EU-DSGVO Interview
Bild: DSAG
DSAG-Vorstand Österreich Wolfgang Honold
Bild: DSAG

Interview - Wolfgang Honold, DSAG

EU-DSGVO: Dokumentation ist A&O

Wolfgang Honold, DSAG-Vorstand Österreich, beschreibt im Interview, was die EU-Datenschutzgrundverordnung für Unternehmen bedeutet und gibt erste Empfehlungen zur Umsetzung.

Wie ein Damoklesschwert schwebt der 25.05.2018 über den Häuptern vieler Unternehmen. Denn mit diesem Stichtag tritt die EU-Datenschutzgrundverordnung (EU-DSGVO) in Kraft. Unternehmen, die personenbezogene Daten nutzen, müssen dann dieser Verordnung entsprechen und deren Anforderungen – etwa bei der SAP-Nutzung – ausreichend und nachweisbar berücksichtigen. Betroffen sind Unternehmen jeder Größe, die personenbezogene Daten erheben, speichern und verarbeiten. Die Deutschsprachige SAP-Anwendergruppe e.V. (DSAG), eine unabhängige Interessenvertretung aller SAP-Anwender in Deutschland, Österreich und der Schweiz, hat es sich zur Aufgabe gemacht, Unternehmen dabei zu unterstützen, ein EU-DSGVO-konformes SAP-System sicherzustellen. Im Interview beschreibt Wolfgang Honold, DSAG-Vorstand Österreich, was die EU-Datenschutzgrundverordnung für Unternehmen bedeutet und gibt erste Empfehlungen zur Umsetzung.

Herr Honold, warum ist die EU-Datenschutzgrundverordnung für die DSAG ein relevantes Thema?

Mit 99 Artikeln und 173 Erwägungsgründen, die alle beachtet werden müssen, braucht die EU-Datenschutzgrundverordnung einfach eine lange Vorbereitungszeit. Das ist natürlich auch vielen unserer Mitgliedsunternehmen bewusst und sorgt für entsprechende Sensibilität. Unsere Mitglieder erwarten in diesem Zusammenhang einerseits von SAP die uneingeschränkte Einhaltung der Vorschriften und erhoffen sich von SAP und durch den Austausch innerhalb der DSAG wichtige Hinweise und Tipps für ihre eigenen Datenschutzprojekte.

Was bedeutet die EU-Datenschutzgrundverordnung konkret für DSAG-Mitgliedsunternehmen?

Zunächst bedeutet die EU-DSGVO, dass Unternehmen stärker zur Verantwortung gezogen werden im Hinblick auf den Nachweis der Rechtskonformität der Verarbeitung von personenbezogenen Daten und die Datensicherheit. Gleichzeitig bringt die EU-DSGVO umfangreichere Rechenschaftspflichten mit sich. Leider steigen jedoch auch die Bußgelder bei Verstoß. Je nach dem, gegen welche Norm ein Unternehmen verstößt, können künftig Bußgelder in Höhe von bis zu 10 Mio. Euro bzw. bis zu zwei Prozent oder von 20 Millionen Euro bzw. von bis zu vier Prozent des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres fällig werden. Für solche Summen können die meisten Unternehmen nicht mal eben Rückstellungen bilden. Umso wichtiger ist es, sich mit der EU-DSGVO auseinanderzusetzen.

Worin sehen Sie die größten Herausforderungen für die Unternehmen?

In der strengeren Nachweispflicht. Sie erfordert eine sorgfältige Dokumentation aller Datenschutzaktivitäten. Darunter fällt zum Beispiel, dass alle Unternehmensprozesse und Datenströme erfasst und bewertet werden müssen. Gleichermaßen müssen Nachweise über regelmäßige Maßnahmen zur Datenschutzsensibilisierung erbracht werden und Kontrollen eingeführt werden. Und für diejenigen, die ihr System nicht im Standard betrieben haben, wird es doppelt hart. Sie müssen alle Non-Standard-Prozesse, Reports und Modifikationen extra auditieren und analysieren. Eine weitere Herausforderung ergibt sich durch das notwendige Löschkonzept.

Inwiefern?

