Im Interview: Dr. Dierk Schindler und Jörg Hesske, NetApp Positive Auswirkungen der EU-DSGVO

Die Europäischen Datenschutzgrundverordnung (EU-DSGVO) wirkt sich in zweierlei Hinsicht grundsätzlich positiv aus – zu den Kernpunkten der Europäischen Datenschutzgrundverordnung (EU-DSGVO) beziehen zwei Experten gegenüber „Line-of.biz“ (LoB) Stellung: Dr. Dierk Schindler, Head of EMEA Legal & Deal Management sowie Head of Global Legal Shared Services bei NetApp und Jörg Hesske, Managing Director Germany bei NetApp.

Änderungen

LoB: Wie sehen in Ihren Augen die wesentlichen Änderungen aus?
Jörg Hesske: Die EU-DSGVO wirkt sich in zweierlei Hinsicht grundsätzlich positiv aus. Zum einen vereinheitlicht die Verordnung die Datenschutzregelungen in der EU. Zum anderen sieht das neue Regelwerk die Möglichkeit vor, dass Unternehmen eng mit den Behörden interagieren können, um unter anderem auch branchenspezifische sogenannte ‚Codes of Conducts‘ zu erstellen. Damit ist das Erarbeiten von Datenschutzrichtlinien gemeint, zu denen sich Vertreter einer Branche verpflichten. Anderseits erhöht sich das Risiko erheblich für die Unternehmen, die personenbezogene Daten nicht compliant behandeln. Ihnen drohen drakonische Strafen von bis zu 20 Millionen Euro oder bis zu 4 Prozent ihres weltweit erzielten Jahresumsatzes. Betrachtet man die konkreten Änderungen wie ‚Privacy by Design‘, ‚Privacy by Default‘ oder das ‚Recht auf Vergessenwerden‘ wird schnell klar, welche tiefgreifenden Veränderungen die DSGVO in Gang setzt. Es sind völlig neue Prozesse und eine Agilität im Datenschutz erforderlich. Compliance definiert sich so als Fähigkeit, jederzeit auf Datenschutzanforderungen reagieren zu können, was technisch wie auch prozessseitig Herausforderungen mit sich bringt. Ein weiterer Knackpunkt stellt zudem das veränderte Haftungsszenario dar, wonach der ‚Herr der Daten‘ und der Auftragsdatenverarbeiter gemeinsam in der Pflicht stehen.

LoB: Was bringen die Forderungen nach Privacy by Default und Privacy by Design mit sich?
Dr. Dierk Schindler: Es muss ein Umdenken in der Applikationsentwicklung stattfinden. Denn erst am Ende datenschutzkonforme Lösungen zu implementieren, funktioniert nicht mehr. ‚Privacy by Design‘ besagt, dass Applikationen, die personenbezogene Daten verarbeiten werden, den Datenschutz bereits in ihrer Grundstruktur und in ihrem Design berücksichtigen. Diese Fähigkeit müssen Entwickler bedenken und implementieren. Und aus ‚Privacy by Default‘ leitet sich die Vorgabe ab, dass eine Anwendung in den Voreinstellungen den höchstmöglichen Datenschutz gewährt. Ein Nutzer, dem das zu konservativ ist und der mehr Einblicke in seine Daten geben will, muss selbst aktiv werden und der Datenverarbeitung bewusst zustimmen – so schreibt es das Gesetz jetzt vor.

Auswirkungen der EU-DSGVO

LoB: Welche konkreten Auswirkungen haben die Vorgaben auf die IT-Umgebung der Unternehmen?
Jörg Hesske: Der Gesetzgeber macht keine Vorschriften, wie eine IT organisiert sein muss. Die DSGV formuliert allerdings klar, wie der Umgang personenbezogener Daten in einer IT-Umgebung auszusehen hat. Ein Unternehmen muss deshalb erst einmal seine Daten klassifizieren, um herauszufinden, wo intern personenbezogene und nicht personenbezogen Daten erzeugt, verarbeitet und abgelegt werden. Durch Digitalisierungsinitiativen, Cloud-Verträge oder dem Beziehen von Infrastructue as a Service kommt viel auf die interne IT zu. Die Datenmengen erhöhen sich dramatisch, was die Beantwortung der Klassifizierungsfrage nicht einfacher macht: Welche Daten bedürfen einer besonderen Fürsorge? Viele Unternehmen haben die Datenklassifizierung noch gar nicht vollzogen. Erschwerend kommt hinzu, dass Digitalisierungsvorhaben oder App-Entwicklungen außerhalb der normalen IT laufen – und meistens auf Geschäftsführungsebene aufgehängt sind. Selbst ein CIO hat nicht immer die Übersicht, was alles in den Digitalisierungsprojekten passiert. Eine Unternehmens-IT steht also vor der Herausforderung, im Zuge der nötigen DSGV-Konformität alles wieder einzufangen. Wie? Dafür haben wir von NetApp Workshops konzipiert, um Unternehmen beispielsweise zur Hybrid-Cloud-Readiness zu führen, was in der ersten Bestandsanalyse die technische, juristische und kaufmännische Seite beleuchtet. Im nächsten Schritt geht es dann an die Datenklassifizierung.

