DSGVO: So langsam wird’s Zeit!

Grafik:Bankksy
Grafik:Bankksy

Mit neuen Datenschutzrichtlinien ist es wie mit der Vorweihnachtszeit, die uns sicherlich allen noch ein wenig in den Knochen steckt: Man sagt sich immer wieder, dass man dieses Jahr die Geschenke besonders früh kaufen will, um so dem Einkaufstress, ob on- oder offline, zu entgehen. Und wie endet das? Richtig: Am 23. Dezember läuft man mit offenen Schuhen durch ein völlig überfülltes Shopping-Center, die Hände voll mit eifrig eingepackten Geschenken und mit dem Gedanken im Kopf: Nächstes Jahr kaufe ich die Geschenke ganz sicher früher!!!

Mit Blick auf die Datenschutz-Grundverordnung, die bereits seit dem 24. Mai 2016 in Kraft getreten ist, scheinen viele Unternehmen dem gleichen Teufelskreis verfallen zu sein. Seit über 18 Monaten hätte man sich ja zumindest oberflächlich Gedanken über die eigene Umsetzung der DSGVO machen können. Aber auch hier verhält es sich wie bei überhasteten Weihnachtseinkäufen und dem Horror des Shopping Mall Besuchs am 23.12.: Trotz Stress und einer „Kurz vor Knapp“-Vorbereitung verbringt man die Feiertage in Ruhe und Frieden.

Damit auch Handelskraft-Leser den 25. Mai 2018 im friedlichen Kreise ihrer auf Datenschutz-getrimmten Kunden verbringen können, haben wir Fragen wie „Was ist die DSGVO?“ und „Wie setze ich diese um?“ gestellt und beantwortet – so kurz und knapp wie das eben mit von der EU stammenden Datenschutzrichtlinien möglich ist.

DSGVO? GDPR? WTF!

Bevor man die EU und ihren Regulierungswahn verteufelt, sollte man wissen, dass aktuelle Datenschutzfragen in der EU entweder von nationalen Gesetzen gesteuert werden oder in der bereits 23 Jahre alten Richtlinie 95/46/EG (Datenschutzrichtlinie) verankert sind – nicht sehr zeitgemäß oder? Die Datenschutz-Grundverordnung (DSGVO) oder – subjektiv etwas weniger sperrig – General Data Protection Regulation (GDPR) soll dies nun stellenweise ändern. Doch was sind nun eigentlich Gegenstand und Ziele der DSGVO?

So steht im ersten Artikel der DSGVO:

  1. Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
  2. Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.
  3. Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.

Kurz: Privatpersonen erhalten nun mehr Zugriff auf den Umgang von Daten durch Unternehmen. Anders als bei der Richtlinie 95/46/EG richtet sich der räumliche Anwendungsbereich übrigens nach dem Marktortprinzip: Dort wo innerhalb der EU personenbezogene Daten aufgrund von Angeboten von Dienstleistungen/Produkte erhoben werden, gilt die DSGVO. Die neue Richtlinie richtet sich also (besonders) auch an große amerikanische Unternehmen, wie Facebook, Google oder Amazon.

So viel zur Theorie und zur Frage „Was ist die DSGVO?“. Wer gerne etwas mehr von der DSGVO lesen möchte, der findet

  • hier den kompletten Gesetzestext
  • und hier den kompletten Gesetzestext für nicht Justiziare erklärt.

…und wie sieht das praktisch aus?

Höchstwahrscheinlich existieren im eigenen Unternehmen Systeme, die Kundendaten speichern. Präferiert sind das beispielsweise CRM- oder Marketing-Automation-Systeme. Die praktische Umsetzung der DSGVO unterscheidet sich natürlich von System zu System. Dabei unterscheidet sich auch die Vorbereitung der einzelnen Systemhersteller auf den Tag X. Salesforce beispielsweise arbeitet seit mehreren Monaten an der Umsetzung der DSGVO in sämtlichen Cloud-Produkten und hat bereits angefangen alle Partner zu schulen.

Aber ob Salesforce, Microsoft, SAP, CAS oder welches System auch immer: Die DSGVO gibt einige Grundprinzipien vor, anhand derer man sein System auf den 25. Mai vorbereiten kann:

  • „Hol dir meine Einwilligung!“: Personenbezogene Daten sollen verarbeitet werden? Dafür braucht es die Einwilligung des Kunden, die übrigens nachgewiesen und damit systemseitig gespeichert werden muss.
  • „Hör auf meine Daten zu verarbeiten!“: Kunden können nun fordern, dass Unternehmen die Verarbeitung der personenbezogenen Daten stoppen müssen. Damit ist keine Löschung gemeint.
  • „Lösche meine Daten!“: Oder auch „Das Recht auf Vergessenwerden“ besagt, dass personenbezogene Daten unverzüglich gelöscht werden müssen.
  • „Gib mir meine Daten!“: Sind eigene personenbezogene Daten beispielsweise bei einem Unternehmen gespeichert, hat man das Recht auf „Portabilität“. Man kann also verlangen, dass die eigenen Daten „in einem strukturierten, gängigen und maschinenlesebaren Format“ übergeben werden.
  • „Berichtige meine Daten!“: Betroffene Personen können über die Berichtigung von personenbezogenen Daten aufklären… und diese Änderungen müssen dann umgesetzt werden. Das klingt zwar simpel aber die wenigsten Unternehmen werden dafür schon einen fertigen Prozess in der Schublade haben.

Dazu kommen noch weitere Anforderungen, wie beispielsweise die Pseudonymisierung und Verschlüsselung personenbezogener Daten. Das Problem ist nicht, dass moderne Systeme diese Anforderungen nicht erfüllen könnten. Nein. Viel mehr bedarf die DSGVO neuer Prozesse im Unternehmen und einen teilweise erweiterten Kreis von Personen, die sich um den Datenschutz kümmern.

Da muss jeder durch…

Was mich getröstet hat, als ich am 23. Dezember komplett verzweifelt durch das Kaufhaus gerannt bin? Ich war nicht allein! Gleiches gilt für die DSGVO. Hier muss jedes Unternehmen durch. Ansonsten drohen empfindliche Strafen. Den Sanktionskatalog der DSGVO findet man in Artikel 83. Je nachdem gegen was man wie hart verstößt, drohen Strafen von bis zu 20 Millionen Euro oder 4 Prozent des gesamten weltweit erzielten Jahresumsatzes – die Strafen können also durchaus existenzbedrohend sein.

Aber keine Angst: Die EU hat nicht die Absicht Unternehmen reihenweise in die Insolvenz zu befördern. Es wird zwar viel Angst verbreitet, doch kann man davon ausgehen, dass die EU Unternehmen noch eine längere Galgenfrist geben wird und Strafen, falls diese verhängt werden müssen, nicht gleich mit dem Maximum der im Artikel 83 enthaltenen Forderungen ahndet.

Nicht falsch verstehen: Die Zeit in der man sagen kann „Ach, da hab ich ja noch Zeit“ ist vorbei. Heute ist – um die Analogie zu vollenden – zwar noch nicht der 23., aber der 22. Dezember. Zeit sich also wirklich konkret mit der DSGVO zu beschäftigen. Die dotSource unterstützt übrigens dabei: Wir schauen uns Prozesse und Systeme gerne an und helfen bei der Umsetzung der DSGVO, beispielsweise mit Hilfe von Salesforce, SAP oder Microsoft. Unsere fitten Datenschutz-Liebhaber können hier erreicht werden.

(4 Bewertung(en), Schnitt: 5,00 von 5)
Loading...