Haben Sie bereits einen Account?

  •   Personalisierte Inhalte
  •   Ihre Produkte und Ihr Support

Benötigen Sie einen Account?

Einen Account erstellen

Erkenntnisse aus der Vorbereitung auf die DSGVO

Für einen Sportwetten- und Online-Gaming-Anbieter aus Österreich bedeutete die Vorbereitung auf die DSGVO eine gewisse Lernkurve – trotz seiner Erfahrung im Umgang mit Kundendaten.

Im Frühjahr 2017 machte Michael Mrak sich für die anstehende Einführung der DSGVO bereit. Das Gesetz wurde als das umfangreichste Paket von Änderungen an den Datenschutzbestimmungen seit zwei Jahrzehnten bezeichnet.

Die seit Mai 2018 geltende Datenschutz-Grundverordnung (DSGVO) verlangt von jedem Mitglied der Europäischen Union einen strikteren Schutz von Verbraucher- und personenbezogenen Daten. Zudem fordert sie auch ein höheres Maß an Konsistenz zwischen den EU-Ländern beim Schutz personenbezogener Daten. Alle Unternehmen, auch außerhalb der EU, die Waren oder Dienstleistungen für EU-Bürger vermarkten, sind verpflichtet, die Bestimmungen der DSGVO einzuhalten.

Die Geldbußen bei Nichteinhaltung sind hoch: Unternehmen, die die Bestimmungen der DSGVO nicht einhalten, riskieren Strafzahlungen von bis zu 4 % ihres jährlichen weltweiten Umsatzes oder 20 Millionen Euro (je nachdem, welcher Betrag höher ist). Jetzt betrachten auch die USA sorgfältig Elemente der DSGVO. Der im Juni 2018 verabschiedete California Consumer Privacy Act bedeutet die Anwendung bestimmter Schutzmaßnahmen der DSGVO im Bundesstaat Kalifornien.

Für Compliance-Beauftragte, Chief Information Officers und unzählige weitere IT- und Business-Experten spielt die DSGVO eine immense Rolle, seit die Unternehmen im April 2016, als die EU die Verordnung verabschiedete, mit den Vorbereitungen begannen.

Michael Mrak, Leiter Compliance, Casinos Austria AG

Im Rahmen einer Veranstaltung zu seinen Erkenntnissen aus der Vorbereitung auf die DSGVO auf der RSA Conference 2019 erinnert sich Michael Mrak, Leiter Compliance bei Casinos Austria AG, einer Unternehmensgruppe für Online-Gaming und Sportwetten, dass diese Phase „anstrengend“ war. Die Unternehmen machten sich Sorgen, dass sie nicht in der Lage sein würden, die Anforderungen zu erfüllen, so Mrak.

Doch in Wahrheit wird die DSGVO-Konformität in Etappen erreicht, nicht mit einer einzigen Anstrengung. „Der ursprüngliche Plan des CEO und des Vorstands lautete, bis 25. Mai 2018 100 % konform zu sein“, sagte er. „Das ist es, was CEOs immer wollen: ‚Du musst konform sein. . . . Tu es einfach!‘ Doch dann schlägt die Realität zu.“

Das steht auch im Einklang mit den Daten von Unternehmen, die bestrebt sind, die DSGVO-Anforderungen zu erfüllen. EY und die International Association of Privacy Professionals haben für den IAPP-EY Annual Privacy Governance Report 2018 550 Datenschutzexperten zum Thema DSGVO-Konformität befragt. Mehr als die Hälfte der Befragten – 56 % – gaben an, sie seien zurzeit nicht konform oder würden niemals vollständig konform sein. Und in der kürzlich durchgeführten Cisco 2019 Data Privacy Benchmark Study gaben 42 % der Teilnehmer an, dass die Belastung durch die verschiedenen Datenschutzanforderungen ein wichtiges Problem auf dem Weg zur DSGVO-Konformität ist.

Letztendlich sind Unternehmen, die die Zeit dafür aufbringen, ihre Datenschutzmaßnahmen in Ordnung zu bringen, am besten positioniert, um DSGVO-konform zu werden. Jene Unternehmen, die Dokumentationsprozesse entwickeln, abteilungsübergreifende Allianzen bilden und Compliance als stetige Entwicklung betrachten, sind am besten aufgestellt, um Erfolge zu erzielen.

