Skip to main content

Was die EU-Datenschutzgrundverordnung für Ihr Unternehmen bedeutet

EU Datenschutzgrundverordnung ERP Anbieter

Namen, Mail-Adressen, Fotos, Bankverbindungen… Wissen Sie genau, wie in Ihrem Unternehmen die Vielzahl an personenbezogenen Daten von Kunden, Interessenten, Partnern und Mitarbeitern erfasst, gespeichert und verarbeitet wird? Falls nicht, ist es fünf vor zwölf!

Denn am 25. Mai 2018 tritt die neue EU-Datenschutzgrundverordnung (DSGVO) in Kraft, mit weitreichenden Konsequenzen für nahezu jedes Unternehmen in Europa.

Unternehmen sind nicht ausreichend für die DSGVO gerüstet

Ziel der DSGVO 2018 ist es, den Schutz personenbezogener Daten zu stärken – mit einheitlichen Compliance-Verpflichtungen über europäische Grenzen hinweg. Zwar gibt es bereits jetzt ein Datenschutzgesetz in Deutschland, doch die europäische Datenschutzrichtline verschärft die alten Regelungen teils deutlich. Nach Studien und Umfragen unterschätzen viele Unternehmen die neuen Verpflichtungen und sind nicht ausreichend auf die DSGVO vorbereitet:

  • Laut einer Studie der International Data Corporation (IDC) hatten 44 Prozent der befragten deutschen Unternehmen im Oktober 2017 noch keine konkreten Maßnahmen ergriffen.
  • AIIM berichtete im Report „Understanding GDPR Readiness in 2017“, dass nur sechs Prozent aller Unternehmen ausreichend auf die EU-DSGVO vorbereitet sind, während die anderen Unternehmen entweder noch im Planungsstadium sind oder die Veränderungen im schlimmsten Fall gar nicht auf dem Radar haben.
  • Nach einer Prognose des Forschungsinstituts Gartner werden Ende 2018 rund die Hälfte aller von der EU-DSGVO betroffenen Unternehmen noch nicht compliant sein.

Gefährliche Zahlen, denn sobald die DSGVO Gesetz wird, werden auch Verletzungen gegen den Datenschutz teuer: Die Höhe der Bußgelder kann bis zu vier Prozent des jährlichen Umsatzes betragen – ein Strafmaß, das für manche Mittelständler existenzbedrohend sein könnte, von Imageschäden ganz abgesehen. Höchste Zeit also, die Prozesse auf Kurs mit den Änderungen der DSGVO zu bringen.

  1. Einwilligung
    Alle Personen müssen explizit in die Speicherung und Verarbeitung ihrer Daten einwilligen – und zwar, bevor das Unternehmen sie erhebt. Diese Einwilligung muss jederzeit nachgewiesen werden können.
  2. Widerruf der Einwilligung
    Jede Person kann der Verarbeitung ihrer Daten jederzeit widersprechen. Im Fall eines Widerspruchs benötigen Unternehmen ausreichend effiziente Prozesse, die sicherstellen, dass die Daten tatsächlich nicht mehr genutzt werden, beispielsweise zur Bildung von Kundenprofilen in Marketing und Vertrieb.
  3. Recht auf Löschung
    Jede Person kann die vollständige Löschung ihrer Daten verlangen („Recht auf Vergessenwerden“). Unternehmen sind verpflichtet, auf Anfrage alle personenbezogenen Daten, die im Unternehmen existieren, zu bündeln und zu löschen.
  4. Datenzugriff
    Jede Person hat das Recht, alle erhobenen personenbezogenen Daten einzusehen. Voraussetzung ist eine strukturierte und transparente Datenspeicherung.
  5. Datenübertragung
    Die DSGVO vereinfacht außerdem die Datenübertragung zwischen verschiedenen Dienstleistern. Auch hier sind Workflows nötig, um Daten sicher, schnell und mit möglichst geringem Aufwand an andere Unternehmen zu portieren.
  6. Privacy by design
    Die Vorschriften der DSGVO müssen bei der Entwicklung und Ausgestaltung von Workflows und IT-Systemen von Anfang an berücksichtigt werden („Datenschutz durch Technikgestaltung“). Ziel ist es, beispielsweise durch Pseudonymisierung und Verschlüsselungen die „Schwachstelle Mensch“ auszuschalten und so Datenschutzverletzungen zu minimieren.
  7. Melde- und Dokumentationspflicht
    Die EU-Datenschutzgrundverordnung fordert, dass nach einer Datenpanne binnen 72 Stunden an die zuständige Datenschutzaufsichtsbehörde gemeldet werden muss. Bedeutet die Datenpanne ein hohes Risiko für die persönlichen Rechte und Freiheiten des Betroffenen, so ist außerdem der Betroffene unverzüglich „in klarer und einfacher Sprache“ zu unterrichten. Gleichzeitig muss die Datenschutzverletzung ausführlich dokumentiert werden, inklusive der Auswirkungen und den ergriffenen Maßnahmen. 

