Organisationen und Technologie an einem Tisch

Organisationen und Technologie an einem Tisch

Es ist ein uraltes Klischee, dass die IT-Abteilung in ihrer eigenen Welt lebt und dass nicht jeder zu wissen scheint, ob die Unternehmenspolitik von der IT bestimmt wird oder umgekehrt.

Im Alltag der Unternehmen sorgt die IT-Abteilung dafür, dass die Laptops und Mobilgeräte der Mitarbeiter funktionieren, was sehr weit weg von der obersten Hierarchieebene zu sein scheint. Eines wissen wir jedoch bereits über die DSGVO: Mit ihrer neuen und detaillierten Herangehensweise an den Datenschutz bringt sie die IT-Abteilung und den Rest der Organisation nicht nur näher zusammen, sondern sorgt auch dafür, dass die Organisation und die Technologie selbst näher zusammenrücken müssen.

Jon Baines, Vorsitzender der britischen National Association of Data Protection and Freedom of Information Officers (NADPO), sagt: „Wenn die IT und der Rest der Organisation aufgrund der DSGVO näher zusammenrücken, dann durch die Erkenntnis, dass es beim Thema Datenschutz im Kern nicht um Systeme, nicht um Bits und Bytes, sondern um Menschen geht.

Die aktuellen Datenschutzgesetze beruhen auf europäischen Gesetzen, die über 20 Jahre alt sind, sich auf Compliance konzentrieren und manchmal nahelegen, dass die Aufgabe durch einfaches Abhaken erledigt werden kann. Die DSGVO dagegen wird dafür sorgen, dass mehr über die Integration einer Unternehmenskultur nachgedacht wird, in der die Privatsphäre und Autonomie der Menschen respektiert wird.“

Die DSGVO-Compliance wird unter anderem mithilfe einer Technologie erreicht, die die Interessen der Menschen in den Mittelpunkt der Tätigkeit einer Organisation stellt. Gleichzeitig ist die Compliance jedoch ein zweigleisiger Prozess: Eine Reihe von Maßnahmen sorgt dafür, dass die Technologie Compliance erreichen kann, während andere Maßnahmen von der Organisation selbst getroffen werden müssen.

Tim Turner, Berater für Datenschutz und Anbieter von Schulungen, weist darauf hin, dass „eine Reihe von Dingen rein technischer und formalrechtlicher Natur sind: Wenn Sie nicht bereits mit den Vorbereitungen begonnen haben, wird es sehr schwer werden, das nachzuholen.“

Eine wichtige technologische Aufgabe ist laut Baines das „Mapping vorhandener Datenflüsse – wo, wie und warum verarbeitet die Organisation Daten? Ist die Verarbeitung notwendig? Ist die Organisation offen und transparent und fair in dem, was sie tut? Verstehen die Menschen, warum ihre Daten verarbeitet werden, und haben sie die Gelegenheit, eine Verarbeitung abzulehnen oder Nein zu sagen?“

Eine weitere wichtige technologische Überlegung ist die Verschlüsselung: Das Unternehmen muss entscheiden, welche Verschlüsselungstechnologie eingesetzt wird, und muss die Ausgewogenheit zwischen der Schnelligkeit beim Abrufen und Bearbeiten der Daten und dem Verarbeitungsaufwand der Verschlüsselung managen. Darüber hinaus muss darüber gesprochen werden, wie die Verschlüsselung aktiver Daten und gespeicherter Daten gemanagt wird: Wo soll diese Aufgabe erledigt werden? Führt das beispielsweise zu einem Upgrade der Servertechnologie, sodass die Verschlüsselung in der Client-Anwendung und nicht in der Datenbank gehandhabt wird? Oder wählt die Organisation lieber einen Cloud-Anbieter, der das problemlose Management unterstützt?

Baines sagt: „Eine Verschlüsselung ist in den meisten Fällen eine Selbstverständlichkeit, Techniken zur Pseudonymisierung können vom Gesetz jedoch auch als Risikominderung anerkannt werden.“

Für Unternehmen ist es eine technologische Herausforderung, die Ausübung der Rechte ihrer Kunden, Partner, Klienten, Mitarbeiter, Lieferanten – kurz gesagt all ihrer Datensubjekte – zu gewährleisten. Dazu müssen Unternehmen zuverlässige, sichere und robuste Technologien implementiert haben – die Dokumentation von Einwilligungen muss ebenso gewährleistet werden wie der angemessene Zugang zu den Daten durch das Datensubjekt und gegebenenfalls die Korrektur und Löschung der Daten.

