EU-DSGVO Interview

Interview - Mario Günter, DSAG

Datenschutz bei der DSAG

Bild: DSAG
Mario Günter, DSAG
Bild: DSAG

Die EU-Datenschutz-Grundverordnung (EU-DSGVO) macht auch vor der DSAG-Geschäftsstelle nicht halt. Von einer Diskrepanz zwischen Theorie und Praxis und einem erheblichen Aufwand, um die EU-DSGVO in einem Verband wie der DSAG umzusetzen, weiß Geschäftsführer Mario Günter zu berichten.

Die Deutschsprachige SAP Anwendergruppe (DSAG) besteht seit 1997 und ist mit rund 60.000 Mitgliedern aus über 3.300 Unternehmen in Deutschland, Österreich und der Schweiz die einflussreichste Interessenvertretung für SAP-Anwender.

Mario Günter verantwortet seit dem Jahr 2000 hauptberuflich den Auf- und Ausbau der DSAG-Geschäftsstelle in Walldorf, die Weiterentwicklung des Verbands sowie die Etablierung und Erweiterung der Leistungen für die Mitglieder. Im November 2004 wurde er zum Geschäftsführer der Deutschsprachigen SAP-Anwendergruppe (DSAG) e. V. und im Jahr 2006 zum Geschäftsführer der DSAG Dienstleistungs GmbH berufen.

Auch wenn die DSAG sonst eine starke Position für ihre Mitglieder einnimmt: In Sachen EU-DSGVO hat sie mit den selben Problemen zu kämpfen, wie jedes andere Unternehmen.

Herr Günter, was halten Sie von der EU-DSGVO?

Vom Grundgedanken her ist es richtig und notwendig, personenbezogene Daten zu schützen. Der bestehende (Anm.: deutsche) Bundes-Datenschutz wurde nun von den EU-Behörden weitergedacht – z. B. mit der Sanktionierung wurde ein Anreiz geschaffen, die Maßgaben zu erfüllen.

Wo sehen Sie Verbesserungspotenzial?

Gut gedacht ist nicht immer gut gemacht. Ich frage mich, wie die EU die Einhaltung der angehobenen Standards europaweit kontrollieren will. Wer sorgt dafür, dass auch in allen Mitgliedsstaaten einheitliche Standards geschaffen und eingehalten werden? Wer setzt im angebrochenen Internet-of-Things-Zeitalter die Rahmenbedingungen? Die Diskussion ist mit einem europaweiten Datenschutz nicht zu Ende. Wir brauchen in Politik und Gesellschaft eine Diskussion über den Umgang mit Daten – auch im privaten Bereich, z. B. in den sozialen Medien. Die EU schreibt sich gerne die Wertegemeinschaft auf die Fahne. Dann wäre es nur konsequent, wenn die EU-DSGVO lediglich der Anfang ist. Der Anfang für eine gesellschaftliche Diskussion zu Werten im Umgang mit den Daten anderer.

Welche Herausforderungen bringt die Verordnung für die DSAG mit sich?

Die ganze Macht der Verordnung schlägt z. B. bei den Mitarbeiterdaten durch. Trotz elektronischer Prozesse, Automatisierung und Digitalisierung sind die Anforderungen mit immensem Dokumentationsaufwand verbunden.

Worin zeigt sich der Aufwand?

Allein die technisch-organisatorischen Maßnahmen festzulegen, war umfangreich – vom Standort der Server und den Zugangsbedingungen zu den Büros bis zu den Reinigungskräften, die bei der Papierentsorgung mit Daten in Berührung kommen könnten. Außerdem muss mit jedem Prozess, der zwischenzeitlich verändert oder neu aufgesetzt wird, das ehemalige Verfahrensverzeichnis, das jetzt Verzeichnis der Verarbeitungstätigkeiten heißt, entsprechend angepasst werden: Von den verantwortlichen Stellen über die automatischen Verfahren, einer Beschreibung der betroffenen Personengruppen bis zu Regelfristen für die Löschung von Daten. Und schließlich gilt es, ein internes Kontrollsystem aufzubauen und die Prozesse regelmäßig gewissenhaft zu überprüfen.

Wie meistern Sie den Aufwand?

Wie viele andere wahrscheinlich auch: Indem wir für die betroffenen Kollegen Freiräume schaffen. Dennoch bleibt die Umsetzung der EU-DSGVO auch in der DSAG-Geschäftsstelle ein Projekt on top des Tagesgeschäfts, das macht es besonders schwierig.

Wie sind Sie im Zeitplan?

Dass wir das Thema seit Langem im Blick haben, zahlt sich bei der Umsetzung natürlich aus. Verträge mit Dienstleistern haben wir z. B. schon länger mit einem zusätzlichen Vertrag zur Auftragsdatenverarbeitung versehen. Und die bisherigen Verfahrensverzeichnisse müssen nur stellenweise noch an die neuen Anforderungen angepasst und auf Vollständigkeit geprüft werden. Neu für uns war nur, was das Recht auf Vergessenwerden und ein damit verbundenes Löschkonzept bedeuten. Wir arbeiten seit Jahren mit einem externen Datenschutzbeauftragten zusammen und haben jetzt die operative Umsetzung der EU-DSGVO auch in einer Position in der Geschäftsstelle verankert. Zudem mussten wir ein neues Opt-in-Zustimmungsverfahren für unsere Online-Marketingaktivitäten einrichten, Prozesse umstellen und die Nutzungsbedingungen für das DSAGNet definieren.

