EU-DSGVO Interview
Bild: DSAG
DSAG-Vorstand Österreich Wolfgang Honold
Bild: DSAG

Interview - Wolfgang Honold, DSAG

EU-DSGVO: Dokumentation ist A&O

Wolfgang Honold, DSAG-Vorstand Österreich, beschreibt im Interview, was die EU-Datenschutzgrundverordnung für Unternehmen bedeutet und gibt erste Empfehlungen zur Umsetzung.

Wie ein Damoklesschwert schwebt der 25.05.2018 über den Häuptern vieler Unternehmen. Denn mit diesem Stichtag tritt die EU-Datenschutzgrundverordnung (EU-DSGVO) in Kraft. Unternehmen, die personenbezogene Daten nutzen, müssen dann dieser Verordnung entsprechen und deren Anforderungen – etwa bei der SAP-Nutzung – ausreichend und nachweisbar berücksichtigen. Betroffen sind Unternehmen jeder Größe, die personenbezogene Daten erheben, speichern und verarbeiten. Die Deutschsprachige SAP-Anwendergruppe e.V. (DSAG), eine unabhängige Interessenvertretung aller SAP-Anwender in Deutschland, Österreich und der Schweiz, hat es sich zur Aufgabe gemacht, Unternehmen dabei zu unterstützen, ein EU-DSGVO-konformes SAP-System sicherzustellen. Im Interview beschreibt Wolfgang Honold, DSAG-Vorstand Österreich, was die EU-Datenschutzgrundverordnung für Unternehmen bedeutet und gibt erste Empfehlungen zur Umsetzung.

Herr Honold, warum ist die EU-Datenschutzgrundverordnung für die DSAG ein relevantes Thema?

Mit 99 Artikeln und 173 Erwägungsgründen, die alle beachtet werden müssen, braucht die EU-Datenschutzgrundverordnung einfach eine lange Vorbereitungszeit. Das ist natürlich auch vielen unserer Mitgliedsunternehmen bewusst und sorgt für entsprechende Sensibilität. Unsere Mitglieder erwarten in diesem Zusammenhang einerseits von SAP die uneingeschränkte Einhaltung der Vorschriften und erhoffen sich von SAP und durch den Austausch innerhalb der DSAG wichtige Hinweise und Tipps für ihre eigenen Datenschutzprojekte.

Was bedeutet die EU-Datenschutzgrundverordnung konkret für DSAG-Mitgliedsunternehmen?

Zunächst bedeutet die EU-DSGVO, dass Unternehmen stärker zur Verantwortung gezogen werden im Hinblick auf den Nachweis der Rechtskonformität der Verarbeitung von personenbezogenen Daten und die Datensicherheit. Gleichzeitig bringt die EU-DSGVO umfangreichere Rechenschaftspflichten mit sich. Leider steigen jedoch auch die Bußgelder bei Verstoß. Je nach dem, gegen welche Norm ein Unternehmen verstößt, können künftig Bußgelder in Höhe von bis zu 10 Mio. Euro bzw. bis zu zwei Prozent oder von 20 Millionen Euro bzw. von bis zu vier Prozent des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres fällig werden. Für solche Summen können die meisten Unternehmen nicht mal eben Rückstellungen bilden. Umso wichtiger ist es, sich mit der EU-DSGVO auseinanderzusetzen.

Worin sehen Sie die größten Herausforderungen für die Unternehmen?

In der strengeren Nachweispflicht. Sie erfordert eine sorgfältige Dokumentation aller Datenschutzaktivitäten. Darunter fällt zum Beispiel, dass alle Unternehmensprozesse und Datenströme erfasst und bewertet werden müssen. Gleichermaßen müssen Nachweise über regelmäßige Maßnahmen zur Datenschutzsensibilisierung erbracht werden und Kontrollen eingeführt werden. Und für diejenigen, die ihr System nicht im Standard betrieben haben, wird es doppelt hart. Sie müssen alle Non-Standard-Prozesse, Reports und Modifikationen extra auditieren und analysieren. Eine weitere Herausforderung ergibt sich durch das notwendige Löschkonzept.

Inwiefern?

