Die Europäische Datenschutz-Grundverordnung (DSGVO) war wohl die am stärksten prägende IT-Regulierung für Unternehmen und die Gesellschaft innerhalb der letzten Jahre. Ab dem 25. Mai 2018 nahmen sich viele Unternehmen die Themen Daten-Compliance, Governance und Datenschutz viel stärker an als zuvor und vielen immer wieder eine tragende Rolle.
Obwohl diese Themenaspekte nun seit vielen Jahren das Tagesgeschäft vieler mit Daten arbeitenden Unternehmen dominieren, tun sich einige selbst nach zwei Jahren immer noch schwer das erforderliche Level an Datenschutz zu erreichen. Selbst nach einem Jahr des Inkrafttretens der DSGVO konnten lediglich 25 Prozent der deutschen Unternehmen volle DSGVO-Konformität vorweisen, so eine Studie von Bitkom.
Demnächst wird die Europäische Kommission einen 2-Jahres-Bericht zur DSGVO veröffentlichen, wobei auch hier davon auszugehen ist, dass Compliance weiterhin für viele Unternehmen eine Herausforderung darstellt. Dabei sollten Unternehmen die DSGVO-Richtlinien nicht so sehr als eine Einschränkung sehen, sondern vielmehr als eine Chance, den Umgang mit ihren Daten genau im Blick zu haben.
Die oben genannten 25 Prozent haben dieses Potential bereits erkannt und DSGVO-Konformität mit hoher Wahrscheinlichkeit durch die Entwicklung einer datengetriebenen Kultur im Unternehmen erreicht. Der Rest fühlte sich schlichtweg von den riesigen Datenmengen, die sie in den Jahren vor der DSGVO gehortet haben, überfordert.
Im Folgenden sind einige Schritte aufgeführt, die Unternehmen mit einer datengetriebenen Kultur unternommen haben, um DSGVO-Konformität bereits innerhalb des ersten Jahres zu erreichen:
- Zentralisierung von Daten
Die meisten Unternehmen arbeiten heute mit einer Vielzahl von Cloud-Diensten und –Anwendungen, die alle einen Zugang zu ihren Daten in Echtzeit erfordern. Unternehmen, die einen einzigen zentralen Zugriffspunkt für ihre Daten haben, fällt es wesentlich leichter alle Aktivitäten zu überwachen, zu analysieren und somit potenzielle DSGVO-Verletzungen schneller zu erkennen.
- Monitoring & Auditing
Unternehmen wurden und werden weiterhin regelmäßig auf ihre DSGVO-Konformität geprüft. Um stets Konformität vorweisen zu können, müssen Unternehmen auch selbstständig regelmäßige Audits ihrer Datenschutz-Praktiken durchführen und Protokoll über alle ihre Daten führen, die gespeichert, verarbeitet und übermittelt werden.
- Ernennung eines Datenschutzbeauftragten
Laut DSGVO-Verordnung, müssen Unternehmen, deren Kerntätigkeit eine umfangreiche Verarbeitung personenbezogener Daten oder Datenverarbeitung enthält, einen Datenschutzbeauftragten bestellen. Dieser ist verantwortlich für das Hinwirken auf die Einhaltung aller relevanten Datenschutzvorschriften, der Überwachung bestimmter Prozesse und die Sensibilisierung der Mitarbeiter.
- Bestätigung der rechtlichen Grundlage für Datenverarbeitung
Transparenz und die Gewährleistung, dass alle Verbraucher volle Kontrolle über ihre Daten haben, sind die Kernstücke der DSGVO. Deshalb müssen Unternehmen stets sicherstellen, dass sie den Zweck für das Sammeln und Speichern von Daten im Voraus festlegen – sei es durch die Zustimmung des Kunden, einer Vertragserfüllung, berechtigtes Interesse oder aufgrund sonstiger Basis. Schlussendlich haben die Nutzerrechte Vorrang vor den Rechten der Controller und Nutzer müssen vor diesem Hintergrund stets die Möglichkeit haben, Zugang zu ihren Daten zu erhalten, diese zu ändern, die Nutzung einzuschränken oder eine Löschung der Daten zu beantragen.
Unternehmen mit diesen Strukturen und Richtlinien sind in der Lage eine datengetriebene Kultur zu entwickeln, welche die Basis für DSGVO-Konformität darstellt. Sobald diese Daten-Kompetenz erreicht wird, werden Unternehmen nicht nur von der DSGVO-Konformität profitieren – im Gegensatz zu einigen Wettbewerbern – aber auch von wertvollen, geschäftstreibenden Erkenntnissen, die aus ihren zentralisierten Daten geschöpft werden können.