Heutger Christian PSW Group(03. April 2018) Die Datenschutz-Grundverordnung (DSGVO) ist in aller Munde. Meist geht es dabei um die horrenden Sanktionen und die Aufgaben, die Unternehmen jetzt noch zu bewältigen haben. Dabei bietet die DSGVO auch Chancen: Da alle Prozesse und Arbeitspraktiken grundüberholt werden müssen, kann ein Wandel im Umgang mit Daten herbeigeführt werden.

 

„Unternehmen, die die neuen Regelungen als Chance begreifen, ihre Daten zu vereinheitlichen, können sich schlanker und agiler organisieren. Sie erhalten tiefere Einblicke in ihre Daten und können Produkte sowie Dienstleistungen optimieren und Prozesse straffen“, ist Christian Heutger (Bild), Geschäftsführer der PSW GROUP, überzeugt und ergänzt: „Nicht zuletzt eröffnen die neuen Vorschriften zum Schutz von Daten und die neue Transparenz Unternehmen echte Wettbewerbsvorteile.“

Mit der DSGVO kommt die lang geforderte Transparenz in der Datenverarbeitung: Konnten sich nach bisherigem Auskunftsrecht Betroffene erst in dem Moment, in dem ihre Daten bereits erhoben und verarbeitet wurden, darüber informieren was mit ihren Daten in Unternehmen passiert, können sie dies mit der DSGVO bereits vor der Datenerhebung. Denn jetzt müssen Art, Zweck, Umfang und die rechtliche Grundlage der Datenerhebung und -verarbeitung geklärt sein. Wer ein Produkt oder eine Dienstleistung verkauft, muss den potenziellen Käufer zu Beginn des Verkaufsgesprächs bereits über den Umgang mit seinen Daten informieren. Dies gilt auch, wenn Daten weitergegeben werden - beispielsweise wenn die Kundendaten in die Cloud ausgelagert werden. Auch dann muss über Art, Zweck und Umfang informiert werden.

Das setzt natürlich voraus, dass Unternehmen wissen müssen, welche Informationen mithilfe welcher Prozesse wie verarbeitet werden. Ein Verfahrensverzeichnis soll künftig Auskunft über diese Verarbeitungstätigkeiten geben. „Genau hier liegt eine der Chancen der Datenschutz-Grundverordnung. Denn durch die Abbildung des Datenflusses im Unternehmen entsteht ein genaues Abbild der Zusammenhänge der IT und der Geschäftsprozesse. Im Ergebnis entsteht eine transparente Service-Architektur“, erklärt Christian Heutger.

Die Anforderungen, die die Datenschutz-Grundverordnung stellt, bergen zudem die Chance, endlich eine Verbindung zwischen der IT und den Geschäftsprozessen herzustellen: Unternehmen müssen ein Verzeichnis der Verarbeitungstätigkeiten, sprich: eine Prozess-Dokumentation führen. „Damit entsteht die Chance, ein Prozessmanagement zu etablieren. Denn spätestens, wenn es um die technisch organisatorischen Maßnahmen der DSGVO geht, wird die IT-Abteilung in alle Überlegungen involviert. Übernimmt die IT das Aufzeichnen der Verarbeitungsvorgänge können sofort Optimierungsvorschläge unterbreitet werden“, verdeutlicht Christian Heutger.

Nach Ansicht des IT-Sicherheitsexperten führt das gleich zu einer weiteren Chance. „Im Falle eines Hackerangriffs auf das Unternehmensnetz muss klar sein, welche Verarbeitungstätigkeiten und Informationen betroffen sind. Daraus ergibt sich auch der Kreis betroffener Personen, die zu informieren sind. Gerade bei Datenschutzverletzungen müssen sie informiert werden. Mit dem Verarbeitungsverzeichnis funktioniert das schneller und mit geringerem Aufwand als bislang.“

Nun spricht der Gesetzgeber in der Datenschutz-Grundverordnung lediglich davon, personenbezogene Daten zu schützen. „Damit entstehen jedoch zwei Klassen von Daten: die schützenswerten personenbezogenen und die nicht-schützenswerten restlichen Daten“, bemerkt Heutger und ergänzt: „Sinnvoll ist dieses Vorgehen nicht. Da ja ohnehin sämtliche Daten sortiert werden müssen, rate ich dazu, die komplette Prozesslandschaft zu betrachten, nicht nur ausgewählte Prozesse und Daten“. Auf diese Weise erfassen Unternehmen sämtliche Prozesse und erkennen, welche schützenswerten Daten überhaupt verarbeitet und gespeichert werden. Daraus leiten sich technische und organisatorische Maßnahmen ab, die ergriffen werden sollten, um die Daten ordentlich zu schützen.

Um verstehen zu können, wo welche Daten gespeichert, verarbeitet und übertragen oder weitergegeben werden, ist eine Architektur notwendig, die sämtliche beteiligten Komponenten und deren Beziehungen darstellt. Dabei können Unternehmen die Services definieren, die tatsächlich von ihnen genutzt werden. „Hieraus ergibt sich ein großer Vorteil. Denn wenn die IT serviceorientiert arbeitet, entstehen Prozesse, die den Service über den kompletten Lebenszyklus begleiten“, so Christian Heutger. Zudem wissen Unternehmen, die sich intensiv mit den Daten ihrer Kunden befassen, welche Daten mithilfe welcher Services verarbeitet werden. Wer jetzt noch Datenschutzaspekte integriert, erhält ein komplettes Management, welches der DSGVO entspricht. „Ganz nebenbei etablieren Unternehmen damit ein Prozessmanagement. Sie nutzen einfach die vorhandenen Strukturen“, bringt Heutger es auf den Punkt.

https://www.psw-group.de

Datenschutzrichtlinie