Teamarbeit als Stressbewältigung – darum sollten im Unternehmen in Sachen DSGVO alle mit anpacken

08. Mai 2018
In wenigen Wochen tritt die EU-Datenschutzgrundverordnung (DSGVO) in Kraft. Bei vielen Unternehmen hat das Thema in der letzten Zeit für große Verunsicherung und Stress gesorgt. Meine Kollegen bei der B-S-S und ich beobachten Entwicklungen, die für die Arbeitswelt wichtig sind, ganz genau – auch die DSGVO. Eines ist uns dabei klargeworden: Auch wenn das Thema komplex ist und einige Unbekannte bereithält: Die Umsetzung der DSGVO für Unternehmen ist eine Teamaufgabe.
Wir beobachten aber nicht nur, sondern arbeiten immer auch an zeitgemäßen Lösungen. Mit einem Ansatz, der auf der Enterprise Search Technologie aus dem Hause Sinequa basiert, möchte die B-S-S Kunden bei der präzisen, sicheren und effektiven Umsetzung der neuen Datenschutz-Grundverordnung unterstützen.
 
Bitte beachten Sie: Für die Umsetzung der DSGVO sind Sie selbst verantwortlich. Dieser Beitrag stellt keine Rechtsberatung dar und kann und soll auch keine Rechtsberatung ersetzen.

Am Anfang: Der Wille zählt

Kommunikation, Bereitschaft und ein gemeinsames Grundverständnis sind für ein Unternehmen bei der Umsetzung der neuen Richtlinien unerlässlich. Alle Bereiche und Abteilungen müssen für Datenschutzbewusstsein sensibilisiert und die internen Gepflogenheiten kritisch hinterfragt werden. Dazu zählen unter Anderem Vertragsmanagement, Unternehmensorganisation, Prozesse und IT. Es geht dabei um Grundsätzliches, nämlich die Art und Weise, wie personenbezogene Daten verwendet werden. Das ist meines Erachtens noch wichtiger, als gleich nach neuen technischen und automatischen Lösungen zu rufen.
 
 
Abbildung 1: DSGVO ist eine Teamaufgabe, kein technisches Problem

Warum gibt es die DSGVO?

Die DSGVO soll ein Grundrecht zum Schutz persönlicher Daten schaffen – angesichts der immens gestiegenen Datenflut ein verständliches Ziel. Personenbezogenen Daten soll damit noch mehr Bedeutung als bisher beigemessen werden. Bereits die Möglichkeit, eine Person zuordnen oder bestimmen zu können, reicht aus, um von solchen personenbezogenen Daten zu sprechen. Neben Beispielen wie Privatanschrift oder Ausweisnummer gilt das bereits für eine einfache Mailadresse nach dem Muster Vorname.Name@Unternehmen. Nach Auffassung des Europäischen Gerichtshofs sind sogar IP-Adressen solche sensiblen Daten. Schließlich können sie über den Provider einer bestimmbaren Person zugeordnet werden. Selbst Fahrzeug-Identifikations-Nummern müssen künftig sorgsamer als bisher behandelt werden. Denn über das Kraftfahrtbundesamt können auch sie leicht einer Person zugeordnet werden. Rassische/ethnische Herkunft, politische Meinung, Religion, Gewerkschaftszugehörigkeit, weltanschauliche Überzeugung, Gesundheitsdaten oder sexuelle Orientierung stellen eine besondere Kategorie der personenbezogenen Daten dar und müssen noch sorgsamer geschützt werden. 

Und was besagt das Marktortprinzip?

Nach dem neuen Marktortprinzip ist nicht der Unternehmenssitz entscheidend dafür, welches Recht angewendet wird, sondern der Ort, an dem eine Leistung angeboten wird und an dem sich die entsprechende Person befindet. Die Person, deren Daten erhoben werden. Wer mit den Daten europäischer Bürger umgeht, wird künftig noch mehr Sensibilität zeigen müssen. Und das gilt nicht nur für Europa, sondern weltweit. Damit sich auch globale Mitbewerber an die DSGVO halten, müssen Unternehmen mit Sitz außerhalb der Europäischen Union nämlich einen Vertreter innerhalb der EU benennen. 

Wie soll angemessener Schutz eigentlich aussehen?

Die Datenschutz-Grundverordnung verlangt ein „angemessenes Schutzniveau“ bei personenbezogenen Daten. Und spätestens hier beginnen dann auch Auslegbarkeit, verschiedene Lesarten und Unsicherheit. Denn: Was bedeutet „angemessen“ eigentlich ganz konkret? Diese Frage ist für jedes Unternehmen und seine Mitarbeiter nur ganz individuell zu lösen.
 
Als Hilfestellung könnte dabei die Frage „Stehen Nutzen und Aufwand in einer sinnvollen Relation?“ dienen. Vom Bayerischen Landesamt für Datenschutzaufsicht gibt es hierzu eine Matrix. Sie setzt die möglichen Schäden für den Betroffenen und deren potenzielle Eintrittswahrscheinlichkeit in Beziehung. Ein solches Gegenüberstellen kann bei der Risikobestimmung helfen und damit auch bei der Frage nach dem erforderlichen Schutzniveau. Auch wenn sich so natürliche keine konkreten Maßnahmen ableiten lassen, kann das Diagramm helfen, ein Verständnis für die nötige Abwägung zu bekommen.
 
 
Abbildung 2: Matrix zur Risikobestimmung des notwendigen Schutzniveaus (Quelle: Bayerisches Landesamt für Datenschutzaufsicht)

Was heißt TOM?

