EU-DSGVO Interview
Bild: DSAG
DSAG-Vorstand Österreich Wolfgang Honold
Bild: DSAG

Interview - Wolfgang Honold, DSAG

EU-DSGVO: Dokumentation ist A&O

Wolfgang Honold, DSAG-Vorstand Österreich, beschreibt im Interview, was die EU-Datenschutzgrundverordnung für Unternehmen bedeutet und gibt erste Empfehlungen zur Umsetzung.

Wie ein Damoklesschwert schwebt der 25.05.2018 über den Häuptern vieler Unternehmen. Denn mit diesem Stichtag tritt die EU-Datenschutzgrundverordnung (EU-DSGVO) in Kraft. Unternehmen, die personenbezogene Daten nutzen, müssen dann dieser Verordnung entsprechen und deren Anforderungen – etwa bei der SAP-Nutzung – ausreichend und nachweisbar berücksichtigen. Betroffen sind Unternehmen jeder Größe, die personenbezogene Daten erheben, speichern und verarbeiten. Die Deutschsprachige SAP-Anwendergruppe e.V. (DSAG), eine unabhängige Interessenvertretung aller SAP-Anwender in Deutschland, Österreich und der Schweiz, hat es sich zur Aufgabe gemacht, Unternehmen dabei zu unterstützen, ein EU-DSGVO-konformes SAP-System sicherzustellen. Im Interview beschreibt Wolfgang Honold, DSAG-Vorstand Österreich, was die EU-Datenschutzgrundverordnung für Unternehmen bedeutet und gibt erste Empfehlungen zur Umsetzung.

Herr Honold, warum ist die EU-Datenschutzgrundverordnung für die DSAG ein relevantes Thema?

Mit 99 Artikeln und 173 Erwägungsgründen, die alle beachtet werden müssen, braucht die EU-Datenschutzgrundverordnung einfach eine lange Vorbereitungszeit. Das ist natürlich auch vielen unserer Mitgliedsunternehmen bewusst und sorgt für entsprechende Sensibilität. Unsere Mitglieder erwarten in diesem Zusammenhang einerseits von SAP die uneingeschränkte Einhaltung der Vorschriften und erhoffen sich von SAP und durch den Austausch innerhalb der DSAG wichtige Hinweise und Tipps für ihre eigenen Datenschutzprojekte.

Was bedeutet die EU-Datenschutzgrundverordnung konkret für DSAG-Mitgliedsunternehmen?

Zunächst bedeutet die EU-DSGVO, dass Unternehmen stärker zur Verantwortung gezogen werden im Hinblick auf den Nachweis der Rechtskonformität der Verarbeitung von personenbezogenen Daten und die Datensicherheit. Gleichzeitig bringt die EU-DSGVO umfangreichere Rechenschaftspflichten mit sich. Leider steigen jedoch auch die Bußgelder bei Verstoß. Je nach dem, gegen welche Norm ein Unternehmen verstößt, können künftig Bußgelder in Höhe von bis zu 10 Mio. Euro bzw. bis zu zwei Prozent oder von 20 Millionen Euro bzw. von bis zu vier Prozent des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres fällig werden. Für solche Summen können die meisten Unternehmen nicht mal eben Rückstellungen bilden. Umso wichtiger ist es, sich mit der EU-DSGVO auseinanderzusetzen.

Worin sehen Sie die größten Herausforderungen für die Unternehmen?

In der strengeren Nachweispflicht. Sie erfordert eine sorgfältige Dokumentation aller Datenschutzaktivitäten. Darunter fällt zum Beispiel, dass alle Unternehmensprozesse und Datenströme erfasst und bewertet werden müssen. Gleichermaßen müssen Nachweise über regelmäßige Maßnahmen zur Datenschutzsensibilisierung erbracht werden und Kontrollen eingeführt werden. Und für diejenigen, die ihr System nicht im Standard betrieben haben, wird es doppelt hart. Sie müssen alle Non-Standard-Prozesse, Reports und Modifikationen extra auditieren und analysieren. Eine weitere Herausforderung ergibt sich durch das notwendige Löschkonzept.

Inwiefern?