Für viele Unternehmen war das Löschen von Daten schon immer ein Problem. Noch größer wird das Problem jetzt durch die erweiterten und in einem gesonderten Artikel beschriebenen Löschpflichten und Informationspflichten an die Betroffenen, denen zukünftig die Speicherdauer mitzuteilen sind. Viele Unternehmen wissen aufgrund der Komplexität von modernen IT-Services gar nicht mehr, wo sich ihre Kundendaten genau befinden. Hier muss also vielerorts erst einmal aufgearbeitet werden. Zusätzlich erschwert wird das Löschen der Daten durch die unterschiedlichen Fristen, die es für die Speicherung verschiedener Daten gibt. Diese müssen in einem Löschkonzept natürlich auch berücksichtigt werden.

Bringt das neue Gesetz auch Vorteile mit sich?

Ja, die EU-DSGVO erleichtert den Datenaustausch innerhalb einer Unternehmensgruppe – zumindest dann, wenn zwischen den Unternehmen ein angemessenes Datenschutzniveau erreicht ist, zum Beispiel durch gruppeninterne, vertragliche Regelungen. Dann lassen sich künftig Arbeitnehmerdaten leichter austauschen als bisher.

Was raten Sie DSAG-Mitgliedsunternehmen, die die EU-DSGVO bisher noch nicht umgesetzt haben?

Die Zeit drängt und die Unternehmen müssen aktiv werden. Doch übereilt werden sollte hier auch nichts. Zunächst sollten Unternehmen einen Maßnahmenplan erarbeiten.

Wie könnte dieser Maßnahmenplan aussehen?

Der erste Schritt zum EU-DSGVO-konformen System ist eine Bestandsaufnahme in Bezug auf die Einhaltung heute noch bestehender Datenschutzgesetze und auf die DSGVO. Diese Erfassung des Ist-Zustands dient als Basis auf dem Weg zum Soll-Zustand, dem DSGVO-konformen Umgang mit Daten. Sie umfasst bestenfalls neben der Analyse der Geschäftsprozesse und der involvierten IT-Systeme die Identifikation aller neben der DSGVO relevanten Rechtsnormen. Je nach Branche können sich hier Besonderheiten ergeben. Aus den Ergebnissen heraus ergibt sich der Maßnahmenplan, dessen Umsetzung bis zum Stichtag abgeschlossen sein sollte.

Was ist noch wichtig bei der Umsetzung der EU-DSGVO?

Unternehmen müssen klären, wo die Verantwortlichkeit liegt. Es hilft nicht, wenn die Personalabteilung oder der Datenschutzbeauftragte den schwarzen Peter der Verantwortung zugeschoben bekommen. Es sollte stattdessen ein Datenschutzmanagement durch Verantwortliche in den Prozessen etabliert werden. Außerdem müssen die Fachbereiche mit ins Boot geholt werden. Sie müssen feststellen, ob in ihren Bereichen rechtskonform gehandelt wird und die Prozesse die datenschutzrechtlichen Anforderungen erfüllen. Das ist nicht die Aufgabe des Datenschutzbeauftragten. Der Datenschutzbeauftragte ist für die Strategieabstimmung zuständig, berät und überwacht. Er kann jedoch keine operative Verantwortung tragen.

Welche Rolle spielt die Dokumentation?

Dokumentation ist das A&O. Vielen Unternehmen erscheint das Thema lästig, müssen sie doch Datenschutzmaßnahmen nicht nur umsetzen, sondern die Umsetzung und deren Kontrolle auch noch dokumentieren. Doch solche Dokumentationen prüft die Aufsichtsbehörde. Und wenn es einmal zu einer Datenschutzverletzung kommt, ist es umso wichtiger, dass die Dokumentation vollständig verfügbar ist.

Zusammengefasst: Womit steht und fällt die erfolgreiche Umsetzung der EU-DSGVO?

Hier spielen mehrere Faktoren eine Rolle. Angefangen mit einem gründlichen Projektmanagement und der frühzeitigen Einbindung aller betroffenen Geschäftsbereiche. Eine Hürde können Geschäftsführung und Vorstand sein. Hier bedarf es in der Regel insbesondere bei der datenschutzrechtlichen Pflicht zur Löschung etwas Erklärungsarbeit. Ist die geleistet, wären die nächsten Schritte eine ausführliche Datenanalyse und die Erarbeitung einer nachvollziehbaren Struktur, die später als Konzept zum Nachweis gegenüber den Prüfungsbehörden dient. Zum Schluss müssen die Betroffenen noch einen soliden Implementierungsplan erstellen und behält man dann noch die Meilensteine im Blick, sollte die Umsetzung der EU-DSGVO gelingen.

