Umsetzung der DSGVO: Alle müssen mit anpacken

0 Kommentare  
3798 Aufrufe  

In verschiedenen Veranstaltungen wurden Microsoft oft Fragen

zur Umsetzung der EU-Datenschutzgrundverordnung (DSGVO) gestellt. Die

Datenschutzexperten Nikolaus Bertermann, SKW Schwarz Rechtsanwälte, und Dominik

Stockem, Microsoft Deutschland GmbH, geben Antworten auf die häufigsten Fragen.

 

Die DSGVO stellt neue Anforderungen an Unternehmen.

Welche sind das und wie setzen Sie diese um?

 

Nikolaus BertermannNikolaus Bertermann: Zunächst kann man festhalten,

dass die DSGVO dem bisherigen deutschen Datenschutzrecht in den grundlegenden

Vorgaben sehr ähnlich ist. Verändert haben sich beispielsweise die

Informations-, Auskunfts- und Dokumentationspflichten. Auch Unternehmen, die bereits

eine gute Datenschutzdokumentation nach dem BDSG haben, müssen ihre

Datenschutzdokumentation und die Kommunikation gegenüber den Betroffenen

überarbeiten. Dabei müssen teilweise auch interne Prozesse neugestaltet werden,

z.B. zur Umsetzung der Datenschutz-Folgenabschätzungen oder für die

Beantwortung von Auskunftsersuchen Betroffener. Außerdem müssen auch neue

Pflichten beachtet werden, wie z. B. die datenschutzfreundliche

Technikgestaltung (Privacy by Default/Privacy by Design), das Recht auf Vergessenwerden

oder die regelmäßige Prüfung der technischen und organisatorischen Maßnahmen

gegen den Stand der Technik.

 

Wie kann man sich das konkret vorstellen? Welche

Schritte muss ein Unternehmen genau einleiten?

 

Dominik StockemDominik Stockem: Das war und ist ein sehr spannendes

Projekt, da es alle Fachbereiche betrifft und hier auch oft unterschiedliches

Verständnis der DSGVO aufeinandergetroffen ist. Man muss sich vorstellen, dass

bei Microsoft die gesamte Bandbreite der Anforderungen aus der DSGVO

vorzufinden ist. Das Vertrauen der Kunden in das Unternehmen hat dabei oberste

Priorität. Neben unseren internen Abläufen im Marketing und Vertrieb oder der

Personalabteilung und den anderen administrativen Bereichen hat die Microsoft

Corporation in den Produktgruppen die Einhaltung der Anforderungen der DSGVO

ganz nach vorne gestellt und die Entwickler für das Thema sensibilisiert.

Parallel dazu hat unsere Rechtsabteilung die Verträge angepasst, damit diese

ebenfalls die Anforderungen der DSGVO erfüllen.

 

Bertermann: Der wichtigste erste Schritt ist die

Erstellung des Verarbeitungsverzeichnisses. Darin werden alle

Datenverarbeitungen dokumentiert. Anhand dieses Verzeichnisses können im

Anschluss alle weiteren Anforderungen der DSGVO gesteuert und umgesetzt werden.

Sofern im Unternehmen ein gut geführtes Verfahrensverzeichnis besteht, kann

dieses als Basis für das neue Verarbeitungsverzeichnis dienen.

 

Wo sollten wir am besten ansetzen, was ist die beste

Vorgehensweise?

 

Stockem: Zunächst sollten Sie überprüfen, wo Ihr

Unternehmen aktuell steht. Gibt es eine Verarbeitungsübersicht? Im zweiten

Schritt sollten Sie schauen, ob sich die Verantwortlichen im Unternehmen über

die Anforderungen bewusst sind und wenn notwendig informieren. Der

Datenschutzbeauftragte kann die Aufgabe nicht ohne die Unterstützung der

Geschäftsleitung umsetzen. Danach fängt die operative Arbeit an: Holen Sie sich

die internen und externen Experten der Fachbereiche und Dienstleister oder

Partner mit ins Boot, die die Abläufe und IT-Systeme, aber auch die Regelungen

und Verträge kennen. Denken Sie nicht nur an die Kundendaten, sondern auch an

die Informationen von Partnern, Lieferanten und Mitarbeitern.