    Generell erhöht die DSGVO die Dokumentationspflichten: Es reicht nicht mehr wie bisher aus, sich an das Gesetz zu halten und die Aufsichtsbehörden müssen einen Verstoß nachweisen, sondern die Beweispflicht wird umgekehrt: Unternehmen müssen jederzeit in der Lage sein, die Einhaltung der Auflagen durch ein Verfahrensverzeichnis nachzuweisen.


Welche Abteilungen sind von der EU Datenschutzgrundverordnung betroffen?

Viele Unternehmen verorten die Umsetzung der EU Datenschutzgrundverordnung als reines IT-Thema. Ein Irrtum, denn die Auflagen betreffen alle Abteilungen, die personenbezogene Daten erheben, verarbeiten oder speichern - also nahezu jeden Unternehmensbereich:

  • Mitarbeiter in der Buchhaltung und im Controlling verarbeiten zwangsläufig jeden Tag personenbezogene Daten. Vorteil: Die Buchhaltung zählt erfahrungsgemäß zu den „Automatisierungspionieren“ innerhalb der Unternehmen und ist in vielen Fällen technologisch gut gerüstet, um die DSGVO umzusetzen. Nichtsdestotrotz müssen alle Prozesse überprüft, dokumentiert und gegebenenfalls neu organisiert werden. Wichtige Fragestellungen sind: Existieren die notwendigen Formulare, mit denen die Einwilligung in die Datenverarbeitung eingeholt wird? Sind die notwendigen Workflows definiert, um Korrekturen und Löschungen rechtskonform sowie zeitnah zu erledigen? Besteht ausreichender Datenschutz beim Austausch mit externen Partnern wie beispielsweise dem Steuerberater?
  • Marketing & Vertrieb sind auf Big Data angewiesen, sind sie doch das „Öl“ für Vertriebsmotoren wie Omnichannel-Marketing und personalisiertes Marketing. Was Marketer und Vertriebler ab Mai 2018 zwingend brauchen, sind rechtlich einwandfreie Rechtsbelehrungen zum „Opt-In“, unkomplizierte „Opt-Out“-Verfahren und eine klare Dokumentation aller gesammelten Daten sowie Interaktionen. Ebenso wichtig ist eine stabile und strukturierte Data Warehouse Architektur.
  • Häufig übersehen: Die EU Datenschutzgrundverordnung stärkt auch die Rechte von Arbeitnehmern und Bewerbern. Personalabteilungen müssen deshalb künftig mehr dokumentieren und ihre Arbeitsabläufe auf den Prüfstand stellen: Reicht der Schutz sensibler Personalstammdaten und Arbeitsverträge aus? Gibt es Zugriffskontrollen und/oder eine räumliche Trennung der Daten? Relevant für HR-Verantwortliche ist auch das Recht auf Löschung: Fällt der Zweck der Verarbeitung weg, etwa durch Ablehnung eines Bewerbers, müssen die Daten unverzüglich gelöscht werden. Sollen Bewerberdaten beispielsweise in einem Talent Pool verbleiben, ist die Einwilligung des Bewerbers einzuholen. Arbeiten Personalabteilungen mit externen Partnern wie Job-Portalen oder mit HR-Software aus der Cloud, sollten auch diese DSGVO-konforme Datenverarbeitungsprozesse nachweisen können.
  • Die IT-Verantwortlichen müssen die Datensicherheit und den transparenten Datenzugriff sicherstellen und Workflows technisch umsetzen. Bei der Einführung neuer Systeme oder Eigenprogrammierungen sind die Anforderungen der DSGVO bezüglich „Privacy by Design“ zu beachten. Speichert das Unternehmen Daten in einer Cloud, ist zudem zu prüfen, ob der Cloud-Anbieter geeignete Datenschutz-Maßnahmen gemäß EU-Datenschutzgrundverordnung nachweisen kann (beispielsweise durch eine Zertifizierung).
  • Die Rechtsabteilung sollte rechtzeitig alle relevanten Verträge überprüfen, ob sie mit der DSGVO konform sind – insbesondere die AGB, Arbeitsverträge, Datenschutzerklärungen und Allgemeine Geschäftsbedingungen.