Für viele Unternehmen war das Löschen von Daten schon immer ein Problem. Noch größer wird das Problem jetzt durch die erweiterten und in einem gesonderten Artikel beschriebenen Löschpflichten und Informationspflichten an die Betroffenen, denen zukünftig die Speicherdauer mitzuteilen sind. Viele Unternehmen wissen aufgrund der Komplexität von modernen IT-Services gar nicht mehr, wo sich ihre Kundendaten genau befinden. Hier muss also vielerorts erst einmal aufgearbeitet werden. Zusätzlich erschwert wird das Löschen der Daten durch die unterschiedlichen Fristen, die es für die Speicherung verschiedener Daten gibt. Diese müssen in einem Löschkonzept natürlich auch berücksichtigt werden.

Bringt das neue Gesetz auch Vorteile mit sich?

Ja, die EU-DSGVO erleichtert den Datenaustausch innerhalb einer Unternehmensgruppe – zumindest dann, wenn zwischen den Unternehmen ein angemessenes Datenschutzniveau erreicht ist, zum Beispiel durch gruppeninterne, vertragliche Regelungen. Dann lassen sich künftig Arbeitnehmerdaten leichter austauschen als bisher.

Was raten Sie DSAG-Mitgliedsunternehmen, die die EU-DSGVO bisher noch nicht umgesetzt haben?

Die Zeit drängt und die Unternehmen müssen aktiv werden. Doch übereilt werden sollte hier auch nichts. Zunächst sollten Unternehmen einen Maßnahmenplan erarbeiten.

Wie könnte dieser Maßnahmenplan aussehen?

Der erste Schritt zum EU-DSGVO-konformen System ist eine Bestandsaufnahme in Bezug auf die Einhaltung heute noch bestehender Datenschutzgesetze und auf die DSGVO. Diese Erfassung des Ist-Zustands dient als Basis auf dem Weg zum Soll-Zustand, dem DSGVO-konformen Umgang mit Daten. Sie umfasst bestenfalls neben der Analyse der Geschäftsprozesse und der involvierten IT-Systeme die Identifikation aller neben der DSGVO relevanten Rechtsnormen. Je nach Branche können sich hier Besonderheiten ergeben. Aus den Ergebnissen heraus ergibt sich der Maßnahmenplan, dessen Umsetzung bis zum Stichtag abgeschlossen sein sollte.

Was ist noch wichtig bei der Umsetzung der EU-DSGVO?

Unternehmen müssen klären, wo die Verantwortlichkeit liegt. Es hilft nicht, wenn die Personalabteilung oder der Datenschutzbeauftragte den schwarzen Peter der Verantwortung zugeschoben bekommen. Es sollte stattdessen ein Datenschutzmanagement durch Verantwortliche in den Prozessen etabliert werden. Außerdem müssen die Fachbereiche mit ins Boot geholt werden. Sie müssen feststellen, ob in ihren Bereichen rechtskonform gehandelt wird und die Prozesse die datenschutzrechtlichen Anforderungen erfüllen. Das ist nicht die Aufgabe des Datenschutzbeauftragten. Der Datenschutzbeauftragte ist für die Strategieabstimmung zuständig, berät und überwacht. Er kann jedoch keine operative Verantwortung tragen.

Welche Rolle spielt die Dokumentation?

Dokumentation ist das A&O. Vielen Unternehmen erscheint das Thema lästig, müssen sie doch Datenschutzmaßnahmen nicht nur umsetzen, sondern die Umsetzung und deren Kontrolle auch noch dokumentieren. Doch solche Dokumentationen prüft die Aufsichtsbehörde. Und wenn es einmal zu einer Datenschutzverletzung kommt, ist es umso wichtiger, dass die Dokumentation vollständig verfügbar ist.

Zusammengefasst: Womit steht und fällt die erfolgreiche Umsetzung der EU-DSGVO?

Hier spielen mehrere Faktoren eine Rolle. Angefangen mit einem gründlichen Projektmanagement und der frühzeitigen Einbindung aller betroffenen Geschäftsbereiche. Eine Hürde können Geschäftsführung und Vorstand sein. Hier bedarf es in der Regel insbesondere bei der datenschutzrechtlichen Pflicht zur Löschung etwas Erklärungsarbeit. Ist die geleistet, wären die nächsten Schritte eine ausführliche Datenanalyse und die Erarbeitung einer nachvollziehbaren Struktur, die später als Konzept zum Nachweis gegenüber den Prüfungsbehörden dient. Zum Schluss müssen die Betroffenen noch einen soliden Implementierungsplan erstellen und behält man dann noch die Meilensteine im Blick, sollte die Umsetzung der EU-DSGVO gelingen.