LoB: Wie müssen Unternehmen den Punkt „Datenschutzbeauftragter“ angehen?
Jörg Hesske: Positiv. Denn es ist die Chance, intern eine Rolle für einen Spezialisten zu schaffen, der nicht nur dem Gesetz genüge tut, sondern früh im Prozess den Datenschutz einbringt. Er verhindert, dass es ein spätes Erwachen mit bösen Überraschungen gibt. Im internationalen Vergleich hat Deutschland einen Standortvorteil, weil das Bundesdatenschutzgesetz schon den Datenschutzbeauftragten für große Unternehmen vorsieht.

LoB: Wie wird mit dem Thema „Auftragsverarbeiter“ umgegangen?
Dr. Dierk Schindler: Die Rechtslage ist so, dass Unternehmen die Auftragsdatenverarbeitung sauber vertraglich abbilden müssen. Dazu lassen sich Standardverträge nutzen. Zudem hat sich das Haftungsrisiko deutlich erhöht, was Auftragsdatenverarbeiter und Datenerheber gleichermaßen betrifft, denn sie stehen beide in der Verantwortung. Beide Seiten eint also das Interesse, die DSGVO einzuhalten.

LoB: Wie sieht es mit der Dokumentation der Verarbeitung von personenbezogenen Daten aus?
Dr. Dierk Schindler: Das saubere Dokumentieren von Hauptzweck, Entstehung, Handling, Zugriff und Verarbeitung dieser Daten im Unternehmen oder beim externen Dienstleister ist entscheidend. Sonst kann ein Unternehmen kein sinnvolles Impact Assessment durchführen, so wie es die DSGVO vorsieht. Das angestrebte Eingrenzen von Risiken soll einen Dominoeffekt auslösen. Tritt ein bestimmtes Szenario ein, wird vorkehrend der Zugriff verweigert. Das funktioniert nur, wenn alle Datenprozesse klar definiert und dokumentiert sind. Gleiches trifft auf die Umsetzung von ‚Privacy by Design‘, ‚Privacy by Default‘ und dem ‚Recht auf Vergessenwerden‘ zu. Bei letzterem muss ein Unternehmen schon genau wissen, wo eine Person eine Datenspur hinterlassen hat, um diese auf Verlangen komplett eliminieren zu können. Eine saubere Dokumentation bildet eine Grundvoraussetzung, um die DSGV umzusetzen. Sie wird aber noch stiefmütterlich behandelt.

LoB: Wie muss mit „Pannen“ bei der Datenverarbeitung umgegangen werden?
Jörg Hesske: Unternehmen haben die Pflicht, künftig einen Datenschutzverstoß innerhalb von 72 Stunden an die Aufsichtsbehörde zu melden. Auch muss die betroffene Person informiert werden. Typischerweise dauert es jedoch heute in der Regel Monate oder sogar Jahre, bis es gelingt, eine Datenschutzverletzung aufzudecken. Daran lässt sich erkennen, wie groß die Herausforderung ist, diese Informationspflicht technisch und prozessual zu erfüllen. Mit der Verschlüsselung personenbezogener Daten zeigt die DSGVO jedoch einen Weg auf, sich von der Informationspflicht zu befreien.
Dr. Dierk Schindler: Der Datenschutz spielt heute in der öffentlichen Wahrnehmung eine ganz andere Rolle als noch vor ein paar Jahren. Viele Unternehmen besetzen das Thema deshalb positiv und proaktiv. Sie verfahren nach der Einsicht, dass ein sorgsamer und pannenfreier Umgang mit den Daten das ist, was der Endkunde oder Verbraucher erwartet.

