mittlerweile stehen selbst Klingelschilder bei einigen Experten als rechtswidrig im Verdacht. Gleichzeitig scheinen auch die Regulierungsbehörden noch ein wenig mit der Anwendung des neuen Regelwerks zu kämpfen.
Ihnen schlägt auch die Reaktion von Unternehmensverbänden entgegen, die Anpassungen der Gesetzgebung und einen konkreten Maßnahmenkatalog fordern. Eine systematische Überprüfung der Compliance einzelner Unternehmen scheint derzeit allerdings nicht zu drohen. Somit sinkt in Betrieben, die gegenwärtig noch mit den DSGVO-Anforderungen kämpfen, die Priorität für die Umsetzung weiter ab.
Der Umgang mit Daten wird zum Wettbewerbskriterium in der digitalen Welt Dabei wird sich auf lange Sicht der Umgang mit Daten zu einem wesentlichen Bestandteil digitaler Geschäftsmodelle entwickeln, in mehrfacher Hinsicht: Einerseits ist die Auswertung von generierten Daten im Geschäftsalltag wesentlich für die Weiterentwicklung von Produkten und Services und somit schlussendlich für den Absatz. Darüber hinaus wird sich allerdings auch der Umgang mit den persönlichen Daten der Kunden zu einem entscheidenden Wettbewerbsmerkmal entwickeln. Der Grundstein dafür wurde mit der DSGVO gelegt.
Und die Tatsache, dass die Entwicklung vergleichbarer Regularien mittlerweile auch jenseits der EU diskutiert wird - darunter Apple-Chef Tim Cook, der die DSGVO als hervorragende Grundlage für weltweite Datenschutzstandards preist - ist ein deutliches Indiz dafür. Womit Unternehmen derzeit allerdings noch zu kämpfen haben, ist die Tatsache, dass die DSGVO für eine überaus heterogene digitale Wirtschaft geschaffen wurde.
Lesetipp: Unterschätzte Risiken der DSGVO - Datenschutz und Ticketsysteme
Mit den Vorschriften zielte die Europäische Union vor allem auf große Konzerne wie Google und Facebook, deren technologische Fähigkeiten in der Datenerhebung und -verarbeitung am weitesten fortgeschritten sind. Die Vorreiter als Grundlage für die Regulierung automatisierter Datenerhebungsprozesse in der digitalen Wirtschaft heranzuziehen, war eine wichtige Voraussetzung für die Wirksamkeit und Zukunftsfähigkeit der DSGVO.
Derzeit sind jedoch noch nicht alle Unternehmen in derselben Ausprägung "digital" wie die führenden Global Player - zumindest, was die Erhebungs- und Verarbeitungsfähigkeiten großer Datenmengen anbelangt. Die DSGVO-Vorgaben gelten allerdings ebenso für analoge Prozesse, was in manchen Betrieben oder kleineren Organisationen zum Teil an den Rand der Absurdität führt - zumindest noch. Für die Zukunft ist jedoch davon auszugehen, dass im Zuge der digitalen Transformation vergleichbare Technologien auch von kleineren Organisationen standardmäßig genutzt werden. Zudem ist es wahrscheinlich, dass sich allgemein die Ansprüche von Endkunden an das Datenschutzniveau langfristig erhöhen werden.
Umdenken im digitalen Zeitalter: Daten zum Zentrum der Unternehmensprozesse machen Da die Datenverarbeitungsprozesse in Unternehmen stark variieren, ist es schwierig, einen Maßnahmenkatalog zu entwickeln, der die Bedürfnisse jedes einzelnen Unternehmens optimal abdeckt. Doch auch als Nachzügler in Sachen DSGVO-Compliance sollte man sich nicht bis in alle Ewigkeit darauf verlassen, dass die Regulierungsbehörden nicht genau hinsehen werden. Nicht zuletzt deshalb, weil fehlende geeignete Prozesse für den Schutz von Daten sich auch nachteilig auf die Gunst der Kunden auswirken können.
Für all diejenigen, die nach wie vor mit den Regularien zu kämpfen haben, können folgende einfache Maßnahmen helfen, sich an die Anwendung der DSGVO heranzutasten:
1. Daten, Anwendungen und Personen ermitteln
Einen guten Ausgangspunkt bildet die einfache Fragestellung: Was, wo und wer? Was für Daten werden an welcher Stelle im Geschäftsprozess erhoben? Dabei ist es sinnvoll mit dem wesentlichen, den personenbezogenen Daten anzufangen und sich mit dem Begriff derselben vertraut zu machen.
