Fit für die Datenschutzgrundverordnung

Ein bisschen erinnert die Situation an die Einführung der Registrierkassenpflicht: Erst einmal abwarten, was die anderen machen und ob es wirklich so schlimm wird, bevor man selbst reagiert. Dass es dann zum 25. Mai 2018, wenn die Verordnung in Kraft tritt, bereits zu spät sein kann, wird verdrängt – obwohl eine Missachtung der zukünftigen Pflichten empfindliche Strafen nach sich ziehen kann. Die DSGVO ist ein komplexes Thema, sicher ist nur: sie wird kommen, und so gut wie alle Unternehmen in Österreich werden davon betroffen sein.

Alexandra Windisch, Datenschutzbeauftragte des IT-Dienstleisters adesso, hat sich umfassend mit der Materie auseinandergesetzt: „Die Schwierigkeit bei dem Thema liegt in dessen Vielschichtigkeit. Es gibt kein für alle Branchen verbindliches Handbuch, das einfach abgearbeitet werden kann. Stattdessen ist eine je nach Firmensituation individuelle Anpassung der Datenschutzrichtlinien nötig.“ Betroffen sind dabei so gut wie alle Firmen in Österreich – denn sobald auch nur Kunden- oder Mitarbeiterdaten vorliegen, fallen diese schon unter die neuen Bestimmungen. Das Erstarren vor der Schlange sei aber gar nicht notwendig, wie Windisch weiter ausführt: „In Wahrheit ist die DSGVO eine Riesenchance für Unternehmen, Ordnung in die jahrelang gesammelten Daten zu bringen. Daten sind Kapital, viele Firmen werfen diese aber ungeordnet in einen Schrank, sperren die Tür zu und hoffen, dass sie nicht aufplatzt.“ Die DSGVO ist der perfekte Anlass, diesen Missstand zu korrigieren. Auch die verpflichtenden Löschfristen für personenbezogene Daten sieht Windisch nicht als Problem an. Schließlich bedarf die Speicherung und Verwaltung der riesigen Datenmengen, die Unternehmen im Lauf der Jahre ansammeln, eines gewaltigen Aufwandes.

adesso hat in den vergangenen Monaten eine Methode entwickelt, um Unternehmen fit für die DSGVO zu machen. In drei Schritten wird der Kunde von der Analyse des Status Quo, über die Erstellung eines Masterplans, bis hin zur Implementierungsphase begleitet. Im Zentrum steht dabei der bereits vielfach in Projekten bewährte „Interaction Room“: Dieser stellt durch die intuitive und visuelle Darstellung von Prozessen sicher, dass sich die Vertreter aller Fachabteilungen in die Diskussion einbringen. Gemeinsam wird in einem zentralen Raum, eben dem „Interaction Room“, an den unterschiedlichen Anforderungen gearbeitet. Jede Wand des Raumes wird zur Visualisierung der zentralen Aspekte eines Projektes verwendet. „Die Vielzahl der im „Interaction Room“ entwickelten Perspektiven eignet sich besonders gut für die DSGVO, da genau diese ganzheitliche Betrachtung vom Gesetz gefordert wird“, sagt Windisch begeistert.

Datenherrschaft sichern
Außerdem führt sie potentielle Gefahren einer Missachtung der DSGVO an: „Ab dem 25. Mai 2018 werden Kunden die Möglichkeit nutzen und von Unternehmen ihre personenbezogenen Daten einfordern. Vom viel zitierten „Recht auf Vergessenwerden“ über das Auskunftsrecht darüber, welche Daten ein Unternehmen von seinen Kunden besitzt, bis zur Portierung von bestehenden Daten – mit Inkrafttreten der DSGVO ergeben sich eine Fülle an Möglichkeiten, auf die jede Firma vorbereitet sein sollte“, führt Windisch potentielle Szenarien aus. Richtig ungemütlich kann es in Zukunft bei jeder Art von Datenpanne werden. Ab 2018 besteht beim Auftreten einer solchen nämlich die Meldepflicht bei der Aufsichtsbehörde und bei den Betroffenen – innerhalb von 72 Stunden. Damit wird auch in solchen Fällen für Transparenz gesorgt, was in der Vergangenheit nicht immer der Fall war. Für jeden von uns hat die DSGVO durchaus Vorteile. Die Hoffnung besteht, dass man wieder Herr seiner Daten wird. „Nach Snowden, NSA und unzähligen Berichten über die Macht großer amerikanischer Konzerne bestand bei vielen Menschen ein gewisses Gefühl des Ausgeliefert-Seins. Dies sollte durch die DSGVO, wenn schon nicht eliminiert, aber doch deutlich verbessert werden“, ist Windisch zuversichtlich.