\u00dcber die Datenschutz-Grundverordnung (DSGVO) wird viel berichtet \u2013 vorrangig geht es dabei um die horrenden Sanktionen und all die Dinge, die Unternehmen jetzt noch zu tun haben. Dass die DSGVO aber auch Chancen bietet, sehen bisher noch die wenigsten.<\/p>\n
<\/p>\n
Die Datenschutz-Grundverordnung ist keinesfalls neu: Bereits seit dem 25. Mai 2016 ist sie in Kraft. Jedoch endet zum 25. Mai 2018 die \u00dcbergangsfrist und die DSGVO wird f\u00fcr alle Unternehmen innerhalb der EU verbindlich. Die meisten Unternehmen haben bis vor kurzem noch nichts zur DSGVO geh\u00f6rt \u2013 Studien belegen: Eine Bitkom-Umfrage zeigte<\/a>, dass sich jedes dritte Unternehmen noch immer nicht mit der Datenschutz-Grundverordnung besch\u00e4ftigt hat.<\/p>\n Das ist ziemlich schade, denn mit der Datenschutz-Grundverordnung erhalten Unternehmen auch Chancen. Nat\u00fcrlich kommen immense Herausforderungen auf Unternehmen zu. Die drohenden Bu\u00dfgelder sind existenzvernichtend. Momentan herrschen eher Angst und \u00dcberforderung. Das m\u00f6chten wir \u00e4ndern und stellen Euch Chancen vor, die Ihr mit der Umsetzung der Datenschutz-Grundverordnung realisieren k\u00f6nnt.<\/p>\n Schon seit Jahren gehen Verbrauchersch\u00fctzer auf die Barrikaden und fordern von Unternehmen mehr Transparenz. Mit der DSGVO kann diese nun kommen! Die Rechte von Betroffenen werden deutlich gest\u00e4rkt. Da w\u00e4ren etwa die Informationspflichten:<\/p>\n Das bisherige Auskunftsrecht der Betroffenen erlaubte es bislang, Unternehmen zu fragen, welche pers\u00f6nlichen Daten gespeichert wurden. Hei\u00dft: Erst in dem Moment, in dem Daten bereits erhoben und verarbeitet wurden, konnten sich betroffene Personen dar\u00fcber informieren.<\/p>\n Mit der DSGVO sind betroffene Personen bereits vor der Datenerhebung zu informieren: Art, Zweck, Umfang und eventuell die rechtliche Grundlage der Datenerhebung und -verarbeitung m\u00fcssen gekl\u00e4rt sein. Verkauft Ihr also ein Produkt oder eine Dienstleistung, muss der potenzielle K\u00e4ufer zu Beginn des Verkaufsgespr\u00e4chs \u00fcber den Umgang mit seinen Daten informiert werden. Auch m\u00fcssen Betroffene informiert werden, wenn sich die Art, der Umfang oder der Zweck der Datenspeicherung \u00e4ndern.<\/p>\n Unternehmen bekommen also zu tun: Kunden, die bislang gar nicht oder nicht ausreichend informiert wurden, m\u00fcssen noch bis zum 25.05.2018 informiert werden. Dies gilt auch, wenn Daten weitergegeben werden \u2013 beispielsweise wenn die Kundendaten in die Cloud ausgelagert werden. Auch dann muss \u00fcber Art, Zweck, Umfang usw. informiert werden. Bekommt Ihr hingegen Daten von Gesch\u00e4ftspartnern, gelten diese Informationspflichten auch f\u00fcr Euch.<\/p>\n Aus all dem ergibt sich ein entscheidender Punkt: Eure Organisation muss konkret wissen, welche Informationen mithilfe welcher Prozesse wie verarbeitet werden. In der Datenschutz-Grundverordnung wird von „Verarbeitungst\u00e4tigkeiten“ gesprochen. Ein Verfahrensverzeichnis gibt Auskunft \u00fcber diese Verarbeitungst\u00e4tigkeiten \u2013 wir haben dieses Verfahrensverzeichnis bereits in einem gesonderten Blogbeitrag „Das Verfahrensverzeichnis \u2013 Vorbereitungen zur DSGVO<\/a>“ thematisiert.