Die DSGVO kommt. Sind Sie vorbereitet?
Top Magazin im Gespräch mit Mike Rasch und Stefan Richter zur EU-Datenschutzgrundverordnung (DSGVO).
Die EU-Datenschutzgrundverordnung (DSGVO) trat bereits 2016 in Kraft, gilt aber nach zweijähriger Übergangszeit ab 25. Mai 2018 verpflichtend. Damit löst es den Großteil inländischer Einzelfallbestimmungen im Datenschutzrecht (z.B. BDSG) ab. In den vergangenen Monaten wurde hierüber viel berichtet, z.B. im Besonderen infolge der zu erwartenden Strafen und Bußgelder bei Nichteinhaltung der neuen Regelungen. Um etwas Licht ins Dunkel zu bringen, sprechen wir mit Mike Rasch, Fachanwalt für IT-Recht sowie zertifizierter Datenschutzbeauftragter (TÜV®) und Stefan Richter, IT Sales & Service Manager, Canon Business Center Dresden GmbH.
Was bleibt, was ist neu an der ab Mai 2018 in Kraft tretenden EU-Datenschutzgrundverordnung (DSGVO)?
Mike Rasch: Mit Fug und Recht kann man behaupten, dass aus datenschutzrechtlicher Sicht die Zeitrechnung neu zu laufen beginnt. Unternehmen werden gezwungen ihre bisherigen Standards zu überarbeiten und an die geänderten Bedingungen und neuen Umsetzungsinstrumente anzupassen.
Was bedeuten die neuen Regeln für Unternehmen konkret?
Mike Rasch: Hehre Zielstellung ist die Etablierung eines Datenschutz- und Datensicherheitsmanagementsystems. Wesentlich hierfür ist die transparente Verankerung der Rechte der Betroffenen als auch eine Verschärfung der Rechenschafts- und Dokumentationspflichten des Unternehmens. Die bestehenden und etablierten Best Practices sind pragmatisch und aufsichtsgerecht umzusetzen.
Mit welchen Konsequenzen müssen Unternehmen bei einem Verstoß gegen das neue Gesetz rechnen?
Mike Rasch: Bei einer Nichteinhaltung der legislativen Vorgaben sind neben zivilrechtlichen Haftungsthemen Bußgelder von bis zu 4 % des Jahresumsatzes oder bis zu 20 Mio. € zu befürchten.
Welche konkreten Herausforderungen stellen sich jetzt an das Datenschutzmanagement von Unternehmen?
Mike Rasch: Um den Weg zu einem datenschutzkonformen Handeln zu ebnen, ist ein Zusammenspiel zwischen Datenschutz, Datensicherheit und Informationstechnologie essenziell. Das bedeutet, dass gesetzliche Notwendigkeiten unter anderem zum Schutz von Vertraulichkeit und Integrität ihr Pendant in konkreten technisch-organisatorischen Maßnahmen (TOM) finden.
Stefan Richter: Sowohl bei dem Eruieren geeigneter Umsetzungen der TOM als auch deren praktischer Einbindung in bestehende Systemlandschaften ist als oberstes Dogma zu beachten, dass die operativen Systeme die gesetzlichen Vorgaben widerspiegeln sowie „gelebt werden können“. Nicht jede juristische Anforderung ist als „Muss“ zu verstehen und grundsätzlich geeignet dem Unternehmen und den standardisierten Abläufen zu nutzen. Unternehmerische, praktische und betriebswirtschaftliche Abwägungen des Einsatzes technischer Mittel sind gemeinsam abzustimmen. Canon bietet hierzu beispielhaft eine Vielzahl von Lösungen an.
Wobei kann Canon Unternehmen hier konkret unterstützen?
Stefan Richter: Gemeinsam mit datarea bieten wir unseren Kunden ein kostenloses Erstgespräch an. In dem Gespräch stimmen wir ab, wie die datenschutzrechtliche Zusammenarbeit aussehen kann, entweder Unterstützung als externer Datenschutzbeauftragter oder beratende Begleitung des internen Datenschutzbeauftragen. Nach der Datenschutzanalyse entscheiden wir gemeinsam, welche TOM wir schrittweise in Angriff nehmen werden.
Können Sie Beispiele für TOM geben, die Kunden zuerst umsetzen sollten?
Stefan Richter: Es kommt immer auf die konkrete Situation an. Viele Unternehmen beschäftigen sich derzeit mit dem Thema Arbeitsplatz 4.0 bzw. Arbeitsplatz der Zukunft. Mitarbeiter möchten flexibel und mobil, aber auch sicher arbeiten. Im Zuge der TOM muss der Zugriff auf Unternehmensdaten durch den Einsatz von zentralen IT Sicherheitslösungen sichergestellt werden. Ebenso sollten die dezentralen und mobilen Endgeräte geschützt und verschlüsselt werden. Ein weiteres Beispiel für die Umsetzung einer TOM ergibt sich aus dem aktuellen Fachkräftemangel. Viele Unternehmen stehen vor der Herausforderung während eines Mitarbeiter-Lebenszyklus (Personalbeschaffung, Onboarding, Verwaltung, Offboarding) viele geschäftskritische HR-Dokumente verwalten zu müssen. Durch den Einsatz eines Dokumentenmanagements kann beispielsweise das Bewerbungs-/Personalmanagement und der damit verbundene Informationsfluss bzw. Zugriff standardisiert archiviert und geschützt werden. Die Lösung ermöglicht Unternehmen nicht nur eine Beschleunigung der Prozesse, sondern gewährleistet gleichzeitig die Einhaltung von Compliance-Richtlinien über den gesamten Mitarbeiter- Lebenszyklus von der Einstellung bis zum Ruhestand.