Ist die Schonzeit vorbei? Im Mai 2018 endete die Übergangsfrist der EU-DSGVO, die den Schutz von personenbezogenen Daten verbessern soll. Nach anfänglicher Milde der Behörden häufen sich nun die Straffälle, bei denen Unternehmen wegen Verstößen gegen die Verordnung zur Kasse gebeten werden. Viele tun sich offensichtlich noch schwer, die DSGVO konsequent umzusetzen. Lösungen wie das Enterprise Information Management (EIM) helfen bei der Einhaltung.
Im November 2018 war es soweit: In Baden-Württemberg wurde das bundesweit erste Bußgeld wegen eines Verstoßes gegen die EU-Datenschutzgrundverordnung (DSGVO) verhängt. Es traf knuddels.de, ein Unternehmen, das sein Geld hauptsächlich mit einem Chat-Angebot für Kinder- und Jugendliche verdient. 20.000 Euro musste die Firma zahlen, weil sie gehackt worden war und Passwörter von Nutzern unverschlüsselt gespeichert hatte. Rund ein halbes Jahr vorher, am 25. Mai 2018, war die Übergangszeit abgelaufen. Seitdem können Strafen fällig werden, wenn personenbezogene Daten nicht ausreichend geschützt werden.
Ebenfalls in Baden-Württemberg wurde die bis dato höchste Strafe in Deutschland fällig. Dort wurden einem Unternehmen 80.000 Euro Strafe aufgebrummt, weil es Gesundheitsdaten nicht ausreichend geschützt hatte. Diese wurden gestohlen und tauchten im Netz wieder auf.
Ist die Schonfrist nun vorbei? Bei Stefan Brink, Landesbeauftragter für Datenschutz in Baden-Württemberg, klang es sehr danach, als er im SWR verkündete: „2019 wird das Jahr der Kontrollen.“ Fest steht: Die Straffälle wegen Verstößen gegen die DSGVO häufen sich – nicht nur in Baden-Württemberg. Die meisten geahndeten Verstöße gab es bislang in NRW. Wie das Handelsblatt berichtet, seien diese ganz unterschiedlicher Natur gewesen: Von unzulässigen Werbemails über mitgeschnit-tene Telefonate bis hin zu offenen E-Mail-Verteilern.
Komplexe Herausforderungen beim Datenmanagement
Die Fälle zeigen: Auch wenn die mediale Debatte der DSGVO im vergangenen Jahr eine hohe Aufmerksamkeit verschafft hat, gibt es bei vielen Unternehmen offenbar noch immer Nachholbedarf. Doch wie können diese die Voraussetzungen schaffen, den Herausforderungen in Bezug auf den Schutz von personenbezogenen Daten Herr zu werden?
Die DSGVO schreibt vor zu dokumentieren, welche personenbezogenen Daten warum und wann gespeichert oder gelöscht wurden und wie mit diesen im laufenden Betrieb umgegangenen wird. Bei Bedarf müssen diese Informationen an die betroffene Person ausgehändigt werden können. Unternehmen müssen zudem dokumentieren, welche Schutzmechanismen hierfür bestehen sowie die Frage klären, wer dafür verantwortlich ist und mit diesen Daten arbeitet.
Es liegt auf der Hand, dass die Umsetzung der DSGVO nicht von einem Tag auf den anderen zu bewerkstelligen ist. Unternehmen müssen die Anpassung ihrer Prozesse strategisch angehen.
EIM-Lösungen helfen bei der Umsetzung
Im Mittelpunkt steht dabei zunächst die Frage: Im Rahmen welcher Prozesse werden überhaupt personenbezogene Daten erfasst und wie wird mit diesen umgegangen? Grundsätzlich sind Unternehmen gut beraten, unnötige Datenhaltung zu vermeiden. Es sollten nur die Daten verarbeitet werden, die tatsächlich unverzichtbar sind.
Die wesentlichen Anforderungen der DSGVO hängen indes mit Zugriffsrechten, der Verfügbarkeit und Revisionssicherheit von Daten und Informationen zusammen. Moderne Software für das Enterprise Information Management (EIM) können dabei helfen, die Anforderungen zu erfüllen. Mittels einer solchen Lösung ist es möglich, Dokumente und Daten zuverlässig und mit geringem Aufwand zu verwalten.
Doch was verlangt die DSGVO konkret? Laut der Verordnung müssen personenbezogenen Daten u. a. von einem Unternehmen gelöscht werden, sobald deren Speicherung nicht mehr notwendig ist. Das Problem: Gesetzliche Aufbewahrungspflichten, beispielsweise im Kontext der GoBD, können einer Löschung im Wege stehen.
Ein EIM-System hilft bei der dazugehörigen Verwaltung von Aufbewahrungs-, Lösch- oder Sperrfristen. Beispielsweise können Vertragsfristen oder die Löschfristen von Bewerbungsunterlagen leicht überwacht und entsprechende Dokumente zum richtigen Zeitpunkt vernichtet werden, etwa mithilfe einer Erinnerungsfunktion.
Mit einem EIM-System lässt sich zudem festlegen, wer Zugriff auf welche Informationen und Dokumente hat. Es wird gewährleistet, dass personenbezogene Daten strukturiert abgelegt werden. Eine strategische Rechtevergabe trägt dazu bei, sensible Informationen vor dem Zugriff unberechtigter Dritter zu schützen.
Zentrale EIM-Funktionen bei der Umsetzung der DSGVO:
- Dokumente und Daten mit Lösch-, Sperr- und Aufbewahrungsfristen versehen
- komfortable Umsetzung von Löschkonzepten
- Sichtbarkeitsregeln für einzelne Benutzer oder Rollen festlegen (z.B. Vertrieb oder Geschäftsführung)
- Berechtigungskonzepte erstellen, die bei der Einhaltung der Zweckbindung oder der Datenminimierung unterstützen
Wichtig ist festzuhalten, dass die Einführung einer EIM-Lösung allein nicht genügt, um beim Datenschutz auf der sicheren Seite zu sein. Mit entsprechender Software haben Unternehmen zwar das richtige Werkzeug zur Hand, doch muss dieses auch zielgerichtet eingesetzt werden. Auch die Verbindung ERP und DSGVO ist von großer Bedeutung, da sie Unternehmen dabei unterstützt, effiziente Geschäftsprozesse zu etablieren und gleichzeitig die Datenschutzbestimmungen einzuhalten. Denn welche Daten wie geschützt werden müssen, hängt stark vom jeweiligen Unternehmen ab. Daher muss im Vorfeld eine Analyse durchgeführt werden, die die wichtigsten Fragen beantwortet: Welche Daten und Informationen liegen vor und in welchen Szenarien werden sie genutzt? Es folgt eine Risikobewertung, bei der festgelegt wird, welche Daten in welchem Umfang zu schützen sind. Idealerweise setzen Unternehmen in dieser Phase auf Experten, die nicht nur die Technologie-Basis mitbringen, sondern die Umsetzung der Vorschriften Schritt für Schritt mit tiefgreifendem Know-how begleiten.