Privatsphäre und Prozessmanagement: Experteninterview zur DSGVO 2019
Tobias, als Teamlead Sales MEE bringst Du langjährige Erfahrung in der Modellierung, Optimierung und Steuerung von Geschäftsprozessen mit. Worin bestehen Deiner Meinung nach die wichtigsten Herausforderungen, die die DSGVO auch ein Jahr später an die Organisationen stellt?
Tobias Przybylla: Ohne Zweifel werden professionelle Prozessmanagement-Lösungen zur zentralen Wissensbasis für Datenschutz und Privatsphäre. Internationale Datenschutzbehörden haben bereits 57.000 Beschwerden registriert und mehr als 27.000 Organisationen meldeten innerhalb von 72 Stunden Datenschutzverletzungen.
Wie also können die Unternehmen ihre alltäglichen Abläufe verbessern?
Tobias Przybylla: DSGVO-Compliance dreht sich natürlich um die Prozesse. Sie lückenlos zu dokumentieren und konstant weiterzuentwickeln, ist ein wichtiger Schritt in die richtige Richtung. Dies bedeutet beispielsweise auch, die Zustimmung der Zielgruppen durch ein Opt-In einzuholen, zu dokumentieren und Datenschutzverletzungen zeitnah zu melden. Zudem gingen mit der DSGVO ja auch Neuerungen einher, wie das Recht von Privatpersonen, Auskunft über die von ihnen verarbeiteten Daten zu verlangen. Dies erfordert wiederum eigene Prozesse, die natürlich von einer professionellen Modellierung profitieren.
Eine umfassende Prozessmanagement-Initiative ist eine wichtige Voraussetzung für durchgehende DSGVO-Compliance: So werden die nötigen Prozesse dokumentiert, verbessert und kontinuierlich weiterentwickelt. Ein Beispiel ist das Recht auf Vergessenwerden: In vielen Organisationen kann es bereits schwierig sein, personenbezogene Daten systematisch aufzufinden und zu löschen – dieses Problem ist meistens aber prozess-, nicht datenbezogen.
Daher ist es wichtig, dass in den Unternehmen eine systematische Herangehensweise an die interne Verarbeitung von Informationen entwickelt und dieses Wissen mit dem Team geteilt wird. Erst auf diesem Wege ist es möglich, alle personenbezogenen Daten systematisch zu erheben und später zuverlässig zu löschen.
Mit der DSGVO erhöht sich auch die Komplexität für Unternehmen, die mit Subunternehmern zusammenarbeiten. Seit der Einführung der DSGVO ist der Hauptvertragsnehmer für die datenschutzbezogenen Aktivitäten dieser Unternehmen verantwortlich. Er muss nun auch in der Lage sein, alle Aktivitäten seiner Subunternehmen zu überwachen.
Ein Jahr nach der DSGVO: Neue Compliance-Maßstäbe für Unternehmen
Wird die DSGVO 2019 auch international zum Maßstab für Unternehmen, wenn es um das Thema „Compliance“ geht?
Tobias Przybylla: Ja, das ist richtig. Die DSGVO hat einen großen Einfluss auf Organisationen weltweit. Seitdem sie verbindlich gültig ist, wurden in mindestens zehn Ländern außerhalb der EU ähnliche Regeln eingeführt, zum Beispiel in Australien und Argentinien. Unternehmen weltweit sind angehalten, ihren Umgang mit personenbezogenen Daten von Kunden auf die geltenden Regulationen abzustimmen. Sobald sie europäische Kunden gewinnen, gilt die DSGVO für sie schließlich verbindlich. Ökonomisch aufstrebende Länder wie Indien haben bereits umfassende regulatorische Richtlinien entwickelt, um die Regelungen in der EU zu erfüllen und außerdem ihre eigenen ökonomischen und kulturellen Anforderungen umzusetzen.
DSGVO-Compliance bedeutet aber weitaus mehr für Organisationen weltweit, die mit Kundendaten hantieren. Es geht vor allem darum, die Kunden zu schützen. Das Ziel für Unternehmen besteht darin, die Technologie und Expertise zu entwickeln, um Vertrauen und Transparenz zu einer wichtigen Grundlage der Unternehmensentwicklung zu erklären – wo auch immer in der Welt sie sich gerade befinden.
Wäre es nicht einfacher für Organisationen, sich aus dem europäischen Binnenmarkt zurückzuziehen und die Kosten zu vermeiden, die mit der DSGVO einhergehen?
Tobias Przybylla: Sicherlich gibt es Unternehmen, die sich kurzerhand für diese Herangehensweise entschieden haben – manche von ihnen sogar über Nacht, wie etwa die amerikanischen Unternehmen Drawbridge, Verve und Klout. Sogar Uber Entertainment, ein internationaler Anbieter für Online-Games, hat sein Spiel „Super Monday Night Combat“ abgeschaltet – aufgrund der Schwierigkeit, die Daten der eigenen Benutzeraccounts zu löschen.