Wie unterstützt die DSAG ihre österreichischen Mitglieder dabei?

Zum einen haben unsere Mitglieder im DSAGNet die Möglichkeit, sich untereinander auszutauschen und von bereits gemachten Erfahrungen zu profitieren. Es gibt außerdem eine eigene DSAG-Arbeitsgruppe, die sich mit dem Thema beschäftigt. Zum anderen hat die DSAG unter www.dsag.de/eu-dsgvo eine Landingpage erstellt, auf der relevante Informationen und Links rund um die EU-DSGVO aufgeführt werden. Und aufgrund der Brisanz des Themas haben wir am 14.09.2017 in den Räumlichkeiten von SAP Österreich in Wien eine halbtägige Veranstaltung ins Leben gerufen. Dort erhalten Teilnehmer konkrete Tipps zum Umgang mit der EU-DSGVO. Sie erfahren, wie Unternehmen ein EU-DSGVO-konformes SAP-System sicherstellen können und können gesetzliche Grundlagen und mögliche betriebliche Vorbereitungsszenarien diskutieren.

Info: Zum Thema "EU-DSGVO" hat monitor.at für Sie zahlreiche Artikel unter diesem Link gesammelt.

Mehr Artikel zum Thema: EU-DSGVO Interview

EU-DSGVO: Mögliche rechtliche Konsequenzen für KMU

Die EU meint es mit der DSGVO und dem Datenschutz wirklich...

Weiterlesen

DSGVO-Software aus dem Burgenland

Im Rahmen des sechsmonatigen Projektes DAFAPO (Datenschutz |...

Weiterlesen

EU-DSGVO: Chancenreiches Damoklesschwert

Die Europäische Datenschutzgrundverordnung hängt wie ein...

Weiterlesen

In 12 Stufen zur EU-DSGVO

Ab dem 25. Mai 2018 ist die EU-Datenschutz-Grundverordnung...

Weiterlesen

Das Ziel ist, die User zu beschützen

Ist es für einen IT-Security-Anbieter ein Vor- oder ein...

Weiterlesen

EU-Datenschutz-Grundverordnung als Chance sehen

Der Countdown für die Umsetzung der EU-DSGVO läuft. Knapp 60...

Weiterlesen

Werden Sie dem künftigen Datenschutz gerecht?

In weniger als einem Jahr wird das neue, europaweit geltende...

Weiterlesen

Viren sind keine Magie

Juraj Malcho ist der Chief Technology Officer von ESET. Wir...

Weiterlesen

DSGVO wird zur Zerreißprobe

Weniger als die Hälfte der Unternehmen hat einen konkreten...

Weiterlesen

Post gibt Tipps zur DSGVO-Umsetzung

Die EU-Datenschutz-Grundverordnung kommt in Riesenschritten...

Weiterlesen

"Das Wichtigste ist: Probier‘s aus!"

Wie so oft stand am Anfang eine Entscheidung: Praktikum bei...

Weiterlesen

Die letzten Datenschutz-Einhörner gibt es noch

In einigen Branchen gibt es letzte Einhörner, die sich noch...

Weiterlesen

S&T und LGP laden zu DSGVO-Infoveranstaltung

S&T und LANSKY, GANZGER + partner laden am 24. Oktober 2017...

Weiterlesen

EU-DSGVO gilt auch für die Kleinsten

Von der neuen Datenschutzgrundverordnung der EU sind nicht...

Weiterlesen

"Digitale Transformation ist nicht die Zukunft, sondern jetzt"

"Arbeiten ist kein Ort, sondern ein Zustand den ich an- und...

Weiterlesen

Was macht einen Kunden loyal?

Es gibt keine zweite Chance für einen guten ersten Eindruck....

Weiterlesen

Software-Lösung für DSGVO-Umsetzung

Die Software Intervalid 1.0 nimmt nicht nur bei der...

Weiterlesen

Wie nimmt man die Mannschaft auf die Reise mit?

Viele IT-Unternehmen haben sich in den letzten Jahren stark...

Weiterlesen

Chaos muss man sich erst leisten wollen

Karl Grün ist Director Development bei Austrian Standards....

Weiterlesen