Chancen der Datenschutz-Grundverordnung

Chancen der Datenschutz-Grundverordnung

Über die Datenschutz-Grundverordnung (DSGVO) wird viel berichtet – vorrangig geht es dabei um die horrenden Sanktionen und all die Dinge, die Unternehmen jetzt noch zu tun haben. Dass die DSGVO aber auch Chancen bietet, sehen bisher noch die wenigsten.

Die Datenschutz-Grundverordnung gibt es schon seit 2 Jahren

Die Datenschutz-Grundverordnung ist keinesfalls neu: Bereits seit dem 25. Mai 2016 ist sie in Kraft. Jedoch endet zum 25. Mai 2018 die Übergangsfrist und die DSGVO wird für alle Unternehmen innerhalb der EU verbindlich. Die meisten Unternehmen haben bis vor kurzem noch nichts zur DSGVO gehört – Studien belegen: Eine Bitkom-Umfrage zeigte, dass sich jedes dritte Unternehmen noch immer nicht mit der Datenschutz-Grundverordnung beschäftigt hat.

Das ist ziemlich schade, denn mit der Datenschutz-Grundverordnung erhalten Unternehmen auch Chancen. Natürlich kommen immense Herausforderungen auf Unternehmen zu. Die drohenden Bußgelder sind existenzvernichtend. Momentan herrschen eher Angst und Überforderung. Das möchten wir ändern und stellen Ihnen Chancen vor, die Sie mit der Umsetzung der Datenschutz-Grundverordnung realisieren können.

Endlich Transparenz

Schon seit Jahren gehen Verbraucherschützer auf die Barrikaden und fordern von Unternehmen mehr Transparenz. Mit der DSGVO kann diese nun kommen! Die Rechte von Betroffenen werden deutlich gestärkt. Da wären etwa die Informationspflichten:

Das bisherige Auskunftsrecht der Betroffenen erlaubte es bislang, Unternehmen zu fragen, welche persönlichen Daten gespeichert wurden. Heißt: Erst in dem Moment, in dem Daten bereits erhoben und verarbeitet wurden, konnten sich betroffene Personen darüber informieren.

Mit der DSGVO sind betroffene Personen bereits vor der Datenerhebung zu informieren: Art, Zweck, Umfang und eventuell die rechtliche Grundlage der Datenerhebung und -verarbeitung müssen geklärt sein. Verkaufen Sie also ein Produkt oder eine Dienstleistung, muss der potenzielle Käufer zu Beginn des Verkaufsgesprächs über den Umgang mit seinen Daten informiert werden. Auch müssen Betroffene informiert werden, wenn sich die Art, der Umfang oder der Zweck der Datenspeicherung ändern.

Unternehmen bekommen also zu tun: Kunden, die bislang gar nicht oder nicht ausreichend informiert wurden, müssen noch bis zum 25.05.2018 informiert werden. Dies gilt auch, wenn Daten weitergegeben werden – beispielsweise wenn die Kundendaten in die Cloud ausgelagert werden. Auch dann muss über Art, Zweck, Umfang usw. informiert werden. Bekommen Sie hingegen Daten von Geschäftspartnern, gelten diese Informationspflichten auch für Sie.

Wissen, was vorgeht

Aus all dem ergibt sich ein entscheidender Punkt: Ihre Organisation muss konkret wissen, welche Informationen mithilfe welcher Prozesse wie verarbeitet werden. In der Datenschutz-Grundverordnung wird von „Verarbeitungstätigkeiten“ gesprochen. Ein Verfahrensverzeichnis gibt Auskunft über diese Verarbeitungstätigkeiten – wir haben dieses Verfahrensverzeichnis bereits in einem gesonderten Blogbeitrag thematisiert.

Genau hier liegt eine der Chancen der Datenschutz-Grundverordnung: Durch die Abbildung des Datenflusses in Ihrer Organisation entsteht ein genaues Abbild der Zusammenhänge der IT und der Geschäftsprozesse. Sie erreichen eine transparente Service-Architektur.

Verbindung zwischen IT und Geschäftsprozessen

Die Anforderungen, die die Datenschutz-Grundverordnung stellt, bergen die Chance, endlich die Verbindung zwischen IT und den Geschäftsprozessen herzustellen. Wenngleich Ihre Organisation bislang über keine Prozess-Dokumentation verfügt: Das Verzeichnis der Verarbeitungstätigkeiten muss unbedingt angelegt werden!

Damit entsteht die Chance, ein Prozessmanagement zu etablieren. Denn spätestens, wenn es um die technisch organisatorischen Maßnahmen der DSGVO geht, wird die IT-Abteilung in alle Überlegungen involviert. Übernimmt die IT dann noch das Aufzeichnen der Verarbeitungsvorgänge bzw. der entsprechenden Prozesse, können sofort Optimierungsvorschläge unterbreitet werden.

Ein Beispiel soll verdeutlichen: Werden den einzelnen Prozessen die jeweiligen IT-Systeme zugeordnet, ergeben sich neue Informationen. Sie erkennen beispielsweise Medienbrüche, Sie erkennen, an welcher Stelle manuelle Tätigkeiten abgebaut und automatisierte aufgebaut werden können. Ihr gesamter Workflow wird transparent, sodass sich in der Folge auch Aufgaben für bestimmte Mitarbeiter ergeben.

