EU-DSGVO: Mit der richtigen Strategie rechtzeitig ans Ziel

von Merten Slominsky, Vice President EMEA bei Alfresco

Die EU-DSGVO muss bis Mai 2018 umgesetzt werden (Bild: Alfresco/© Wright Studio/ Shutterstock.com)

23522-EU-DSGVO

Die EU-DSGVO muss bis Mai 2018 umgesetzt werden (Bild: Alfresco/© Wright Studio/ Shutterstock.com)

Inzwischen vergeht kaum ein Tag, an dem kein neuer Artikel oder Blog-Post über die EU-Datenschutzgrundverordnung (EU-DSGVO) erscheint. Die meisten Beiträge kommen jedoch nicht über die Zusammenfassung einiger rechtlicher Fakten hinaus. Dabei drängt die Zeit: Am 25. Mai 2018 spätestens müssen alle Vorschriften umgesetzt sein.

Die EU-DSGVO ist ein grundlegendes, ja archetypisches Thema der Information Governance. Jede praxistaugliche Umsetzung dieser EU-Verordnung muss daher ganzheitlich vorgehen. Unternehmen sollten dabei drei wesentliche Felder abdecken:

1. Management relevanter Informationen

Zunächst sollten Unternehmen herausfinden, welche Informationen in ihren Systemen unter die EU-DSGVO fallen. Wichtig: Dazu gehören nicht nur strukturierte Daten in Datenbanken. Es gilt auch unstrukturierte Informationen, wie etwa Teilnehmerlisten von vergangenen Seminaren, Messen, Roadshows, Workshops, Schulungen und dergleichen, zu berücksichtigen. Diese können auch auf Systemen von Dienstleistern gespeichert sein. Auch zu Mitarbeitern und Bewerbern finden sich bestimmt jede Menge Unterlagen auf diversen Geräten und Laufwerken, wie zum Beispiel Lebensläufe, Vertragsentwürfe oder Zeugnisse.  

Diese Informationen müssen mit dem nötigen Profil versehen werden. Dazu gehört die Quelle, der geographische Speicherort, der Grund des Speicherns beziehungsweise der Verwendungszweck. Besonders wichtig: Die damit verbundene Einverständniserklärung der betroffenen Person.

Für alle Daten sollten komplette Lebenszyklen definiert werden, von der Erfassung über die Verarbeitung bis zur Archivierung oder Vernichtung.

Um nachhaltig Missbrauch von außerhalb und innerhalb des Unternehmens auszuschließen, führt kein Weg an Dokumenten-spezifischen, zeitlich befristeten Zugangsberechtigungen vorbei. Diese sollten losgelöst von den organisatorischen Rollen der Mitarbeiter sein. Idealerweise orientieren sie sich an den tatsächlichen Aufgaben eines Mitarbeiters, etwa innerhalb eines aktuellen Projekts. Endet das Projekt, endet auch der Zugriff auf die Dokumente. Zugriffe sollten ferner nachvollziehbar mitprotokolliert werden.

2. Management relevanter Prozesse

Die EU-DSGVO fordert nicht nur den Schutz der Daten vor Missbrauch, sondern auch einen zweckgebundenen Umgang mit Daten – und deren Löschung, sobald ihr Zweck erfüllt ist. Unternehmen sind deshalb mit Inkrafttreten der EU-DSGVO gefordert, ihre Prozesse zu überprüfen und wo nötig, zu adaptieren. So müssen sie beispielsweise sicherstellen, dass sie mit der Erfassung personenbezogener Daten auch die explizite Zustimmung der Person einholen und dokumentieren. Entscheidend dabei ist: Auch der Zweck, für den die Daten gespeichert werden, muss nachvollziehbar sein.

Im Fokus der EU-DSGVO stehen die Rechte der Personen an ihren Daten. Darunter fällt nicht nur das Recht auf Auskunft über sämtliche gespeicherten Daten. Es geht auch um Datenportabilität: Auf Anfrage müssen die Daten so herausgegeben werden, dass sie von einem anderen Anbieter weiterverarbeitet werden können. Auch wenn die EU-DSGVO das nicht genau spezifiziert, sollten personenbezogene Daten nur verschlüsselt übertragen werden. Last but not least ist das vielzitierte »Recht auf Vergessen« zu beachten: Auf Nachfrage müssen Unternehmen sämtliche zu einer Person vorhandenen Daten und Dokumente löschen.

Diese Prozesse sind so zu etablieren, dass sie transparent und nachprüfbar sind und auch einer Prüfung durch die Aufsichtsbehörden standhalten. Denn auch diese bereiten sich auf den Stichtag vor und stehen in den Startlöchern. 

Compliance- und IT-Verantwortliche, die noch glauben, dies alles manuell bewerkstelligen zu können, werden sehr schnell eines Besseren belehrt werden. Nur wer so viel wie möglich automatisiert, vermeidet, dass Mitarbeiter Fehler machen oder Compliance-Vorgaben übersehen. Vor allem aber ist es der einzige Weg, wie sich der offensichtliche Mehraufwand ohne Effizienzeinbußen langfristig meistern lässt.

3. Koordination der Geschäftsbereiche

In den Unternehmen werden EU-DSGVO-relevante Daten von den verschiedensten Abteilungen genutzt: unter anderem in Personalabteilung, Marketing, Buchhaltung und Vertrieb. Unternehmen sollten deshalb klare Ownership für bestimmte Daten etablieren. Außerdem muss allen Mitarbeitern klar sein, dass sie mit den Daten nur noch in einem eingeschränkten, von der jeweiligen Person definierten Rahmen arbeiten dürfen. Das unbekümmerte Weiterreichen von Listen mit Ansprechpartnern von Abteilung zu Abteilung beispielsweise muss unbedingt unterbunden werden.

Vorsicht vor Missverständnissen

Die EU-DSGVO gilt bei weitem nicht nur für Großkonzerne. Vom Mittelständler bis zum Ein-Mann-Betrieb: Alle sind betroffen. Und das unabhängig davon, ob sie an Privatpersonen oder an Unternehmen, also im B2B-Umfeld, verkaufen. Die EU-DSGVO macht keinen Unterschied zwischen personenbezogenen Daten im beruflichen oder privaten Kontext. Zu den »Personen« im Sinne der Verordnung zählen Mitarbeiter, Lieferantenkontakte, Vertriebspartner und natürlich auch jede Art von Ansprechpartnern bei Kunden und Interessenten.

Offene flexible Lösungen sind gefordert

Wer jetzt versucht, diese beachtliche Herausforderung mit traditionellem IT-Projektansatz zu lösen, läuft ein großes Risiko: Nämlich am Stichtag 25. Mai 2018 nicht bereit zu sein. Zur Umsetzung der GDPR braucht es Lösungen, die sich in alle Geschäftsbereiche hinein einfach integrieren lassen und »den nötigen Job« tun, sprich: die helfen, den personenbezogenen Content rechtskonform zu verwalten. Nicht mehr, aber auch nicht weniger. Dies kann nur über eine Plattform mit offenen Schnittstellen gelingen, die die betroffenen Geschäftsprozesse verknüpft und einen GDPR-konformen Informationsfluss ermöglicht.

About the Author: Annette Stadler

Annette Stadler ist IT-Journalistin und leitet das Online-Portal ECMGUIDE.