(Quelle: SAP)
Hohe Strafen, Markt-Ort-Prinzip, Datenportabilität: Die neuen Regelungen treffen auf nahezu alle Unternehmen in Deutschland zu. Aber auch US-Konzerne wie Facebook, Amazon und Google sind von den Anpassungen für den EU-Raum betroffen. Wie die SAP mit der Datenschutzgrundverordnung umgeht.
Was sich konkret ändert
Die europäische Datenschutzgrundverordnung (DSGVO) ist am 25. Mai 2016 in Kraft getreten. Allerdings kommt sie erst nach einer zweijährigen Übergangsfrist am 25. Mai 2018 zur Anwendung. Die für deutsche Unternehmen einschlägigen Regelungen des Bundesdatenschutzgesetzes (BDSG) werden weitgehend, bis auf die sogenannten Öffnungsklauseln1, durch die Regelungen der Verordnung ersetzt. Da es sich um eine europäische Verordnung handelt, gilt sie direkt in allen Mitgliedsstaaten und bedarf im Prinzip keines nationalen Umsetzungsgesetzes.
Für Unternehmen bedeutet das, dass sie eine „datenschutzfreundliche Struktur“ aufsetzen müssen. Zu den Verpflichtungen gehört etwa:
- eine Datenschutzfolgeabschätzung bei Einsatz neuer Technologien,
- die Datenportabilität, die gewährleistet, dass Daten unkompliziert von einem Netzwerk in ein anderes mitgenommen werden können,
- das Löschen von privaten Daten auf Wunsch des Nutzers,
- der Einsatz von Technologien, die nach den Grundsätzen von Privacy by Designund Privacy by Default entwickelt wurden, was bedeutet, dass datenschutztechnische Anforderungen schon in der Designphase eines Produktes implementiert werden und vom Anwender leicht zu ändern sind,
- die Berücksichtigung des „Markt-Ort-Prinzips“, das bedeutet, dass das Gesetz für alle Unternehmen, die in der EU handeln, greift, unabhängig vom Hauptsitz der Firma,
- die Nachweispflicht, dass alles Nötige hinsichtlich des Datenschutzes im Unternehmen getan wird. Ist das nicht der Fall, sind nun erheblich höhere Strafen von bis zu vier Prozent vom Umsatz des Unternehmens möglich.
Was auf Unternehmen zukommt
Besonders kleine und mittelständige Unternehmen (KMUs) werden von den Änderungen im Datenschutz betroffen sein. Denn KMUs sind weniger als Großunternehmen in der Lage, in Beratung zu investieren. Zertifizierungen von Produkten und Dienstleistungen könnten deshalb künftig eine immer größere Rolle spielen, soweit man mit ihnen nachweisen kann, dass Unternehmen DSGVO-konform mit ihren Daten umgehen. Michael Wiedemann sieht hier einen neuen Markt für Wirtschaftsberater, Zertifizierer und externe Datenschutzbeauftragte. „Sie profitieren am stärksten von der Verordnung, denn viele Unternehmen sind nicht in der Lage, eigene Organisationen für Datenschutz aufzubauen“, erläutert der stellvertretende Datenschutzbeauftragte der SAP.
Welche Vorkehrungen SAP trifft
Für den Konzerndatenschützer spielen Zertifizierungen schon heute eine wichtige Rolle. Ein wichtiger Bestandteil der Datenschutzstrategie von SAP ist ein Datenschutzmanagementsystem, das SAP bereits seit sieben Jahren im Einsatz hat. „Es ist nach dem British Standard 10012 zertifiziert“, erläutert Wiedemann. Die Londoner British Standards Institution (BSI) bietet, so Wiedemann, derzeit „den einzigen zertifizierbaren Standard für den Aufbau und Betrieb von Managementsystemen und berücksichtigt in seiner aktuellen Fassung bereits die Anforderungen der Datenschutzgrundverordnung“.
Wesentliche Merkmale eines solchen Datenschutz-Managementsystems sind eine detaillierte Dokumentation der datenschutzrelevanten Prozesse und deren Datenflüsse. Hier stehen viele Unternehmen organisatorisch noch am Anfang. „Selbst, wenn diese Voraussetzungen im Unternehmen existierten, so blieben in vielen Fällen die notwendigen regelmäßigen Kontrollen in Form von Audits aus,“ erklärt Wiedemann. Deswegen überprüft er in 100-150 Audits im Jahr Mitarbeiter an diversen Standorten hinsichtlich ihres Datenschutzwissens. Laut Wiedemann seien systematische Kontrollen der einzige Weg, um das Datenschutz-Niveau über alle Einheiten und Standorte hinweg dauerhaft hoch zu halten. Neben den intensiven internen Überprüfungen lässt sich die SAP jedes Jahr zusätzlich durch die BSI in weiteren 40-50 Audits überprüfen. „Die BSI erstellt einen jährlichen Auditbericht, den wir unseren Kunden zugänglich machen. So haben die Kunden die Möglichkeit, unsere Datenschutzaktivitäten nachzuvollziehen und zu bewerten.“
Was für die SAP intern noch zu tun ist
Auch intern kommt auf die SAP noch Arbeit zu. Das „Führen eines Verzeichnisses der Verarbeitungstätigkeiten“ für alle Verfahren bei der SAP ist ein Beispiel für die noch anstehenden Aufgaben. Die diesbezügliche Regelung des Artikels 30 der DSGVO ist eine deutliche Erweiterung der alten Forderung des Verfahrensverzeichnisses, wie es aus dem BDSG bekannt ist. In vielen Unternehmen werden diese Verzeichnisse gar nicht oder nur rudimentär gepflegt. Es müssen sowohl existierende Prozesse als auch neu aufgesetzte Verfahren aller Unternehmensbereiche dokumentiert und datenschutzrechtlich geprüft werden. „Sie müssen die Verfahrenskontrolle so aufsetzen, dass sie bis in die Kapillaren des Unternehmens reicht“, berichtet Wiedemann. Bei der SAP werden täglich aus Ideen neue Produkte und Services entwickelt.
„Jedes dieser Verfahren muss gelistet sein und zeitnah auf Datenschutzkonformität geprüft werden“, erläutert Wiedemann, der alle Verfahren dezentral erfassen lässt. Hierzu hat die SAP eigens ein System entwickelt, welches es auch datenschutzunerfahrenen Mitarbeitern ermöglicht, ein Verfahren selbständig zu erfassen und durch das Programm automatisch bewerten zu lassen. „Wer ein neues Verfahren schafft, hievt es nun direkt in das zentrale Verzeichnis.“ Bis Ende des Jahres sollen alle Verfahren gelistet sein – mehr als 1.000 insgesamt.