LoB: Wie lässt sich die Haftung bei Verstößen gegen die EU-DSGVO einschränken?
Dr. Dierk Schindler: Anonymisierung, Pseudonymisierung sowie die erwähnte Verschlüsselung von personenbezogenen Daten stuft der Gesetzgeber als geeignete Maßnahmen ein, die de facto einen Schaden bei einer Datenschutzverletzung verhindern. So entfällt nicht bloß die Informationspflicht gegenüber der Aufsichtsbehörde und der betroffenen Person, sondern wird etwaigen Haftungsansprüchen vorgebeugt. Außerdem behalten Unternehmen die Kontrolle über die öffentliche Kommunikation, wenn gegen den Datenschutz verstoßen wurde. Denn mit verschlüsselten Daten können Cyberkriminelle nichts anfangen. Am Anfang eines Projektes sollten sich Unternehme allerdings fragen, ob sie personenbezogene Daten verarbeiten wollen oder ob es reicht, anonymisierte Daten zu nutzen. Generell senken Unternehmen ihr Haftungsrisiko, wenn sie ihre Daten klassifizieren und den Umgang mit ihnen vollständig abbilden.

Umsetzen von EU-DSGVO-Projekten

LoB: Wie lauten die Erfahrungswerte aus bislang angegangenen Projekten?
Jörg Hesske: Je proaktiver ein Unternehmen den Datenschutz angeht und in sein Geschäft verankert, umso mehr holt es aus seinen Daten heraus. Es geht aber nicht nur um Effizienz. Wer die DSGVO bei der Erschließung neuer Geschäftsfelder mitdenkt, handelt ganzheitlich. Aus dem Wissen, wo und wie sensible und unkritische Daten erzeugt werden, leitet sich der optimale Umgang ab, was unter anderem ein Verschieben und Verarbeiten der Information in der Cloud bedeuten kann. Das größte Don‘t wäre, wenn die Unternehmen, die sich noch gar nicht mit der DSGVO beschäftig haben, weiter weggucken und hoffen, dass alles funktioniert. Für sie wird es höchste Zeit, zu starten.
Dr. Dierk Schindler: Die drakonischen Strafen, die bei Verstößen drohen, haben sicher viele Unternehmen motiviert, zu handeln. Anderseits entsteht bei vielen dadurch der Eindruck, dass die EU die DSGVO gegen das Unternehmertum richtet. Das Gegenteil ist der Fall, denn das neue Regelwerk soll mittel- und langfristig den digitalen Markt in Europa befördern.

LoB: Was sind die empfehlenswerten Vorgehensweisen für die Umsetzung?
Dr. Dierk Schindler: Es lohnt sich für Unternehmen, intensiv die Webseiten der Datenschutzbehörden anzuschauen. Die Behörden geben nicht nur Leitfäden für die Umsetzung der DSGVO heraus, sondern veröffentlichen ständig weiterführende, sehr gute Materialien. In der Praxis hat sich nach unserer Erfahrung außerdem ein Vorgehen bewährt, wonach die DSGVO als integraler Bestandteil der IT-Strategie betrachtet wird. Gerade vor dem Hintergrund, dass hybride Umgebungen die Realität darstellen, gilt es Geschäft, Datenschutz und Cloud miteinander zu verzahnen. Genauso sinnvoll wie nötig ist es, alle Stakeholder vom CIO über CDO, Datenschutzbeauftragten, Legal, Einkauf und HR an einen Tisch zu holen. Ein solches Projekt lässt sich nur gemeinsam von denen stemmen, die letztendlich Datenschutz und IT-Strategie im Unternehmen beeinflussen. Verabschieden sollte man sich davon, dass keine sensiblen Daten das Unternehmen verlassen dürfen. Es gibt heute viele zertifizierte Spezialisten, die personenbezogene Daten in eine Private Cloud verlagern können. Oder IT-Dienstleister bieten einen Managed Service für digitale Personalakten an. Diese zertifizierte externe Expertise steht für ein hohes Datenschutzniveau ein und lässt sich gezielt beim Umbau der IT einsetzen. (rhh)

Hier geht es zum Thema DSGVO bei NetApp