Wie unterstützt die DSAG ihre österreichischen Mitglieder dabei?

Zum einen haben unsere Mitglieder im DSAGNet die Möglichkeit, sich untereinander auszutauschen und von bereits gemachten Erfahrungen zu profitieren. Es gibt außerdem eine eigene DSAG-Arbeitsgruppe, die sich mit dem Thema beschäftigt. Zum anderen hat die DSAG unter www.dsag.de/eu-dsgvo eine Landingpage erstellt, auf der relevante Informationen und Links rund um die EU-DSGVO aufgeführt werden. Und aufgrund der Brisanz des Themas haben wir am 14.09.2017 in den Räumlichkeiten von SAP Österreich in Wien eine halbtägige Veranstaltung ins Leben gerufen. Dort erhalten Teilnehmer konkrete Tipps zum Umgang mit der EU-DSGVO. Sie erfahren, wie Unternehmen ein EU-DSGVO-konformes SAP-System sicherstellen können und können gesetzliche Grundlagen und mögliche betriebliche Vorbereitungsszenarien diskutieren.

Info: Zum Thema "EU-DSGVO" hat monitor.at für Sie zahlreiche Artikel unter diesem Link gesammelt.

Mehr Artikel zum Thema: EU-DSGVO Interview

85% verpassen DSGVO-Deadline

Obwohl die Regulierung in einer Woche anwendbar wird,...

Weiterlesen

nic.at beschränkt Whois-Abfragen

In Hinblick auf die DSGVO hat die Domain-Registry nic.at...

Weiterlesen

LCM: Geburtshelfer für innovative Ideen

Die klugen Köpfe der Linz Center of Mechatronics GmbH...

Weiterlesen

Die Digitalisierungs-Reise der SVA

Die Sozialversicherungsanstalt der gewerblichen Wirtschaft...

Weiterlesen

Das Netzwerk sieht alles

Was haben moderne Netzwerke mit Gehirnen, heißen Herdplatten...

Weiterlesen

DSGVO & Co.: Wer nicht verschlüsselt, ist selber schuld

Nichts erfreut Hacker und Datendiebe mehr als der Zugriff...

Weiterlesen

Kein Freibrief für Datenschutzverstöße

Wir haben den Rechtsanwalt Gerald Ganzger gefragt, welche...

Weiterlesen

DSGVO: Ein zahnloser Löwe?

Knapp einen Monat vor dem Stichtag der EU-DSGVO am 25. Mai...

Weiterlesen

DSAG löst Datenschutz-Fragezeichen

Es soll immer noch Unternehmen geben, die im freien Fall auf...

Weiterlesen

"Das ist ein Wahnsinn"

"Wir brauchen drei bis sechs Monate, um gute Leute auf...

Weiterlesen

Aus Security-Sicht ein Horror

Die Ergebnisse des jährlichen Breach Level Index von Gemalto...

Weiterlesen

Datenschutz bei der DSAG

Die EU-Datenschutz-Grundverordnung (EU-DSGVO) macht auch vor...

Weiterlesen

EU-DSGVO: Was ist noch machbar?

Die neue Datenschutz-Grundverordnung der EU steht...

Weiterlesen

DRACOON ist EU-DSGVO-ready

DRACOON, Experte im Bereich Enterprise Filesharing, erhält...

Weiterlesen

EU-Datenschutz-Grundverordnung: Die Zeit wird knapp

Die neue Datenschutz-Grundverordnung gilt ab 25. Mai 2018 in...

Weiterlesen

Nicht jammern, sondern etwas tun

Das in Linz gegründete Unternehmen Dynatrace zählt zu den...

Weiterlesen

"Wir sind Dienstleister und Schnittstelle"

Als Bundesministerin für Digitalisierung und...

Weiterlesen

EU-DSGVO und die Cloud: Wer trägt welche Verantwortung?

Cloud-Computing ist kein Trend, sondern schlicht die nächste...

Weiterlesen

Orientierung im DSGVO-Dickicht

Das IT-Systemhaus NAVAX und VACE IT & SECURITY SERVICES...

Weiterlesen