„Die Berater, mit denen wir gesprochen haben, sagen, dass es keine wirklich 100%ige DSGVO-Konformität geben kann“, schrieb Claudiu Dascalescu in einem Blog zur DSGVO-Konformität. „Versuchen Sie, basierend auf Ihrem eigenen Szenario eine effiziente Strategie für Datenschutz und Privatsphäre zu entwickeln.“

Empfehlungen zur DSGVO-Vorbereitung

Mrak teilte einige seiner Erkenntnisse seit 2016.

1.      Entwickeln Sie eine geschäftsbereichsweite Kommunikation. Mrak sagte, einer der wichtigsten Aspekte für die DSGVO-Bereitschaft sei die Erstellung eines Projektteams und die Zusammenarbeit mit einzelnen Geschäftsbereichen und Unternehmensfunktionen gewesen, von denen einige mit personenbezogenen Daten von Kunden arbeiten und andere zum Tragen kommen, wenn eine Verletzung vorliegt, beispielsweise die interne Revision und die Unternehmenskommunikation. Mrak merkte an, dass die verschiedenen Abteilungen schon früh in den Prozess eingebunden wurden und eine bestimmte Rolle übernahmen.

2.       Prüfen Sie Ihre DSGVO-Pläne gründlich. Casinos Austria stellte seine DSGVO-Schulungen und -Prozesse anhand der Simulation von zwei Szenarien auf den Prüfstand.

„Wir spielten einen Datenverlust durch sowie einen Fall, in dem Daten gestohlen und über die Medien offengelegt wurden“, erinnert sich Mrak. Das Unternehmen konnte seine Schulungen in diesen simulierten Szenarien gut umsetzen, stellte jedoch Lücken in seinen Prozessen fest. So konnte beispielsweise sein Kundenservice nicht über die Datenschutzverletzung in Kenntnis gesetzt werden. „Das ist ein großes Problem, weil es eine Anforderung der DSGVO ist. Man muss seine Mitarbeiter und Kunden informieren.“ Datenschutzkoordinatoren arbeiten eng mit den Compliance-Abteilungen zusammen.

3.       Erstellen Sie eine Datenlöschungsmatrix. Im regulatorischen Umfeld kann es zu widersprüchlichen Anforderungen an die Datenspeicherung kommen. „Es gibt zwei widersprüchliche Sätze von Datenschutzregelungen, die wir erfüllen müssen“, betonte Mrak.

So ist Casinos Austria beispielsweise laut einigen Bestimmungen verpflichtet, Transaktionsdaten von Kunden für unterschiedlich definierte Zeiträume zu speichern (steuerbezogene Daten müssen sieben Jahre gespeichert werden, andere Kundendaten müssen ggf. nur fünf Jahre gespeichert werden). Doch die DSGVO verlangt nach einer zeitnahen Löschung von Daten. Das Recht auf Vergessenwerden, eine weitere europäische Bestimmung, verlangt ebenfalls, dass ungenaue Daten über einen Benutzer auf dessen Aufforderung hin gelöscht werden. Diese widersprüchlichen Zielsetzungen – Daten zu speichern, um sicherzustellen, dass die Unternehmen in der Lage sind, Kundendaten und Transaktionsverläufe zu prüfen, und Daten zu löschen, um sie vor Datenschutzverletzungen oder Missbrauch zu schützen – verlangen häufig nach einer Datenlöschungsmatrix, damit Compliance-Beauftragte verstehen können, wann sie Daten löschen können (und wann eine Löschung ratsam ist).

4.      Kümmern Sie sich um Altsysteme ohne automatisierte Löschfunktionen. Viele ältere Datenbanksysteme mit Kundendaten sind ggf. nicht in der Lage, Daten basierend auf Ablaufterminen oder Kundenanforderungen automatisch zu löschen. Ohne Automatisierung können Compliance-Beauftragte in der Handhabung von Zeithorizonten und einmaligen Anfragen versinken. Die Unternehmen müssen Zwischenlösungen entwickeln, um die Automatisierung dieser Löschvorgänge zu unterstützen, damit die Dinge nicht aus dem Ruder laufen. Durch die Automatisierung der Prozessabwicklung wird künstliche Intelligenz in Zukunft eine wichtige Rolle in diesem Bereich spielen, so Mrak.