Laut einer DSAG-Umfrage sind 61 Prozent der Teilnehmer wenig zuversichtlich, bis Mai 2018 die Anforderungen zu erfüllen. Wie kommentieren Sie das?

Ich glaube, die Zahlen spiegeln den Status quo sehr gut wider. Mit 99 Artikeln und 173 Erwägungsgründen, die alle beachtet werden müssen, braucht die EU-DSGVO einfach eine lange Vorbereitungszeit. Wobei aber auch 65 Prozent bereits einige Vorbereitungen absolviert haben, aber noch nicht ganz konform mit der Verordnung sind.

Was empfehlen Sie anderen?

Ich kann nur jedem raten, das Thema ernst zu nehmen. Wer jetzt noch nicht mit der Umsetzung angefangen hat, ist eigentlich schon zu spät dran und sollte so schnell wie möglich die notwendigen Schritte einleiten. Denn der Aufwand ist nicht zu unterschätzen. Die Umsetzung der EU-DSGVO ist keine Aufgabe, die exklusiv in der Personalabteilung aufschlägt. Davon ist das gesamte Unternehmen betroffen. Und das muss entsprechend von der Geschäftsführung bis hinunter in jede einzelne Abteilung kommuniziert und umgesetzt sowie Kontrollsysteme installiert werden. Je mehr man sich mit dem Thema beschäftigt, umso mehr wächst das Verständnis für die eigenen Geschäftsprozesse, in denen personenbezogene Daten verarbeitet werden. Es ist eine komplexe Aufgabe, die ein unternehmensübergreifendes Modell benötigt.

Vielen Dank für das Gespräch!

Übrigens: Weitere Informationen zur EU-DSGVO haben wir hier für Sie gesammelt. Darunter auch ein Interview mit Wolfgang Honold, DSAG-Vorstand für Österreich, der beschreibt, was die EU-Datenschutzgrundverordnung für Unternehmen bedeutet und Empfehlungen zur Umsetzung gibt.

Das Interview wurde von der DSAG zur Verfügung gestellt.

Mehr Artikel zum Thema: EU-DSGVO Interview

DSGVO: Fünf nach Zwölf

Obwohl die Übergangsfrist der Datenschutzgrundverordnung...

Weiterlesen

Die Wolken-Expertin von SAP

SAP hat kürzlich seine S/4HANA Cloud in Österreich gelauncht...

Weiterlesen

Luke Roberts gehen 300 Lichter auf

Mit seiner smarten LED-Hängeleuchte will das junge Wiener...

Weiterlesen

Österreichischer DSGVO-Spezialist eröffnet Niederlassung in Deutschland

Das junge österreichische Unternehmen Intervalid hat sich...

Weiterlesen

Verschlüsselung Fehlanzeige

Gretchenfrage: Wie halten es die Österreicher eigentlich mit...

Weiterlesen

DSGVO aus Sicht der Informatiker

Die Informatik-Experten Michael Sonntag und Reinhard Posch...

Weiterlesen

85% verpassen DSGVO-Deadline

Obwohl die Regulierung in einer Woche anwendbar wird,...

Weiterlesen

nic.at beschränkt Whois-Abfragen

In Hinblick auf die DSGVO hat die Domain-Registry nic.at...

Weiterlesen

LCM: Geburtshelfer für innovative Ideen

Die klugen Köpfe der Linz Center of Mechatronics GmbH...

Weiterlesen

Die Digitalisierungs-Reise der SVA

Die Sozialversicherungsanstalt der gewerblichen Wirtschaft...

Weiterlesen

Das Netzwerk sieht alles

Was haben moderne Netzwerke mit Gehirnen, heißen Herdplatten...

Weiterlesen

DSGVO & Co.: Wer nicht verschlüsselt, ist selber schuld

Nichts erfreut Hacker und Datendiebe mehr als der Zugriff...

Weiterlesen

Kein Freibrief für Datenschutzverstöße

Wir haben den Rechtsanwalt Gerald Ganzger gefragt, welche...

Weiterlesen

DSGVO: Ein zahnloser Löwe?

Knapp einen Monat vor dem Stichtag der EU-DSGVO am 25. Mai...

Weiterlesen

DSAG löst Datenschutz-Fragezeichen

Es soll immer noch Unternehmen geben, die im freien Fall auf...

Weiterlesen

"Das ist ein Wahnsinn"

"Wir brauchen drei bis sechs Monate, um gute Leute auf...

Weiterlesen

Aus Security-Sicht ein Horror

Die Ergebnisse des jährlichen Breach Level Index von Gemalto...

Weiterlesen

EU-DSGVO: Was ist noch machbar?

Die neue Datenschutz-Grundverordnung der EU steht...

Weiterlesen

DRACOON ist EU-DSGVO-ready

DRACOON, Experte im Bereich Enterprise Filesharing, erhält...

Weiterlesen