Die tatsächliche Umsetzung des Schutzniveaus in einem Unternehmen besteht unter anderem in technischen und organisatorischen Maßnahmen (abgekürzt: TOM). Die sind keine Neuheiten, man kennt sie bereits aus dem Bundesdatenschutzgesetz (BDSG).

Was ist dann konkret zu tun?

Welche TOM braucht es überhaupt? Als erster Schritt sollte hierfür eine individuelle Bestandsaufnahme im Unternehmen erfolgen. Dazu dient das sogenannte Verzeichnis der Verarbeitungstätigkeiten. Es muss alle Prozesse, bei denen personenbezogene Daten verarbeitet werden, transparent machen. In unserem Unternehmen haben wir bei der Erstellung des Verzeichnisses auf Einzelinterviews mit den Verantwortlichen der jeweiligen Abteilungen gesetzt. Das hat sich bewährt, weil dadurch sämtliche Kanäle, Speicherorte und unter Umständen auch Schatten-IT schnell ans Licht kamen.

Verantwortlicher mit Herzblut

Die Introspektion des Unternehmens muss offen und lückenlos passieren: Alles, wo Daten kursieren, muss zur Sprache kommen. Das ganze sollte als Projekt gesehen werden, mit einem Projektleiter, der sich das Thema Datenschutz wirklich zu Herzen nimmt. Er muss die Informationen über die Datenverarbeitung im Unternehmen sammeln und aufarbeiten. 
 
Hilfestellungen und Mustervorschläge für die Bestandsaufnahme gibt es viele. Hier ein Beispiel vom Bitkom e.V. Damit die Dokumentation für das Unternehmen immer verständlich ist, sollte sie nie einfach übernommen werden – immer eine eigene Lösung, in der eigenen Sprache  finden.
 
 
Abbildung 3: Diesen Zyklus durchleben Daten in Unternehmen für gewöhnlich

Verarbeitungsverzeichnis, und dann?

Als nächstes stehen individuelle Prozesse auf den Prüfstand. Hier können folgende Fragen relevant sein: Welche Systeme und Lösungen werden verwendet? Wer hat Zugriff auf welche Daten? Gibt es dokumentierte Legitimationen? Sind die bisherigen Schutzmaßnahmen angemessen, zeitgemäß und ausreichend? Gibt es besonders schützenswerte Kunden- oder Partner-Daten? Wie geht man mit diesen künftig um?
 
Die Bestandsaufnahme umfasst auch die Auftragsdatenverarbeitung. Also Abläufe, bei denen Dritte wie Nachunternehmer, sogenannte Auftragsverarbeiter, im Auftrag des Unternehmens Daten verarbeiten. Denn diese haften fortan gemeinsam mit dem Unternehmen als Auftraggeber für ein angemessenes Schutzniveau. Zu den Auftragsverarbeitern zählen unter anderem z.B. Clouddienste, Software as a Service oder Marketingagenturen. 

Maßnahmen einleiten

Steht das individuelle Anforderungsprofil für den angemessenen Schutz der personenbezogenen Daten, sollte es an die technischen Umsetzungen gehen. Manchmal reichen dabei schon Standardlösungen, die in Tools wie beispielsweise Office 365 bereits vorhanden sind. Solche Plattformen bieten oft auch Möglichkeiten, individuelle Lösungen für ein Unternehmen zu erstellen.

Auskunftsfähigkeit - ein elementares Betroffenenrecht

Ein Schlüsselelement der DSGVO ist das Recht auf Auskunft. Eine Person kann von einem Unternehmen also jederzeit verlangen, die gespeicherten persönlichen Daten zu nennen – ohne unangemessene Verzögerungen und Kosten für den Antragsteller. Für ein Unternehmen bedeutet das: Die Daten zur Person müssen auf Wunsch in jeder Datei, jedem CRM-System und jeder Datenbank gefunden werden. Dieser Punkt setzt viele IT-Abteilungen derzeit unter Druck. Denn: robuste Verifizierungsprogramme müssen in die gesamte Softwareroutine eingearbeitet werden, ohne dass das Tagesgeschäft eine Pause machen würde.
 
Um Unternehmen zu unterstützen haben wir bei der B-S-S eine Enterprise Search Lösung, die auf der Suchtechnologie von Sinequa basiert, geschaffen. Damit lassen sich Daten aus den verschiedenen Quellen eines Unternehmens verlässlich auffinden und zusammenführen. Somit hat man auch bei komplexen Systemen und verschiedenen Kanälen immer den Überblick und kann bei Bedarf auf alle Daten zugreifen und sie leicht nutzen. Das hilft auch bei der präzisen und effizienten Integration künftiger Datenschutz-Maßnahmen in die IT-Landschaft.

Fazit: Den Kopf nicht in den Sand … 

Ich hoffe, ich konnte Ihnen hier einen kleinen Einblick in ein komplexes Thema geben, das derzeit vielen Unternehmern unter den Nägeln brennt. Ein Thema, vor dem man keine Angst haben, sondern das man bewusst, engagiert und vor allem im Kollektiv angehen sollte. Transparenz, Dokumentation, Sorgfalt und Aufklärung sind Prinzipien, die beim Umgang mit personenbezogenen Daten nie außer acht gelassen werden sollten. War mein Beitrag hilfreich für Sie? Haben Sie Fragen oder Anregungen? Dann lassen Sie mir gern einen Kommentar da.
 
Hinweis: Dieser Beitrag stellt keine Rechtsberatung dar und soll und darf keine Rechtsberatung ersetzen. Es wird von uns keine Gewähr für die Richtigkeit und Vollständigkeit der Informationen dieses Beitrags übernommen.
 
Quelle: VWT / AGVT Verbandsnachrichten
 
 

Neuen Kommentar schreiben