<\/p>\n Genau hier liegt eine der Chancen der Datenschutz-Grundverordnung: Durch die Abbildung des Datenflusses in Eurer Organisation entsteht ein genaues Abbild der Zusammenh\u00e4nge der IT und der Gesch\u00e4ftsprozesse. Ihr erreicht eine transparente Service-Architektur.<\/p>\n Die Anforderungen, die die Datenschutz-Grundverordnung stellt, bergen die Chance, endlich die Verbindung zwischen IT und den Gesch\u00e4ftsprozessen herzustellen. Wenngleich Eure Organisation bislang \u00fcber keine Prozess-Dokumentation verf\u00fcgt: Das Verzeichnis der Verarbeitungst\u00e4tigkeiten muss unbedingt angelegt werden!<\/p>\n Damit entsteht die Chance, ein Prozessmanagement zu etablieren. Denn sp\u00e4testens, wenn es um die technisch organisatorischen Ma\u00dfnahmen der DSGVO geht, wird die IT-Abteilung in alle \u00dcberlegungen involviert. \u00dcbernimmt die IT dann noch das Aufzeichnen der Verarbeitungsvorg\u00e4nge bzw. der entsprechenden Prozesse, k\u00f6nnen sofort Optimierungsvorschl\u00e4ge unterbreitet werden.<\/p>\n Ein Beispiel soll verdeutlichen: Werden den einzelnen Prozessen die jeweiligen IT-Systeme zugeordnet, ergeben sich neue Informationen. Ihr erkennt beispielsweise Medienbr\u00fcche, Ihr erkennt, an welcher Stelle manuelle T\u00e4tigkeiten abgebaut und automatisierte aufgebaut werden k\u00f6nnen. Euer gesamter Workflow wird transparent, sodass sich in der Folge auch Aufgaben f\u00fcr bestimmte Mitarbeiter ergeben.<\/p>\n Ganz konkret bedeutet das eben beschriebene: Ihr steigert die Effizienz in Eurem Unternehmen. Auch in anderer Richtung f\u00fchrt die neue Transparenz zu einer weiteren Chance. Wurde beispielsweise ein Hackerangriff aufs Unternehmensnetz ver\u00fcbt, ist es wichtig, aussagen zu k\u00f6nnen, welche Verarbeitungst\u00e4tigkeiten und Informationen betroffen sind. Daraus ergibt sich auch der Kreis betroffener Personen, die zu informieren sind. Bei Datenschutzverletzungen sind die Betroffenen immer zu informieren. Mit dem Verarbeitungsverzeichnis funktioniert das schneller und mit geringerem Aufwand als bislang.<\/p>\n Unter „betroffene Personen“ verstand das Bundesdatenschutzgesetz (BDSG) \u00fcbrigens etwas anderes als die DSGVO. Bislang waren Kunden, Patienten, Mandanten und auch Mitarbeiter eingeschlossen. Mit der DSGVO werden s\u00e4mtliche Personen darunter verstanden \u2013 ganz unabh\u00e4ngig von ihrer Rolle. Damit sind auch Gesellschafter, Partner oder Dienstleister mit eingeschlossen.<\/p>\n In der Datenschutz-Grundverordnung spricht der Gesetzgeber lediglich davon, personenbezogene Daten zu sch\u00fctzen. W\u00fcrden Unternehmen dem nachkommen, w\u00fcrden zwei Klassen von Daten entstehen: die sch\u00fctzenswerten personenbezogenen und die nicht-sch\u00fctzenswerten restlichen Daten. Sinnvoll ist dieses Vorgehen nicht \u2013 Ihr m\u00fcsst ohnehin s\u00e4mtliche Daten sortieren, also k\u00f6nnt Ihr es auch gleich richtig machen.<\/p>\n Es gilt, die komplette Prozesslandschaft zu betrachten, nicht nur ausgew\u00e4hlte Prozesse und Daten. Erfasst s\u00e4mtliche Prozesse und schaut, welche sch\u00fctzenswerten Daten verarbeitet und gespeichert werden. Daraus leiten sich technische und organisatorische Ma\u00dfnahmen ab, die Ihr ergreifen werdet, um die Daten ordentlich zu sch\u00fctzen.<\/p>\nEndlich Transparenz<\/h3>\n
Wissen, was vorgeht<\/h3>\n
Verbindung zwischen IT und Gesch\u00e4ftsprozessen<\/h3>\n
Effizienzsteigerung im Unternehmen<\/h3>\n
Komplette Prozesslandschaft betrachten<\/h3>\n