Diese Technologien müssen in Ihre Geschäftsprozesse integriert werden. An diesem Punkt stellt sich die Frage, wo und wie die Organisation mit der Technologie zusammenarbeitet. „Für einige Branchen ist das möglicherweise sehr wichtig“, sagt Baines. „Sie müssen sich auf die Kosten dafür vorbereiten. Was passiert beispielsweise, wenn eine große Gruppe unzufriedener Kunden darauf aus ist, ihr Recht auf Datenübertragbarkeit auszuüben?

Mithilfe der zu implementierenden Organisationsprozesse wissen Sie nicht nur, wie Ihre Datenflüsse aussehen, sondern auch was Sie in der Cloud speichern“, fügt Tim Turner hinzu. „Und“, sagt er, „Sie kommen nicht damit durch, wenn Sie nicht wissen, was an wen und wo ausgelagert wurde. ‚Ich habe mich auf meinen Anbieter verlassen‘ ist keine Ausrede mehr. Sie müssen alle Fragen selbst beantworten können.“

Andere Änderungen stellen das Unternehmen und weniger die Technologie vor Herausforderungen, Sie müssen beispielsweise verstehen, ob Sie einen Datenschutzbeauftragten ernennen müssen. Judith Vieberink, eine Anwältin der niederländischen Niederlassung von First Lawyers, weist darauf hin, dass sich diese Rolle deutlich von anderen Mitarbeitern unterscheidet: „Ein Datenschutzbeauftragter muss vom Vorstand und dem Auditor unabhängig sein.“

Sie fügt hinzu: „Sie könnten einen Datenschutzbeauftragten in Ihrem Unternehmen beschäftigen, Sie müssen dann jedoch seine/ihre Unabhängigkeit bewahren. Möglicherweise ist es für Ihr Unternehmen sinnvoll, eine Beraterfirma für die Pflichten eines DPO zu engagieren und keinen Mitarbeiter intern als Datenschutzbeauftragten zu beschäftigen.

Die DSGVO ist ein großer Paradigmenwechsel für Unternehmen. Jeder Experte wird Ihnen auf die Frage nach den wichtigen Änderungen antworten, dass die Verordnung den Datenschutz direkt in Ihren Verantwortungsbereich verlegt, d. h. Sie müssen dafür sorgen, dass Ihre Mitarbeiter ihre jeweilige Verantwortung kennen, wenn sie personenbezogene Daten handhaben oder verarbeiten. Bis zur Frist im nächsten Jahr müssen Datenregler und Auftragsverarbeiter daher in Ihrer Organisation Schulungen zu allen neuen Technologien, die Sie implementieren, aber auch zu ihren Pflichten und Verantwortlichkeiten durchlaufen haben.

Insbesondere in Großbritannien müssen sich Unternehmen bei Datenübertragungen einer besonderen Herausforderung stellen: Zwar hat die britische Regierung die Implementierung der DSGVO bestätigt, aber sobald Großbritannien die EU 2019 verlässt, „sind wir außen vor“, bemerkt Jon Baines. „Wir brauchen die Zustimmung der EU, um zurückzukehren. Unternehmen, die sich auf internationale Übertragungen verlassen, wägen bereits ab. In einem Worst-Case-Szenario müssen sie möglicherweise mit mühsamen, einschränkenden und bürokratischen Systemen kämpfen, um Daten zwischen Standorten zu bewegen.“

Die DSGVO ist Datenschutz v2.0, der auf Anforderungen aufbaut und harmonisiert und einen einheitlichen Rahmen schafft, der nicht nur EU-weit, sondern auch für Unternehmen außerhalb der EU gilt, die Daten von EU-Bürgern handhaben. Es ist der größte Paradigmenwechsel seit Jahrzehnten. Kluge Unternehmen wissen bereits um die großen Veränderungen, die für die Technologie und die Organisation im Rahmen der Verordnung anstehen.

Die DSGVO ist aber nicht nur eine Herausforderung. Sie ist auch eine Chance auf ein Arbeitsklima, das alte Barrieren zwischen der IT und der Führungsebene durchbricht, um eine gemeinsame, dynamische Partnerschaft im Mittelpunkt Ihrer Organisation aufzubauen.

CISO Compliance-Beauftragter Datenschutzverstoß Recht

Teilen Sie uns in der Diskussion bei LinkedIn Ihre Meinung mit!

ABONNIEREN

Melden Sie sich an und erhalten Sie aktuelle Informationen zu DSGVO & Beyond