Effizienzsteigerung im Unternehmen

Ganz konkret bedeutet das eben beschriebene: Sie steigern die Effizienz in Ihrem Unternehmen. Auch in anderer Richtung führt die neue Transparenz zu einer weiteren Chance. Wurde beispielsweise ein Hackerangriff aufs Unternehmensnetz verübt, ist es wichtig, aussagen zu können, welche Verarbeitungstätigkeiten und Informationen betroffen sind. Daraus ergibt sich auch der Kreis betroffener Personen, die zu informieren sind. Bei Datenschutzverletzungen sind die Betroffenen immer zu informieren. Mit dem Verarbeitungsverzeichnis funktioniert das schneller und mit geringerem Aufwand als bislang.

Unter „betroffene Personen“ verstand das Bundesdatenschutzgesetz (BDSG) übrigens etwas anderes als die DSGVO. Bislang waren Kunden, Patienten, Mandanten und auch Mitarbeiter eingeschlossen. Mit der DSGVO werden sämtliche Personen darunter verstanden – ganz unabhängig von ihrer Rolle. Damit sind auch Gesellschafter, Partner oder Dienstleister mit eingeschlossen.

Komplette Prozesslandschaft betrachten

In der Datenschutz-Grundverordnung spricht der Gesetzgeber lediglich davon, personenbezogene Daten zu schützen. Würden Unternehmen dem nachkommen, würden zwei Klassen von Daten entstehen: die schützenswerten personenbezogenen und die nicht-schützenswerten restlichen Daten. Sinnvoll ist dieses Vorgehen nicht – Sie müssen ohnehin sämtliche Daten sortieren, also können Sie es auch gleich richtig machen.

Es gilt, die komplette Prozesslandschaft zu betrachten, nicht nur ausgewählte Prozesse und Daten. Erfassen Sie sämtliche Prozesse und schauen Sie, welche schützenswerten Daten verarbeitet und gespeichert werden. Daraus leiten sich technische und organisatorische Maßnahmen ab, die Sie ergreifen werden, um die Daten ordentlich zu schützen.

Damit sind wir zum Thema Informationssicherheitsmanagementsystem – kurz: ISMS – gekommen. Ganz zwangsläufig kommen wir hierbei auch zum Thema Zertifizierungen. Mehr dazu erfahren Sie in unserem Blogbeitrag „Weitere Vorbereitungen zur DSGVO“.

Wir empfehlen Ihnen und Ihrem Unternehmen, Informationssicherheit als Prozess zu begreifen und sie komplett anzugehen. Verschenken Sie Ihre wertvolle Zeit nicht für einzelne personenbezogene Datensätze. Vielleicht erfüllen Sie damit die Anforderungen der Datenschutz-Grundverordnung, praktisch agieren Sie so jedoch nicht.

Hieraus ergibt sich eine weitere Chance: Sie können Ihren Servicekatalog auf- und ausbauen!

Geschäftsprozesse durch Effizienzpotenziale heben

Die Umsetzung der Datenschutz-Grundverordnung braucht also einen Zusammenhang zwischen den Prozessen und der IT – das sind die sogenannten Verarbeitungstätigkeiten. Sie zeichnen ein Prozess-Abbild Ihres Unternehmens. Um verstehen zu können, wo welche Daten gespeichert, verarbeitet und ggf. übertragen oder weitergegeben werden, braucht es eine Architektur, die sämtliche beteiligten Komponenten und deren Beziehungen darstellt – wir sind also bei der Servicearchitektur.

So können Sie die einzelnen Services definieren, die in Ihrem Unternehmen genutzt werden. Hier ergibt sich ein großer Vorteil: Arbeitet die IT serviceorientiert, entstehen Prozesse, die den Service über den kompletten Lebenszyklus begleiten. Als Beispiele seien Change-Management, Service-Design, aber auch Bestellprozesse genannt: Sie wissen ganz genau, wer welche Services nutzt.

Da Sie sich in der Vorarbeit intensiv mit den Daten Ihrer Kunden befasst haben, wissen Sie ganz konkret, welche Daten mithilfe welcher Services verarbeitet werden. Integrieren Sie jetzt noch die Datenschutzaspekte, entsteht ein komplettes Management, welches der DSGVO entspricht.

Gleichzeitig können Sie in Ihrer Organisation auch die ersten Schritte des Prozessmanagements etablieren. Nutzen Sie einfach die vorhandenen Strukturen – Sie benötigen keinen großen Mehraufwand. So heben Sie das Effizienzpotenzial Ihrer Geschäftsprozesse und starten in Richtung Digitalisierung durch.

Chancen der Datenschutz-Grundverordnung – Fazit

Die Datenschutz-Grundverordnung wird von Unternehmen wahrlich nicht mit offenen Armen empfangen – vielmehr wird sie gerne als Bürokratiemonster mit vielen Hindernissen betrachtet. Doch es lohnt sich, auch mal die Perspektive zu wechseln: Ja, es müssen nahezu alle Prozesse und Arbeitspraktiken grundüberholt werden.

Aber genau das kann einen großen Wandel herbeiführen. Sehen Sie die neuen Regelungen doch als Chance, Ihre Daten endlich vereinheitlichen zu können. Sie können sich schlanker und agiler organisieren. Darüber hinaus erhalten Sie tiefere Einblicke in Ihre Daten und können Produkte sowie Dienstleistungen optimieren und Prozesse straffen. Nutzen Sie Ihre Chancen und erzielen Sie mit dem Schutz von Daten und einer neuen Transparenz einen echten Wettbewerbsvorteil!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*