Schwierigkeiten mit der DSGVO

Welche Schwierigkeiten ergeben sich für Unternehmen bei der Umsetzung der DSVGO?

Schon seit dem 25. Mai 2018 muss die DSVGO (Datenschutzgrundverordnung) in Deutschland umgesetzt werden. Als sie beschlossen wurde, war die Verunsicherung bei Unternehmen groß – doch wie hat sich die Lage seitdem entwickelt? Aus meiner Erfahrung als Berater weiß ich: Der Großteil setzt das Thema DSVGO noch nicht um. Erst im letzten Jahr haben wir mit einer Umfrage herausgefunden, wie viele Unternehmen sich Gedanken über die Umsetzung der DSVGO machen: Von 100 Firmen waren gerade einmal 2 dabei, die angefangen haben, Maßnahmen für die Verordnung einzuführen. Der Rest hat angegeben, das Thema einmal bedacht aber noch nicht angegangen zu haben.

Die Herausforderung bei der Umsetzung der DSVGO

Das größte Problem für Viele ist, dass es noch keinen Präzedenzfall gibt, anhand dessen sie wissen, was sie nun wirklich für die Erfüllung der Verordnung tun müssen und was nicht. Zwar schreibt die DSVGO vor, dass Daten gelöscht werden müssen – wie lange die Fristen hierfür sind, ist jedoch nicht genau definiert. Es gibt verschiedene Gesetze, die festlegen, dass bestimmte Daten zum Beispiel nach 4 Jahren gelöscht werden müssen. Dieser Zeitraum kumuliert wiederum mit anderen Fristen, z.B. Anlaufhemmfristen für steuerrechtlich relevante Daten: Eine Verordnung bestimmt daher nicht alleine, zu welchem Zeitpunkt Daten gelöscht werden müssen.

Die Unternehmen, die bereits mit der Umsetzung begonnen haben, tun dies vornehmlich, um dies im Fall einer rechtlichen Auseinandersetzung angeben zu können: Ein Argument, das bereits gewirkt hat. In der Praxis haben wir mitbekommen, dass der Gesetzgeber zufrieden ist, wenn Unternehmen, die längere Löschfristen praktizieren, dies begründen können. Hierbei handelt es sich zwar keineswegs um eine juristische Grundlage. Wenn aber Unternehmen die Fristen verschiedener Bestimmungen zusammenaddieren, handelt es sich bereits um einen ersten Schritt zur Umsetzung der DSVGO. Die Behörden sehen dann, dass sich eine Firma Gedanken um die Datenschutzbestimmungen macht und womöglich viele Ressourcen aufwendet, um sie umzusetzen. Denn ein Löschkonzept in einem großen Unternehmen mit mehreren tausend Mitarbeitern einzuführen, ist ein Kraftakt. Hiervon sind unter Umständen rund 100 Systeme betroffen. Auch der Gesetzgeber berücksichtigt deshalb, dass nicht jedes Unternehmen die DSVGO mit einem Fingerschnippen umsetzen kann.

Die Risiken einer mangelhaften Umsetzung des Datenschutzes

Firmen, die sich nur unzureichend mit dem Thema auseinandersetzen, riskieren Strafen. Den großen Präzedenzfall hat es zwar noch nicht gegeben, es wird aber nur eine Frage der Zeit sein, bis die Blase platzt. Die DSVGO müsste eigentlich schon seit einem Jahr umgesetzt werden und die Wahrscheinlichkeit ist hoch, dass auf Datenschutz spezialisierte Anwälte in den nächsten Jahren damit beginnen werden, Unternehmen abzumahnen. Bereits jetzt machen viele Mitarbeiter von ihrem durch die DSVGO festgelegten erweiterten Auskunftsrecht Gebrauch.

Deshalb empfehle ich jedem Unternehmen, mit der Umsetzung der Verordnung zumindest schon mal zu beginnen. Dafür müssen sich Verantwortliche die Frage stellen, wie mit personenbezogenen Daten gehaushaltet werden soll: Welche Daten müssen in welchem Zeitraum weg und was muss archiviert werden? Wenn sie den ersten Schritt für die Ausarbeitung eines Löschkonzeptes gemacht haben, stellen viele Verantwortliche fest, dass auf einmal noch viele andere Parteien mit eingebunden werden müssen, die sie vorher nicht berücksichtigt haben. Da die Personalabteilung, die Fachbereiche, der IT-Bereich und Datenschützer von der Einführung des Löschkonzeptes betroffen sind, muss unter Umständen eine große Manager-Runde in die Planung mit einbezogen werden.

Die Lösung für ein automatisiertes Löschkonzept mit SAP ILM

Wir waren in einigen Unternehmen selbst an der Einführung einer Strategie für die Umsetzung der DSVGO beteiligt und wissen daher, dass ein solches Projekt mit einem guten Löschkonzept steht und fällt. Wichtig ist, dass sich dieses Konzept auch während der Einführung weiterentwickelt. SAP ILM (Information Lifecycle Management) bietet einen riesigen Umfang von über 1.200 Standardobjekten. Verantwortliche haben damit die Möglichkeit, Objekte für personenbezogene Daten anzulegen: Diese umfassen dann bestimmte Informationen, z. B. die Adresse eines Mitarbeiters. Mit SAP ILM werden dann Regeln für die entsprechenden Objekte definiert, so dass zum Beispiel die Daten von ausgeschiedenen Mitarbeitern nach vier Jahren automatisiert gelöscht werden. Diese Regeln können auch erweitert werden, so dass das System zum Beispiel nur die Daten von bestimmten Personengruppen zum angegebenen Zeitpunkt löscht. Ein global agierendes Unternehmen kann die DSVGO so nach und nach umsetzen, indem es das Löschkonzept zum Beispiel erst für Mitarbeiter aus Deutschland und danach für Mitarbeiter aus einem anderen Land einführt, für die womöglich wieder andere Datenschutzbestimmungen gelten. SAP ILM bietet somit die Möglichkeit, auch länderspezifische Löschkonzepte zuverlässig umzusetzen.

Möchten Sie gerne mehr zum Thema DSVGO und SAP ILM erfahren? Dann schauen Sie sich gerne weiter auf unserem Blog um. Für Fragen stehe ich Ihnen auch gerne persönlich zur Verfügung.