Die Datenschutz-Grundverordnung und meine IT-Abteilung

Mit dem Wortungetüm "Datenschutz-Grundverordnung", kurz DSGVO, greift ab dem 25.Mai 2018 in Europa ein neues Gesetz zum Umgang mit personenbezogenen Daten. Von der neuen Regelung sind nicht nur Unternehmen, sondern auch Organisationen und im Speziellen deren IT-Abteilungen betroffen, die täglich mit Nutzerdaten arbeiten. Obwohl die Anforderungen keinesfalls restriktiv ausgelegt sind, müssen grundlegende Prozesse überarbeitet und teilweise neu organisiert werden.

 

Personenbezogene Daten sind der heilige Gral der Datenschützer. Über keine andere Sache wird so häufig und verbissen gestritten, wie der Umgang mit Informationen, die eine Person bis ins kleinste Detail beschreiben können. Kein Wunder, dass nun auch die Verarbeitung und Handhabung dieser sensiblen Daten gesetzliche Aufmerksamkeit erfährt.
Mit der ab Mai geltenden DSGVO führt die EU ein strenges Gerüst für Unternehmen ein, die Daten von lebenden Personen in irgendeiner Form speichern und weiter verarbeiten.

Dabei wird besonders das „Recht auf Vergessen“ und das „Recht auf Auskunft über gespeicherte Daten“ gestärkt. Zu jedem Zeitpunkt muss es möglich sein, personenbezogene Daten zu löschen oder deren Verbleib und Nutzung transparent nachvollziehen zu können.

 

Hohe Strafen für Unternehmen

Grundsätzlich sollten sich Unternehmen möglichst bald mit der DSGVO auseinandersetzen. Das beginnt bei der Hinzuziehung von internen oder externen Experten, die sich bereits mit dem entsprechenden Gesetzestext auseinandergesetzt haben und endet mit der internen Schulung für Mitarbeiter, die direkt mit der neuen EU-Gesetzeslage in Kontakt kommen. So lässt sich schon im Vorfeld vermeiden, dass es zu Konflikten kommt, die durch Wissen hätten verhindert werden können.
Denn: Bei Verstoß gegen die DSGVO haftet das Unternehmen beziehungsweise die Unternehmungsleitung und nicht die IT-Abteilung. Die Verantwortung der IT-Zuständigen kann sich aber nicht so einfach von der Hand weisen lassen. Grob fahrlässig wäre es deshalb, den Eisberg zu ignorieren, statt ihm auszuweichen.
Die saftigen Geldstrafen von bis zu 20 Millionen Euro oder 4% des gesamten weltweit erzielten Jahresumsatzes machen deutlich, wie ernst es die Gesetzesväter mit der neuen Richtlinie meinen. (Stand März 2018)

 

IT-Abteilungen in der Pflicht

Besonders Unternehmen, die mit einer Client Management Lösung die Bereiche Asset Management und Helpdesk abdecken, sind angehalten mögliche gespeicherte, personenbezogene Daten nachvollziehbar und sicher zu behandeln. Während bei Modulen wie ACMP AUT (Application Usage Tracking) und ACMP Retired Clients bereits strenge Datenschutzrichtlinien greifen, die auch mit den Forderungen der Betriebsräte konform gehen, sind ab sofort die Daten aus Helpdesk und Asset Management ebenfalls entsprechend sensibel zu behandeln. Ganz gut fährt man mit der Taktik, nicht mehr Daten zu speichern als nötig.

Mit der DSGVO gibt es eine Reihe neuer und wichtiger Verpflichtungen für Unternehmen, die Sie zu beachten haben. Die Unternehmen müssen nun viel verantwortungsvoller mit Nutzerdaten umgehen. Besonders wichtig für IT-Abteilungen ist es jetzt direkt am Ball zu bleiben.
Der komplette Text der Verordnung findet sich auf der Homepage der EU: http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679&from=DE

 

Dieser Blogpost entstand in Zusammenarbeit mit Michael Rot, Praktikant bei Aagon 2018.