Aus diesen Gründen sehen wir zum Beispiel auch neuerdings so viele Pop-Ups beim Besuch amerikanischer Websites – diese Mitteilungen werden allen Nutzern mit einer IP-Adresse aus der EU angezeigt.
Wie bereits erwähnt: Europa ist ein Markt mit etwa 500 Millionen Kunden. Für Unternehmen ist es natürlich am besten, sich um DSGVO-Compliance zu bemühen. Dies ist ja auch eine wertvolle Chance: Sie sind gezwungen, ihre alltäglichen Abläufe positiv zu wandeln, um den steigenden Anforderungen nach Datenschutz und Privatsphäre, der bereits in unserer Gesellschaft verankert ist, gerecht zu werden.
DSGVO 2019: Privatsphäre und Datenschutz sind wichtige Werte in unserer Gesellschaft
Hast du dein Eindruck, dass die Kunden immer sensibler in Bezug auf Datenspeicherung und -verarbeitung werden?
Tobias Przybylla: Ja, das Bewusstsein der Kunden für diese Themen steigt zunehmend. Schon am ersten Tag, an dem die DSGVO verbindlich gültig war, stieg die Anzahl der Beschwerden gegen IT-Konzerne wie Facebook, Instagram, WhatsApp und Google. Der Vorwurf lautete: erzwungene Zustimmung. Ein Beispiel: Den Kunden blieb gar nichts anderes übrig, als den neuen Nutzerrichtlinien zuzustimmen.
Die DSGVO stärkt schließlich die Rechte von Privatpersonen in Bezug auf den Umgang mit ihren personenbezogenen Daten – nun gibt es schließlich kein Zurück mehr.
Kommen wir zu einer weiteren Frage: Wie hilft Signavio Unternehmen auf dem Weg zu DSGVO-Compliance?
Tobias Przybylla: Die Antwort auf diese Frage ist natürlich komplex. In Bezug auf die alltäglichen betrieblichen Abläufe hilft Signavio Unternehmen beispielsweise bei Datenschutz-Folgenabschätzungen. Sie zählen zu den kritischen Aufgaben der Unternehmen und helfen dabei, datenbezogene Risiken zu identifizieren. Unternehmen sind verpflichtet, eine Datenschutz-Folgenabschätzung für jede Art der Datenverarbeitung durchzuführen, die ein potenziell hohes Risiko für Privatpersonen darstellt.
Eine weitere weniger bekannte Anforderung besteht darin, dass Unternehmen ebenfalls angehalten sind, alle Verarbeitungstätigkeiten aufzuzeichnen, auch bekannt als Verzeichnis von Verarbeitungstätigkeiten. Dieses Verzeichnis umfasst vor allem Informationen über die Datenverarbeitung, Datenkategorien, betroffene Datensubjekte, den Zweck der Verarbeitung und die Datenempfänger.
Dies kann unter Umständen sogar öffentlich zugänglich sein. Signavio hilft dabei, alle datenbezogenen Aktivitäten und Datenströme in den Prozessen zusammen mit allen relevanten Dokumenten zu hinterlegen.
Daneben gibt es viele weitere Möglichkeiten, wie Signavio Organisationen auf dem Weg zur DSGVO-Compliance 2019 durch einen prozessbasierten Ansatz unterstützt: Zuerst geht es darum, die unternehmensweiten Prozesse zu erfassen und herauszufinden, welche Prozesse aktuell nicht den DSGVO-Herausforderungen gerecht werden. Mit Blick auf die Ergebnisse entwickeln wir systematische Richtlinien, um Prozesse in Einklang mit den DSGVO-Anforderungen zu gestalten, Compliance zu prüfen und dauerhaft und unternehmensweit zu sichern.
Dies kann auf den folgenden Vier-Schritt-Ansatz heruntergebrochen werden:
Planen: Um personenbezogene Daten zu klassifizieren, wird ein IT-System implementiert, das erlaubt, DSGVO-relevante Daten zu erfassen. Identifizieren: Nun gilt es zu erkennen, welche personenbezogenen Daten sich an welchen Stellen verbergen. Dafür untersuchen die Verantwortlichen der verschiedenen Fachbereiche die jeweiligen Unternehmensabläufe. Zuordnen: Anschließend werden die personenbezogenen Daten den DSGVO-relevanten Prozessinformationen zugeordnet. Überwachen: Der vierte Schritt ist eine kontinuierliche Aufgabe: Da sich Prozesse und IT-Systeme stets verändern, müssen personenbezogene Daten regelmäßig überwacht werden. So wird kontinuierlich geprüft, in welchen Prozessen oder IT-Systemen diese Daten verarbeitet werden.
Vielen Dank für das Interview!
Um zu erfahren, wie sich dieser Vier-Schritt-Ansatz mit Signavio umsetzen lässt, empfehlen wir Ihnen unseren weiterführenden Blogartikel DSGVO-Umsetzung mit Signavio? Vier Expertentipps!
Das Interview führte Tecwyn Hill