EU-Datenschutzgrundverordnung: Die Uhr tickt!

Für Unternehmen, die jetzt ihre Hausaufgaben noch nicht gemacht haben, wird die Zeit knapp. Es ist ratsam, dass Manager das Projekt DSGVO nicht länger auf die lange Bank schieben, sondern schnellstmöglich eine Task Force aus IT, HR, Datenschutzbeauftragten und Vertretern aller betroffenen Unternehmensabteilungen bilden. Wichtige Schritte auf dem Weg zur DSGVO-Compliance sind die Bestandsaufnahme aller Prozesse („Gap Analyse“), die Überprüfung verwendeter Formulare und Verträge, Einrichtung einer Verfahrensdokumentation, Schulung von Mitarbeitern und technischer Datenschutz.

kostenloses ebook bereit fuer die datenschutzgrundverordnung

© Bild: fotolia.com / Maxim_Kazmin / Bildnummer: 46508009

0721 / 96723-263
+43 1 319 15 19
+49 721 96 72 30
703-444-2500
+38 061 21 37 855
+420 241 931 544
+31 (0)85 3033 555
+421 903 717 980
+55 - 11 5054 - 5500
+852-2793-3317
+91 77559 04373
+62 (21) 293 19 366
+603-56124999
++94 76 666 9070
+66 81 6297375
+359 2 423 61 56

Kontakt

Diese Einwilligung können Sie jederzeit durch eine Nachricht an [email protected] widerrufen. Wir versichern Ihnen, dass die Angaben streng vertraulich und nur von der abas Software AG sowie den abas Software Partnern gemäß unserer Datenschutzerklärung genutzt werden.

abas Hauptsitz

0721 / 96723-263
abas Software AG
Gartenstraße 67
76135 Karlsruhe
Deutschland

Nittmann und Pekoll GesmbH

+43-1-319-15-19
abas Austria
Rufgasse 9/25
1090 Wien
0721 / 96723-263
abas Software AG
Gartenstraße 67
76135 Karlsruhe
Deutschland

North American Headquarters

703-444-2500
abas USA
45999 Center Oak Plaza
Suite 150
Sterling, VA20166

Infocom Ltd.

+38 061 21 37 855
bul. t. Shevchenko, 56
Zaporozheye
69001

amotIQ sro

+420 241 931 544
Belnická 603
252 42 Jesenice u Prahy

ABAS Business Solutions Nederland BV

+31 (0)85 3033 555
abas Netherlands
Beilerstraat 24
9401 PL Assen

amotIQ sro

+421 903 717 980
amotIQ sro
Palarikova 36
900 28 Ivanka pri Dunaji

SHP Informática Ltda

+55 - 11 5054 - 5500
SHP Informática Ltda
Alameda dos Jurupis, 452, 7°andar - Conjunto 73/74
Sao Paulo - SP 04088-001

abas Business Solutions Limited

+852- 2793-3317
abas Hong Kong
1621, New Tech Plaza
34 Tai Yau Street
Hong Kong

abas Force India Pvt. Ltd.

+91-77559-04373
abas India
303, Aspiro Complex, Opp. Thyssenkrupp,
Pimpri Stn. Road, Pimpri,
Pune 411018

PT. abas Information Systems

+62 (21) 293 19 366
abas Indonesia
11620 Taman Aries, Jakarta barat Jakarta
Grand Aries Niaga G1-2H

Synchro RKK Sdn Bhd

+603-56124999
abas Malaysia
Sunway Geo Avenue,
Jalan Lagoon Selatan
Sunway South Quay,
Bandar Sunway
Subang Jaya Selangor 47500

Providence Global Pvt Limited

+94 770415387
Providence Global Pvt Limited
752/1
Dr De Silva Mawatha
Colombo 09

Wisdom Information Systems

+66-29340451/52/53
Wisdom Information Systems
208/5 Ladprao Soi 126
Bangkok 10310

abas Бизнес Сълюшънс България ООД

+359 2 423 61 56
abas Бизнес Сълюшънс България ООД
жк. Младост 1А, бл.553А, офис 1
1729 София