Prozessmanagement und DSGVO – Herausforderungen

Die Datenschutzgrundverordnung (DSGV) ist eine seit dem 25. Mai 2018 geltende Verordnung, welche die Verarbeitung von personenbezogenen Daten aus und in Europa regelt. Mit dem geltend werden der DSGVO ist auch ein neues BDSG in Kraft getreten, welches die DSGVO für das deutsche Recht erweitert. Die DSGVO regelt, wie Konzerne, Unternehmen, Behörden und Vereine mit personenbezogenen Daten umgehen müssen. Als personenbezogene Daten zählen jene Daten, die auf eine Person zurückführbar sind. Dazu zählen beispielsweise Namen, Adressen, IP-Adressen usw. Dabei stellt uns die DSGVO jedoch nicht nur vor einige Herausforderungen, sondern bietet uns in Bezug auf das Prozessmanagement auch wertvolle Chancen.

Vor welche Herausforderungen stellt uns die DSGVO?

In Deutschland änderte sich vor allem die Höhe der Strafen auf bis zu 4% des Konzernumsatzes. Deswegen ist die DSGVO in den Fokus vieler Unternehmen gerückt, welche nun den Datenschutz wesentlich entschiedener umsetzen. Durch die DSGVO werden vor allem die Rechte der betroffenen Personen (die Verbraucherrechte) gestärkt und dies Europaweit. Zu den Rechten der Betroffenen gehören unter anderem ein Recht auf Auskunft welche Daten von Ihm oder Ihr verarbeitet werden und das Recht auf Vergessenwerden was wiederum Unternehmen verpflichtet, Daten zu löschen falls keine Rechtsgrundlage mehr vorhanden sein sollte. Während des Inkrafttretens der DSGVO unterrichteten viele Unternehmen in beispielsweise Mails über die Verarbeitung der personenbezogenen Daten oder holten sich eine Einwilligung zum weiteren Versenden von Newslettern. Die Nachrichten berichteten über die DSGVO, Beratungshäuser überschwemmten Unternehmen mit Angeboten zur Umsetzung der DSGVO und Unternehmen suchten sich noch die letzten Datenschutzberater auf dem Beratermarkt aus. Kurz nach diesem Zeitraum nahm der Fokus bereits in der Öffentlichkeit wieder ab. Unternehmen werden häufig nachlässiger oder haben die DSGVO noch gar nicht umgesetzt. Dies bedeutet allerdings nicht, dass die Behörden nachlässiger wurden. Immer häufiger wird berichtet, wie Unternehmen aufgrund von Datenschutzverstößen oder Verstößen gegen die DSGVO Strafen auferlegt bekommen. Ein Jahr nach dem geltend werden der DSGVO ist in den Datenschutzbehörden langsam eine gewisse Routine entstanden für die Überprüfung von Unternehmen und den Umgang mit Datenschutzverstößen. Weswegen eine Umsetzung der DSGVO im eigenen Unternehmen immer dringender wird.

Wie kann uns Prozessmanagement helfen diese Herausforderungen zu meistern?

Die Anzahl der Auflagen welche die DSGVO den Unternehmen auferlegt ist groß. Der dadurch entstehende Aufwand für die Umsetzung sogar noch größer. Eine dieser Auflagen ist das in Artikel 30 vorgegebene Verzeichnis für Verarbeitungstätigkeiten. Was erstmal sperrig klingt, ist im Grunde nichts anderes als eine Auflistung von Prozessen in denen personenbezogene Daten verarbeitet werden.

Zu allererst sollten Sie prüfen ob Sie dazu verpflichtet sind ein Verarbeitungsverzeichnis zu führen. Unternehmen mit weniger als 250 Mitarbeitern sind nach Abs. 5 vom Führen eines Verarbeitungsverzeichnisses befreit, solange die vorgenommene Verarbeitung kein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, keine Verarbeitung besonderer Datenkategorien erfolgt oder die Verarbeitung nur gelegentlich erfolgt. Da die DSGVO „nur gelegentlich“ nicht genauer definiert, ist hier eine Auslegung schwierig. In den meisten Unternehmen ist allerdings davon auszugehen, dass regelmäßig Daten verarbeitet werden. So zum Beispiel über die eigene Homepage, den eigenen Webshop, CRM- und Lohnabrechnungssysteme. So fällt auch bei einer weiten Interpretation des Begriffs für die meisten Unternehmen der zusätzliche Aufwand an.

Wie sollten meine ersten Schritte aussehen?

Dafür muss in sämtlichen Bereich geprüft werden, ob und in welchen Prozessen personenbezogene Daten verarbeitet werden. Diese müssen aufgenommen werden inklusive der Zwecke der Verarbeitung (Art. 30 Abs. 1 lit. b), welche Daten verarbeitet werden und welche Personenkategorien davon betroffen sind (Art. 30 Abs. 1 lit. c). Es müssen der Verantwortliche und dessen Datenschutzbeauftrage genannt werden (Art 30 Abs. 1 lit. a), gegebenenfalls ein oder mehrere Empfänger der Daten (Art 30 Abs. 1 lit. d) und ob die Daten in ein Drittland übertragen werden (Art 30 Abs. 1 lit. e). Des Weiteren müssen die Fristen angegeben werden, wann Daten gelöscht werden (Art 30 Abs. 1 lit. f) und wenn möglich durch welche technischen und organisatorischen Maßnahmen die Prozesse und somit die Daten gesichert sind (Art 30 Abs. 1 lit. g).

Es ist zwar sehr detailliert vorgegeben, welche Informationen im Verarbeitungsverzeichnis geführt werden müssen, es ist allerdings nicht die Form vorgegeben. So können die Prozesse in einer Datenbank mit allen Attributen gespeichert werden, sie können vollständig modelliert nach der BPMN oder der EPK dargestellt werden oder als Prozess detailliert in Worten beschrieben werden. Der große Vorteil, der entsteht, wenn die Prozesse in einer Prozessnotation modelliert werden ist, dass diese dann nicht nur verwendet werden können, um das Unternehmen in diesem Punkt DSGVO konform aufzustellen, sondern auch um die Prozesse aus der Brille des Prozessmanagements zu betrachten und zu optimieren. Die DSGVO birgt somit auch die Chance nicht nur Kosten entstehen zu lassen, um Compliant zu sein, sondern auch viele Prozesse im Unternehmen zu prüfen und zu verbessern. Vor allem in nicht optimierten Prozessen entstehen in vielen Unternehmen häufig unnötig hohe Kosten oder Prozesslaufzeiten, weswegen oftmals auch Verbesserungs- und Einsparpotentiale gefunden werden können. Auch können so Risiken entdeckt werden, die zuvor nicht aufgedeckt wurden. Nicht nur personenbezogene Daten, sondern auch vertrauliche Unternehmensdaten können durch erhöhte Sicherheitsmaßnahmen und verbesserte Prozesse vor Diebstahl oder Missbrauch besser geschützt werden.

Die DSGVO und das BDSG stellen für viele Unternehmen immer noch ein Minenfeld dar. Wir unterstützen Sie gern dieses Minenfeld unbeschadet zu durchqueren. Kontaktieren Sie uns dafür einfach und wir beraten Sie in einem Erstgespräch über die bestmögliche Umsetzung der DSGVO bei Ihnen im Unternehmen.

Beitragsbild: https://pixabay.com/

Anzeige
Datenschutz