IT-Sicherheit und der Schutz persönlicher Daten standen im Zuge der Digitalisierung schon immer weit oben auf der To-do-Liste von Unternehmen. 2017 allerdings könnte dem Datenschutz in vielen Organisationen noch mehr Beachtung geschenkt werden als bisher, wie die Ergebnisse einer aktuellen IT-Trends-Studie von Capgemini zeigen. Grund dafür ist eine Neuregelung des Schutzes von Personendaten in der EU, die mit der sogenannten Datenschutz-Grundverordnung erfolgt. Obwohl diese etliche Neuerungen und vor allem hohe Strafen bei Nichteinhaltung der Vorgaben bringt, scheinen die IT-Verantwortlichen in europäischen Unternehmen bislang nur unzureichend vorbereitet zu sein. So wissen laut einer IDC-Studie 80 Prozent der IT-Entscheider in KMUs nicht genau, wie sich die Datenschutz-Grundverordnung auf ihr Unternehmen auswirkt oder kennen diese noch gar nicht. Immerhin gaben fast 60 Prozent an, sie würden an der Umsetzung der neuen Regulierungen arbeiten. Doch was verbirgt sich hinter dem sperrig klingenden Namen? Und warum ist die EU-Datenschutzrichtlinie für Unternehmen so wichtig?
Die EU-Datenschutz-Grundverordnung – worum es geht
Ende Mai 2016 trat die Datenschutz-Grundverordnung (DSGVO) in Kraft, eine Richtlinie und Direktive der EU, die den Schutz personenbezogener Daten regelt. Anzuwenden ist die Regelung nach einer zweijährigen Übergangsfrist ab Ende Mai 2018, also in etwas mehr als einem Jahr. Unternehmen sind deshalb gefordert, aktiv zu werden und herauszuarbeiten, was die DSGVO für sie bedeutet und wie sie sich darauf vorbereiten können.
Auf der Website der Europäischen Kommission (Englisch) heißt es dazu: „Mit diesen neuen Regelungen soll den Bürger die Kontrolle über ihre personenbezogenen Daten zurückgegeben und das regulatorische Umfeld für Unternehmen vereinfacht werden.“
Datenschutzgesetze sind in der EU nichts Neues. Dennoch haben die neuen Regelungen der DSGVO signifikante Auswirkungen auf die aktuellen Datenschutzvereinbarungen, die Änderungen erforderlich machen. Zum einen wird aus der Direktive nun eine in allen EU-Staaten gültige Verordnung mit vollem Durchgriffsrecht im Status eines nationalen Gesetzes. Und auch die britische Regierung hat trotz BREXIT versichert, die DSGVO in Großbritannien umzusetzen (zum Blog-Post des britischen Information Commissioners zu dieser Thematik geht es hier (Englisch)).
Ein weiterer wichtiger Aspekt: mit der DSGVO drohen nun empfindliche Strafen, wenn Einzelpersonen oder Unternehmen die gesetzlichen Vorschriften nicht einhalten. Kleinere Verstöße durch Betriebe werden mit bis zu zehn Millionen Euro oder bis zu zwei Prozent des weltweiten Gesamtumsatzes im vorhergehenden Finanzjahr geahndet – es gilt dabei der höhere Betrag. Für gravierende Gesetzesübertretungen sind Strafen bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Gesamtumsatzes im vorangegangenen Finanzjahr möglich. Auch hier wird der jeweils höhere Betrag herangezogen. An dieser Stelle muss noch einmal betont werden, dass dies nicht nur den Umsatz der in der EU ansässigen Unternehmenssparten betrifft, sondern den weltweiten Gesamtumsatz des Unternehmens.
Was der „Schutz der personenbezogenen Daten von EU-Bürgern“ bedeutet
Die DSGVO schützt die personenbezogenen Daten aller Bürger der Europäischen Union und erlegt Unternehmen, die personenbezogenen Daten sammeln und verwalten (Englisch), deshalb bestimmte Pflichten auf. Die datenverarbeitenden juristischen Personen werden als „Verantwortliche“ bezeichnet. In der EU ansässige, weiterverarbeitende Organisationen unterliegen der DSGVO ebenso wie Unternehmen außerhalb der EU, die personenbezogene Daten von EU-Bürgern verarbeiten. Die Richtlinie betrifft daher auch nicht nur in der EU ansässige Unternehmen. Die Einhaltung der EU-DSGVO ist auch außerhalb der EU erforderlich (die DSGVO gilt für alle Unternehmen, die innerhalb der EU Geschäfte tätigen).
