Der Tag des jüngsten Gerichts ist gekommen und liegt bereits hinter uns. Ich bin mir sicher, dass überall Führungskräfte aufgeatmet haben. Aber wenn Sie Mitglied eines Compliance-, Marketing- oder Datenschutzteams sind, wissen Sie, dass die Arbeit gerade erst begonnen hat.

An manchen Tagen fühlte es sich so an, als wäre ich in einem Albtraum gefangen und hätte Schwierigkeiten, die Prozesse zu ändern. Aber jetzt, wo alles vorbei ist, bin ich erstaunt über das, was wir als Team in so kurzer Zeit erreicht haben. Ich würde nicht nach einer anderen Verordnung als dieser verlangen, aber ich war schon immer pro DSGVO. Positiv gesehen war ich Teil einer positiven Veränderung, an die ich geglaubt habe, und ich bin stolz auf das Endergebnis.

Ich kann mir nur annähernd den unterschiedlichen Arbeitsaufwand vorstellen, den andere Unternehmen zu leisten hatten, um konform zu sein. Und viele haben noch einen langen Weg vor sich. Aber zumindest der Großteil der Arbeit ist geschafft.

Es war ein Höllenritt. Es lohnt sich also, kurz über die Erfahrungen nachzudenken, die wir gemacht haben, um DSGVO-konform zu werden. Ich würde gerne Ihre eigenen Erfahrungen und Erkenntnisse über Ihren Weg zur Compliance in den Kommentaren lesen. Vergleichen wir unsere Notizen!

Auditing and Planung

So schwierig sich eine Aufgabe auch anhört: Der beste Weg, um die Implementierung zu planen besteht darin, die Verordnung effektiv zu lesen. Ich habe versucht, nach Zusammenfassungen oder Aufzählungspunkten zu suchen. Aber das kostet mehr Zeit, als man hat, um die Lücken zu füllen, und man muss immer jemandem dankbar sein, der eine Zusammenfassung geschrieben hat. 

Am Ende muss man den Stier bei den Hörnern packen und sich einfach hinsetzen und die Verordnung von vorne bis hinten lesen. Die DSGVO ist ein komplexes Werk. In der Realität musste ich die etwas "vagen" Bereiche mehrmals lesen.

HR/Ressourcen

Auch wenn dies in der Verordnung nicht streng vorgeschrieben ist, ist es sehr wichtig, einen Datenschutzbeauftragten in Ihrem Unternehmen zu ernennen. Sie fungieren nicht nur als zentraler Ansprechpartner für das DSGVO-Projekt, sondern können auch vom Rest des Unternehmens als Autorität in allen datenbezogenen Angelegenheiten angesehen werden.

Ein Datenschutzbeauftragter sollte dafür verantwortlich sein, das Gesetz im Unternehmen umzusetzen. Er wird jedoch ein Team von Leuten brauchen, um diese Richtlinien auf praktischer Ebene umzusetzen. Wo Verfahrensänderungen erforderlich sind, ist eine komplexe Kenntnis der Abteilungsverfahren erforderlich, und der Datenschutzbeauftragte wird diese nicht haben. Bei der Auswahl eines "DSGVO Tiger Teams" ist es äußerst wertvoll, aus jeder Ihrer Abteilungen jemanden auszuwählen. So minimieren Sie als verantwortlicher Projektmanager die Anzahl der erforderlichen Personen, um Informationen zu erhalten.

Gestaltung der Kundenerfahrung

Der Kunde (d. h. die betroffene Person) steht im Mittelpunkt der Verordnung. Schließlich ist sie nur darauf ausgelegt, seine Rechte und Freiheiten zu stärken. Ein Teil der Benutzererfahrung muss darin bestehen, die Tatsache zu vermitteln, dass sie für ihre Daten verantwortlich sind. Ihnen gehören die Daten. Wir leihen sie uns nur aus, bis sie sie zurückhaben wollen.

Natürlich gibt es lokale gesetzliche Maßgaben, die Vorrang haben (denken Sie an Finanzverordnungen) und Branchenvorschriften (denken Sie an CA/Browser Forum) und es gibt Verarbeitungsaktivitäten, die wir nicht vermeiden können und die wir in unserer Verpflichtung, die Pflichten eines Vertrages zu erfüllen, tätigen. Dies sind jedoch alles Back-Office-Dinge, die Verbraucher in der Regel nicht interessieren. Sie möchten nur wissen, dass sie steuern können, welche Mitteilungen sie erhalten und dass alle Daten, die sie uns geben, sicher gespeichert und rechtmäßig gemäß ihren Wünschen verarbeitet werden.

Sicherheit und Datenschutz

Eines der Kernprinzipien der neuen Verordnung ist "Privacy-by-Design-by-Default (Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen)". Das bedeutet, dass jede Datenverarbeitungsaktivität, jedes System, das Sie verwenden, und alles Neue, das Sie einführen möchten, ob maßgeschneidert oder von der Stange, die Rechte und Freiheiten der betroffenen Person in den Vordergrund der spezifizierten Anforderungen stellen muss. Sie können sie nicht länger nachträglich einbauen. Wir haben uns mit allen Bereichen des Unternehmens zusammengesetzt und Verfahren und Tools analysiert, um zu ermitteln, woher unsere Daten stammen und wo sie bleiben. Wir haben auch Risikobewertungen und Datenschutz-Folgenabschätzungen für diese Aktivitäten durchgeführt. Dies war eine sehr nützliche Übung, um Bereiche aufzuzeigen, die zur Einhaltung der Anforderung verändert werden mussten.