Für viele Unternehmen war das Löschen von Daten schon immer ein Problem. Noch größer wird das Problem jetzt durch die erweiterten und in einem gesonderten Artikel beschriebenen Löschpflichten und Informationspflichten an die Betroffenen, denen zukünftig die Speicherdauer mitzuteilen sind. Viele Unternehmen wissen aufgrund der Komplexität von modernen IT-Services gar nicht mehr, wo sich ihre Kundendaten genau befinden. Hier muss also vielerorts erst einmal aufgearbeitet werden. Zusätzlich erschwert wird das Löschen der Daten durch die unterschiedlichen Fristen, die es für die Speicherung verschiedener Daten gibt. Diese müssen in einem Löschkonzept natürlich auch berücksichtigt werden.

Bringt das neue Gesetz auch Vorteile mit sich?

Ja, die EU-DSGVO erleichtert den Datenaustausch innerhalb einer Unternehmensgruppe – zumindest dann, wenn zwischen den Unternehmen ein angemessenes Datenschutzniveau erreicht ist, zum Beispiel durch gruppeninterne, vertragliche Regelungen. Dann lassen sich künftig Arbeitnehmerdaten leichter austauschen als bisher.

Was raten Sie DSAG-Mitgliedsunternehmen, die die EU-DSGVO bisher noch nicht umgesetzt haben?

Die Zeit drängt und die Unternehmen müssen aktiv werden. Doch übereilt werden sollte hier auch nichts. Zunächst sollten Unternehmen einen Maßnahmenplan erarbeiten.

Wie könnte dieser Maßnahmenplan aussehen?

Der erste Schritt zum EU-DSGVO-konformen System ist eine Bestandsaufnahme in Bezug auf die Einhaltung heute noch bestehender Datenschutzgesetze und auf die DSGVO. Diese Erfassung des Ist-Zustands dient als Basis auf dem Weg zum Soll-Zustand, dem DSGVO-konformen Umgang mit Daten. Sie umfasst bestenfalls neben der Analyse der Geschäftsprozesse und der involvierten IT-Systeme die Identifikation aller neben der DSGVO relevanten Rechtsnormen. Je nach Branche können sich hier Besonderheiten ergeben. Aus den Ergebnissen heraus ergibt sich der Maßnahmenplan, dessen Umsetzung bis zum Stichtag abgeschlossen sein sollte.

Was ist noch wichtig bei der Umsetzung der EU-DSGVO?

Unternehmen müssen klären, wo die Verantwortlichkeit liegt. Es hilft nicht, wenn die Personalabteilung oder der Datenschutzbeauftragte den schwarzen Peter der Verantwortung zugeschoben bekommen. Es sollte stattdessen ein Datenschutzmanagement durch Verantwortliche in den Prozessen etabliert werden. Außerdem müssen die Fachbereiche mit ins Boot geholt werden. Sie müssen feststellen, ob in ihren Bereichen rechtskonform gehandelt wird und die Prozesse die datenschutzrechtlichen Anforderungen erfüllen. Das ist nicht die Aufgabe des Datenschutzbeauftragten. Der Datenschutzbeauftragte ist für die Strategieabstimmung zuständig, berät und überwacht. Er kann jedoch keine operative Verantwortung tragen.

Welche Rolle spielt die Dokumentation?

Dokumentation ist das A&O. Vielen Unternehmen erscheint das Thema lästig, müssen sie doch Datenschutzmaßnahmen nicht nur umsetzen, sondern die Umsetzung und deren Kontrolle auch noch dokumentieren. Doch solche Dokumentationen prüft die Aufsichtsbehörde. Und wenn es einmal zu einer Datenschutzverletzung kommt, ist es umso wichtiger, dass die Dokumentation vollständig verfügbar ist.

Zusammengefasst: Womit steht und fällt die erfolgreiche Umsetzung der EU-DSGVO?

Hier spielen mehrere Faktoren eine Rolle. Angefangen mit einem gründlichen Projektmanagement und der frühzeitigen Einbindung aller betroffenen Geschäftsbereiche. Eine Hürde können Geschäftsführung und Vorstand sein. Hier bedarf es in der Regel insbesondere bei der datenschutzrechtlichen Pflicht zur Löschung etwas Erklärungsarbeit. Ist die geleistet, wären die nächsten Schritte eine ausführliche Datenanalyse und die Erarbeitung einer nachvollziehbaren Struktur, die später als Konzept zum Nachweis gegenüber den Prüfungsbehörden dient. Zum Schluss müssen die Betroffenen noch einen soliden Implementierungsplan erstellen und behält man dann noch die Meilensteine im Blick, sollte die Umsetzung der EU-DSGVO gelingen.