 

Bertermann: Es ist ganz wichtig zu beachten, dass der

Datenschutz nicht nur Kundendaten betrifft. Sie müssen im Projekt auch die

Mitarbeiterdaten berücksichtigen und die Daten der Ansprechpartner bei Partnern

und Dienstleistern. Auch dienstliche Kontaktdaten fallen unter den Begriff

„personenbezogene Daten“ und müssen daher im Projekt berücksichtigt werden.

Denken Sie auch daran, dass viele IT-Systeme Nutzerdaten speichern, die in

vielen Fällen auch als personenbezogene Daten anzusehen sind.

 

Wie sehen die Erfahrungen aus – was läuft gut und was

läuft nicht so gut?

 

Stockem: Mit dem Rückenwind der Unterstützung durch

die Geschäftsleitung, den Erfahrungen aus der Vergangenheit und dem Wissen,

dass auch die Corporation das Thema Kundenvertrauen als Priorität sieht, sind

viele Hürden gar nicht erst aufgebaut worden. Das war wichtig und hilfreich.

Eine große Herausforderung für mich persönlich war die jeweilige Einschätzung

des Datenschutzverständnisses meiner jeweiligen Gesprächspartner. Da sind

Sensibilität und Geduld gefragt. Außerdem war über einen langen Zeitraum nicht

bei allen Details klar, wie man diese lösen kann. Das betraf sowohl interne

Verarbeitungen, aber auch Teile der DSGVO. Diese Punkte haben wir offen mit den

zuständigen Aufsichtsbehörden diskutiert.

 

Bertermann: Man muss sich stets vor Augen halten,

dass die DSGVO nicht nur für die Unternehmen an vielen Stellen Neuland ist,

sondern auch für die Aufsichtsbehörden. Daher ist es häufig lohnenswert, auch

eigene Lösungen zu entwickeln und diese mit der Aufsichtsbehörde oder über

Verbände abzustimmen. Es gibt mit der DSGVO zukünftig die Möglichkeit, für

Branchen oder bestimmte Verarbeitungen Standardvertragsklauseln oder

Zertifizierungen zu etablieren.

 

Wie geht Microsoft mit den Daten in der Cloud um?

 

Stockem: Dazu haben wir umfangreiches

Informationsmaterial auf unseren Webseiten zur Verfügung gestellt.

 

Hier ist für jeden etwas dabei, vom Cloud-Kompendium bis zur

GDPR und Security Roadshow. Sowohl zum Nachlesen als auch zum Anschauen, oder

aber persönlich. Microsoft hat das Thema inzwischen bei fast allen

Veranstaltungen mit auf der Agenda, sei es auf der Microsoft Partnerkonferenz,

auf den Veranstaltungen in Berlin, Köln, Frankfurt und München.

 

Was passiert mit meinen Daten in Deutschland im Rahmen

der Nutzung der Microsoft Cloud Deutschland (MCD) oder der Nutzung der

Cloud-Angebote in Europa (Irland & Amsterdam)?

 

Stockem: Microsoft stellt sicher, dass die Daten in

der Cloud entsprechend der Anforderungen aus der DSGVO verarbeitet werden

können. Es sind die erforderlichen Maßnahmen getroffen, die ein solides

Datenschutzniveau gewährleisten. Dies gilt nicht nur für die technische,

sondern auch für die vertragliche Ebene in unseren Online Services Terms. Mehr

dazu finden Sie auch auf unseren Webseiten im Trustcenter, wo wir die

Informationen zu Datenschutz und Sicherheit nicht nur für Azure, sondern auch für Office 365 zur Verfügung

stellen.