5.       Stellen Sie die Konformität mit anderen Bestimmungen sicher. Die Konformität mit anderen Normen und Bestimmungen kann bei der Vorbereitung auf die DSGVO hilfreich sein. Beispielsweise umfasst die Internationale Organisation für Normung ISO 27001, eine Norm für Informationssicherheit. Mrak sagte: „Informationssicherheit und Datenschutz sind zwar nicht das Gleiche, können aber auf die gleiche Weise gehandhabt werden. Hier kommen Normen zum Tragen. Wenn man ISO 27001 nutzt, kann man den technischen Aspekten der DSGVO-Anforderungen leicht gerecht werden.“

6.       Sichern Sie sich die Unterstützung des Vorstands. Wie bei vielen anderen Initiativen ist die Unterstützung durch den Unternehmensvorstand ausschlaggebend, damit die DSGVO-Konformität wirksam und effizient bleibt. Da die DSGVO der Geschäftsführung „sehr bewusst“ war, wurde das Projekt bei Casinos Austria funktionsübergreifend und mit hoher Priorität durchgeführt und war relativ erfolgreich. „Die große Menge an Meetings, die wir mit all den Systemverantwortlichen und führenden Angestellten hatten, war etwas überraschender, als ich erwartet hatte“, sagte Mrak.

DSGVO-Bereitschaft wird in Etappen erreicht, nicht mit einer einzigen Anstrengung

Gleichzeitig müssen Geschäftseinheiten und unterstützende Funktionen regelmäßig daran erinnert werden, wie sie für Effizienz sorgen und die Zahl der Fehler verringern können.  „Die interne Kommunikation ist immer noch ein enormer Aufwand“, sagte Mrak. „Als Botschafter dieses Anliegens renne ich immer noch durch die Abteilungen. Ich erkläre weiterhin: ‚Wir müssen Prozesse optimieren. Wir müssen automatisieren.‘“

Laut Mrak wird die Integration von automatischen Löschungs- und Ablaufdaten in Altsysteme noch bis 2020 andauern. Das kann ziemlich schwer zu vermitteln sein, da die DSGVO keinen direkten Beitrag zu den Geschäftsergebnissen eines Unternehmens leistet.

„Ich verrate Ihnen ein Geheimnis: Wir verdienen mit der DSGVO kein Geld“, sagte Mrak mit trockenem Humor. Gleichzeitig sieht er einen direkten Zusammenhang zwischen Konformität und Kundenbindung und Kundenzufriedenheit.

Die Cisco Studie zum Datenschutz spiegelt diesen Gedanken wider: 41 % der Befragten gaben an, dass sie durch ihre Investitionen in den Datenschutz im Rahmen der DSGVO-Vorbereitung einen Wettbewerbsvorteil erlangt hätten.

„Wenn sie vermitteln können: ‚Wir setzen alles daran, die Sicherheit Ihrer Daten zu gewährleisten. Wem vertrauen Sie, wenn Sie Geld ausgeben?‘, dann haben [Unternehmen] die Chance, Kunden zu gewinnen“, so Mrak.

Auf der anderen Seite laufen die Unternehmen Gefahr, viel zu verlieren, wenn sie ihren Datenschutz nicht in den Griff bekommen.

„Wenn Sie glauben, dass die Einhaltung der Bestimmungen teuer ist“, sagte Mrak, „dann versuchen Sie es erst mit Nichteinhaltung.“

Lauren Horwitz ist Managing Editor von Cisco.com, wo sie sich mit dem Markt für IT-Infrastruktur befasst und Content-Strategien entwickelt. Zuvor war Horwitz Senior Executive Editor im Bereich Business Applications and Architecture bei TechTarget, Senior Editor bei der IT-Forschungsgruppe Cutter Consortium und Editor beim American Prospect, einer politischen Fachzeitschrift. Sie erhielt Auszeichnungen von der American Society of Business Publication Editors (ASBPE), einen Best of the Web Award von min sowie den Kimmerling-Preis für die beste Abschlussarbeit für ihre Redaktionsarbeit am Zeitschriftenartikel „The Fluid Jurisprudence of Israel's Emergency Powers“.