Das Sammeln und Verarbeiten personenbezogener Daten (Englisch) ist zulässig, solange es aus einem in der DSGVO definierten, berechtigten Interesse erfolgt. Zum Beispiel „wenn die Datenverarbeitung für den Schriftverkehr, etwa für die Rechnungsstellung, Einstellungsverfahren oder eine Kreditanfrage erforderlich ist, oder wenn die Verarbeitung aufgrund einer gesetzlichen Verpflichtung erfolgt […]“
„Berechtigte Interessen“ an der Speicherung und Aufbewahrung personenbezogener Daten sind beispielsweise Gesetze, die das Speichern von Inhalten regeln – wie zum Beispiel für steuerlich relevante Daten oder Dokumente. In diesen Fällen ist die Aufbewahrung der eingescannten Rechnung von Lieferant oder Kunde nicht nur gerechtfertigt, sondern Pflicht.
Wie sich die DSGVO auf die Business-Prozesse im Tagesgeschäft auswirkt
In den täglich stattfindenden Geschäftsprozessen werden etliche personenbezogene Daten verarbeitet und gespeichert. Diese betreffen Geschäftspartner wie Kunden oder Lieferanten während der Procure-to-Pay- und Order-to-Cash-Prozesse. Sehen wir uns als konkretes Beispiel ein Unternehmen an, das seine Geschäftsprozesse mit SAP ERP verwaltet und OpenText für die Zuordnung geschäftlicher Dokumente zu diesen Prozessen einsetzt.
Selbstverständlich geht es dabei nicht nur um die in der SAP-Datenbank der führenden Unternehmensanwendung (ERP, CRM, etc.) generierten und gespeicherten Daten, sondern auch um die während des Vorgangs erfassten geschäftlichen Dokumente. Denken Sie etwa an die auf Papier eingehende Rechnung eines Lieferanten. Diese wird eingescannt, mittels ArchiveLink mit der Transaktion verknüpft und anschließend sicher in OpenText™ Archive Center (Englisch) gespeichert. Im Falle eines Bestellvorgangs wäre es die eingehende Bestellung und ein Lieferschein für den Kunden, die in SAP mit dem Bestellvorgang verknüpft und OpenText gespeichert werden.
Im Mai 2018 kommt die DSGVO nach einer zweijährigen Übergangsfrist zur Anwendung. Die Frist sollte eine Vorbereitung des öffentlichen und privaten Sektors auf die neuen Regelungen ermöglichen.
Wie sich Unternehmen bestmöglich auf die DSGVO vorbereiten sollten
Organisationen müssen neue Vorschriften und Prozesse unter Berücksichtigung der Kriterien zur Speicherung von personenbezogenen Daten aufgrund berechtigter Interessen einrichten. Nur dann ist sichergestellt, dass sie die Daten nicht nur lang genug aufbewahren, um gesetzlichen Verpflichtungen wie etwa Steuer- oder Produkthaftungsgesetzen nachzukommen, sondern sie auch in einem angemessenen Zeitrahmen löschen, wenn die Daten nicht länger benötigt werden oder das berechtigte Interesse an ihrer Aufbewahrung wegfällt.
Wie Sie mit Hilfe von OpenText die DSGVO-Anforderungen in einer SAP-Umgebung erfüllen, darüber informieren wir Sie regelmäßig in unserem deutschsprachigen Blog. Schauen Sie einfach mal vorbei. Hier und hier finden Sie weitere Beiträge zum Thema.
Erfahren Sie auch auf unserer Website mit welchen Funktionalitäten OpenText EIM unsere Kunden bei der Vorbereitung auf die DSGVO unterstützt (Englisch).
DSGVO On-Demand-Webinar von OpenText und der Digital Clarity Group
In diesem Webinar besprechen Janet de Guzman von OpenText und Tim Walters von der Digital Clarity Group die Grundsatzfragen, über die auch Ihr Unternehmen diskutieren sollte.
Das erwartet Sie:
- Neue Erkenntnisse zu den Bestimmungen der DSGVO und welche Erwartungen die Konsumenten zur Nutzung ihrer Daten haben
- Wie Unternehmen Chancen ergreifen und im Rahmen der DSGVO Wettbewerbsvorteile schaffen können
- Tools, um mit Partnern und internen Interessensvertretern in einen konstruktiven Dialog zu treten
Hier erhalten Sie Zugriff auf die Aufzeichnung des englischsprachigen Webinars „New EU Data Policies Will Transform Business Practices Across the Organization: Get Ready for the GDPR“.