Kommunikation

Schulung und Sensibilisierung der Mitarbeiter sind nicht nur eine wesentliche Voraussetzung, sondern auch gute Praxis. Seien wir mal ehrlich: Solange es nicht Ihr Hauptberuf ist, kennen Sie die Feinheiten des Gesetzes nicht und was es für das Unternehmen als Ganzes bedeutet, ganz zu schweigen von Ihrer spezifischen Rolle.

Hier kommt fokussierte und passende Schulung ins Spiel. Ich habe mich diesem Thema so genähert, dass ich einige Zeit darauf verwendete, einen allgemeinen Überblick über die Grundlagen der Datenverarbeitung, die Auswirkungen von Datenschutzverletzungen usw. zu geben und dann jeder Abteilung/Rolle klarzumachen, wie diese sie betreffen. Beispiel aus dem täglichen Leben waren der Schlüssel für das Verstehen und die Wissensaufnahme. Es ist ein umfangreiches Thema und in der Realität ziemlich trocken. Es ist also wichtig, in kleinen und häufigen Häppchen zu schulen. Ich beginne eine Schulungseinheit immer mit einer kurzen Wiederholung der vorherigen. Eine jährliche Prüfung, einfach nur so, wirft immer einige unerwartete Fragen auf.

Technologie

Der Großteil der Vorschriften befasst sich mit Prozessen und Verfahren und stellt sicher, dass dies alles angemessen dokumentiert wird. Als Nebenprodukt davon erzielen Sie auch ein hervorragendes Change Management, denn wenn sich ein Prozess oder ein Werkzeug ändert, tut dies das Dokument auch, um dies widerzuspiegeln. Natürlich können Technologielösungen Ihnen wirklich dabei helfen, einige der Kernkriterien des IAM (um eine verifizierte Zugangskontrolle zu gewährleisten) bis zur Verschlüsselung (ein explizit bereitgestellter Mitigationsfaktor) zu erreichen.

Es ist wichtig, sich daran zu erinnern, dass es keinen "Königsweg" gibt. Die Einhaltung der DSGVO ist ein Höhepunkt, dass alle diese Komponenten härter werden und als eine ganzheitliche Lösung fungieren. In den Artikeln 28 bis 30 wird die Haftung zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter dargestellt. Also unabhängig davon, wie Sie sich bei Ihren Lieferanten, Geschäftspartnern und anderen Dritten positioniert haben, sind Sie auch verantwortlich, wenn diese Ihre Daten verlieren.

Vor diesem Hintergrund haben wir die Entscheidung getroffen, einige Auditierungsaufgaben mit allen unseren Drittparteien durchzuführen, um ihre DSGVO-Compliance/-Bereitschaft, Maßnahmen zur Informationssicherheit und andere Geschäftspraktiken sicherzustellen. Und wenn wir mit dem Ergebnis nicht zufrieden waren, gaben wir ihnen etwas Zeit um die richtigen Maßnahmen zu ergreifen, oder sie erhielten von uns die Kündigung. Warum würden Sie Ihr Unternehmen freiwillig durch den Fehler eines anderen gefährden, wenn Sie vorbeugende Maßnahmen ergreifen können?

Ständige Wiederholung

Die DSGVO trat am 25. Mai 2018 in Kraft (nachdem sie bereits etwa zwei Jahre zuvor ratifiziert wurde). Es ist ein schwerer Fehler zu denken, dass, wenn Sie alle Vorbereitungen getroffen haben und Sie denken, Sie sind am Ziel und das magische Datum kommt, dass alles vorbei ist. Ist es aber nicht - es fängt erst wirklich an.

Jetzt beginnt die harte Arbeit, wenn Sie die Compliance aufrecht erhalten, alles, woran Sie in den letzten zwei Jahren so hart gearbeitet haben, beibehalten und natürlich die Manager für Unternehmensproduktivität zufriedenstellen müssen. Es vereitelt das Ziel, wenn Sie das sicherste und konformste Unternehmen der Welt haben, wenn es nicht arbeiten kann.

Es versteht sich von selbst, dass sich Ihre Prozesse mit der Zeit weiterentwickeln werden, wenn neue Technologien verfügbar werden, und es bleibt eine Herausforderung, mit allem Schritt zu halten. Wenn Sie dies jedoch tun, ist Ihr Unternehmen dasjenige, das als dasjenige herausragt, das weiß, worum es geht, das Produkte und Dienstleistungen kompetent liefern kann und seinen gesamten Ruf auf seine Fähigkeit, das Wichtigste - die personenbezogenen Daten aller Mitarbeiter, Kunden und Nutzer - zu schützen, einsetzt.