Wie unterstützt die DSAG ihre österreichischen Mitglieder dabei?

Zum einen haben unsere Mitglieder im DSAGNet die Möglichkeit, sich untereinander auszutauschen und von bereits gemachten Erfahrungen zu profitieren. Es gibt außerdem eine eigene DSAG-Arbeitsgruppe, die sich mit dem Thema beschäftigt. Zum anderen hat die DSAG unter www.dsag.de/eu-dsgvo eine Landingpage erstellt, auf der relevante Informationen und Links rund um die EU-DSGVO aufgeführt werden. Und aufgrund der Brisanz des Themas haben wir am 14.09.2017 in den Räumlichkeiten von SAP Österreich in Wien eine halbtägige Veranstaltung ins Leben gerufen. Dort erhalten Teilnehmer konkrete Tipps zum Umgang mit der EU-DSGVO. Sie erfahren, wie Unternehmen ein EU-DSGVO-konformes SAP-System sicherstellen können und können gesetzliche Grundlagen und mögliche betriebliche Vorbereitungsszenarien diskutieren.

Info: Zum Thema "EU-DSGVO" hat monitor.at für Sie zahlreiche Artikel unter diesem Link gesammelt.

Mehr Artikel zum Thema: EU-DSGVO Interview

Chaos muss man sich erst leisten wollen

Karl Grün ist Director Development bei Austrian Standards....

Weiterlesen

BYOD: Sicherheit und Datenschutz regeln

Seit Smartphones & Co. den Arbeitsalltag erobert haben,...

Weiterlesen

Post hilft bei DSGVO-Umsetzung

Die Österreichische Post AG berät Geschäftskunden zu allen...

Weiterlesen

Die EU-DSGVO und ihre Mythen

Kein Richter und auch nicht die Datenschutzbehörde werden...

Weiterlesen

10 DSGVO-Tipps für Österreichs Unternehmer

Am 25. Mai 2018 tritt die neue Datenschutzgrundverordnung...

Weiterlesen

Was kommt nach der Predigt?

Der Wille zur Digitalisierung ist da, auch in Österreich....

Weiterlesen

DSGVO & NIS stellen Unternehmen unter Zugzwang

Ob wir es wollen oder nicht: Die EU-DSGVO wird im Jahr 2018...

Weiterlesen

In die USA stolpert man nicht

Uwe Beikirch ist Vorstand des Client-Management-Spezialisten...

Weiterlesen

Gestützte Software-Auswahl sichert Investitionen

Zu den riskanteren Aufgaben von IT-Entscheidern zählt,...

Weiterlesen

"Maschinen erobern die sozialen Netzwerke"

Werner Bick, Generalbevollmächtigter der ROI Management...

Weiterlesen

Das Ende der "Holzhörer"

Heute wird ganz anders kommuniziert als früher. "Die junge...

Weiterlesen

Microsoft-Tools für DSGVO

Microsoft hat ein Set an kostenlosen Assessment-Tools zur...

Weiterlesen

"Rasch und flexibel"

"Wir wissen, dass das 'beschmutzte Papier' einmal ein Ende...

Weiterlesen

IoT-Sicherheit erfordert Security by Design

Das Internet der Dinge bringt auch für den Mittelstand...

Weiterlesen

Nicht jede Innovation ist wirklich wertvoll

"Digitalisierung ist Null und Eins", antwortet Thomas...

Weiterlesen

Von EU-DSGVO bis Datenschutz-Risikomanagement

Während sich manche noch eine existierende oder noch nicht...

Weiterlesen

Kosten bei Datenpannen sinken

Laut einer Studie des Ponemon Instituts sind die...

Weiterlesen

Cloud, Connectivity und erfolgreiches Business

"Letztendlich geht es nicht um Technologie, sondern um das...

Weiterlesen

Der DSB – gewöhnen wir uns endlich daran!

Ein neues Berufsbild entsteht und es macht Sinn. Vor allem...

Weiterlesen

Wir haben uns für Österreich entschieden

Ist ERP aus der Cloud für den Mittelstand in Österreich...

Weiterlesen