Als personenbezogene Daten gelten dabei nicht nur Angaben zur Person, sondern weitere Daten, die eine natürliche Person bestimmbar machen, beispielsweise die IP-Adresse. Wo, beziehungsweise auf welchen Wegen werden diese erhoben, an welcher Stelle haben Kunden die Gelegenheit zur Einwilligung und in welchen Softwareanwendungen werden diese verarbeitet und gespeichert? Und zu guter Letzt - wer im Unternehmen hat Zugriff und welche Nutzungsrechte für welche Menge an Daten?
2. Verschlüsselungstechnologien nutzen
Worst Case im Sinne der DSGVO ist der Verlust von personenbezogenen Daten an unbefugte Dritte, beispielsweise durch den Datenverlust im Rahmen einer IT-Sicherheitslücke. Geschieht dies, ist das betroffene Unternehmen verpflichtet, die betroffenen Kunden sowie die Aufsichtsbehörden innerhalb von 72 Stunden über den Vorfall zu unterrichten.
Auch für Unternehmen dürfte dieses Szenario wohl unter dem Begriff "Alptraum" rangieren. Es empfiehlt sich daher, geeignete Daten-Verschlüsselungstechnologien zu implementieren, um sicherzugehen, dass Kundendaten auch im schlimmsten möglichen Fall geschützt sind. Werden Verschlüsselungstechnologien angewendet und sind damit die verloren gegangenen Daten für Dritte unbrauchbar, entfällt zudem auch die Informationspflicht gegenüber dem Kunden, wie in Artikel 34, Abs. 3a) dargelegt.
3. Datenschutz zum Bestandteil der Unternehmenskultur machen
Der Schutz von Daten - immerhin die Grundlage eines digitalen Unternehmens - sollte alle angehen und nicht ausschließlich auf Verantwortliche wie den Datenschutzbeauftragten oder IT-Administratoren beschränkt bleiben. Mitarbeiter bilden regelmäßig die Schnittstelle zu wichtigen Daten und sollten für die Probleme im Umgang mit Daten sensibilisiert werden. Ein angemessenes Problembewusstsein auf Seiten der Mitarbeiter kann sich insbesondere in unvorhergesehenen Ausnahmefällen bezahlt machen.
Lesetipp: DSGVO-konformes E-Mail-Marketing
Wenn beispielsweise der E-Mailserver ausfällt, sollte es für alle Betroffenen selbstverständlich sein, dass sie nicht auf andere Lösungen wie private E-Mailpostfächer bei Drittanbietern ausweichen und somit sensible Unternehmensdaten einem Sicherheitsrisiko aussetzen. Daher sollten Beteiligte aller Unternehmensebenen für die Probleme im Umgang mit Daten sensibilisiert werden.
Schulungen sind zwar ein nützliches Mittel, um strukturiert die wichtigsten Sachverhalte zu vermitteln, doch der Lerneffekt lässt erfahrungsgemäß nach, wenn die Inhalte im Tagesgeschäft keinerlei Anwendung finden. Der Umgang mit Daten und deren Rolle in den Geschäftsprozessen sollte daher immer wieder in alltägliche Diskussionen einfließen, ob in Team-Meetings, Einzelgesprächen oder auch mal kurz beim lockeren Gespräch in der Kaffeepause. Dies führt letztendlich dazu, dass Mitarbeiter bewusster und verantwortungsvoller mit Daten umgehen.
Lesetipp: DSGVO als Hebel für "Managed Workplace"
Bei der Datenschutzgrundverordnung geht es weniger darum, Maßnahmen "abzuarbeiten", um einer Vorschrift zu entsprechen, sondern sie ist ein Weckruf für Unternehmen, ihre Datenverarbeitungsprozesse zukunftsfähig auszurichten. Die digitale Welt verändert sich beständig weiter, dementsprechend ist auch der Schutz der Daten ein fortlaufender, dynamischer Prozess.
Unternehmen sollten daher ihre Erhebungs-, Verarbeitungs- und Sicherungsprozesse regelmäßig evaluieren und stets nach technischen Verfahren Ausschau halten, mit denen sich diese verschlanken lassen. Dies ist wesentlich für eine starke Position im Marktwettbewerb. Auch wenn gegenwärtig der Umgang mit Daten noch wenig reguliert erscheinen mag und wegweisende Präzedenzfälle erst noch entstehen müssen, die Bedeutung des Datenschutzes im digitalen Zeitalter steht fest - dies markiert auch die ePrivacy-Verordnung, die gegenwärtig noch ausgearbeitet wird.