Setzen Sie die Vorgaben der DSGVO in Ihren Geschäftsprozessen und Ihrer Unternehmenssoftware um – nicht nur auf dem Papier

Datenschutzbeauftragte haben die Aufgabe Verantwortliche bei der Einhaltung des Datenschutzes beratend zur Seite zu stehen und die Einhaltung zu überprüfen. IT-Security-Experten sorgen mit technischen und organisatorischen Maßnahmen dafür, dass Unbefugte keinen Zugriff auf Daten bekommen.

Das alleine reicht aber nicht. Jedes Unternehmen muss auch für sich selber sicher stellen, dass es personenbezogene Daten nur zu rechtmäßigen Zwecken, in rechtmäßigem Umfang und über eine rechtmäßige Dauer verarbeitet.

Als Prozess- und IT-Berater mit dem Schwerpunkt Datenschutz helfe meinen Kunden diese Vorgaben der DSGVO in ihren Geschäftsprozessen und in ihrer Unternehmenssoftware in die betrieblichen Praxis umzusetzen.

Einerseits ergänze und komplementiere ich damit das Angebot von Juristen und Datensicherheitsexperten. Andererseits ist deren Beratung abhängig von verständlichen, vollständigen und verlässlichen Aussagen darüber, wo welche Daten zu welchen Zwecken verarbeitet werden, wie diese Daten fließen und wer Zugriff hat. Damit tun sich viele Unternehmen schwer.

Jahrzehntelange Erfahrung in der Analyse hochkomplexer Prozess- und IT-Landschaften befähigt mich auch aus einem Sammelsurium von Einzel-Informationen die wesentlichen Strukturen der Verarbeitung personenbezogener Daten zu extrahieren und sie klar und leicht verständlich dazustellen und zu dokumentieren. Damit schaffe ich die Grundlage für die Arbeit von Datenschutz-Juristen und Datensicherheitsexperten.

Aufgabenfelder des Datenschutzes

Erst durch ein der Realität entsprechendes Verständnis der Verarbeitung werden verlässliche Bewertungen, die korrekte Erfüllung formaler Pflichten und das Einleiten passender Sicherheitsmaßnahmen möglich. Damit Datenschutzverstöße nicht erst bei einer Prüfung auffallen oder wegen unklarer Kommunikation Sicherheitsrisiken nicht erkannt wurden.

Bei der Umsetzung der Vorgaben des Datenschutzes in den Geschäftsprozessen wäre es falsch, nur isoliert auf die Anforderungen von Datenschutz und Datensicherheit zu schauen. Die Ziele und Anforderungen der Fachbereiche und die Rahmenbedingungen der IT gelten weiter und müssen beim Umbau von Geschäftsprozessen und Unternehmenssoftware weiter mit beachtet werden. Insbesondere die Wirtschaftlichkeit der Prozesse muss auch künftig gegeben sein. Und der laufende Geschäftsbetrieb soll möglichst wenig gestört werden. Um das zu erreichen, sind Abstraktionsfähigkeit, Übersicht und ein Blick über den Tellerrand gefordert.

Mit meinem Angebot richte ich mich an größere mittelständische Unternehmen und Konzerne, die in ihren über die Jahre gewachsenen Geschäftsprozessen und in ihrer Unternehmenssoftware die Anforderungen der DSGVO erfüllen müssen. 

Die besonderen Hürden

Neue Geschäftsprozesse auf der „grünen Wiese“ DSGVO-konform zu gestalten, ist verhältnismäßig einfach. Aber die meisten Unternehmen sind nicht in dieser komfortablen Lage. Auf der einen Seite müssen sie schnell handeln, auf der anderen Seite können sie die Grundlage ihres Geschäftsbetriebes nicht von heute auf morgen umstellen. Ganz abgesehen davon, dass Ressourcen und Budgets begrenzt sind.

Um gewachsene Prozess- und IT-Landschaften datenschutzkonform umzubauen, sind einige zusätzliche Hürden zu nehmen. Die aus meiner praktischen Erfahrung wichtigsten habe ich Ihnen im Folgenden aufgelistet. Nicht um sie abzuschrecken, sondern damit sie an diesen Hürden nicht scheitern.

Fehlende Übersicht

Vielen Unternehmen fehlt ein verlässlicher Überblick, wie und wo personenbezogene Daten in der Organisation verarbeitet werden. Ein Verzeichnis der Verarbeitungstätigkeiten ist zwar meist erstellt. Wie gut dieses die gelebte Realität wiedergibt und ob es vollständig ist, ist aber oft fraglich.

Um den Ist-Stand richtig zu bewerten und die erforderlichen Maßnahmen einzuleiten, ist eine fundierte Übersicht erfolgsentscheiden. Bei gewachsenen Prozess- und IT-Landschaften fehlt diese oft. Das Wissen ist auf viele Köpfe verteilt, teilweise sogar nicht mehr im Unternehmen zugänglich. Vorhandene Unterlagen sind veraltet oder nur für die Fachspezialisten verständlich. Gutes Analyse- und Abstraktionsvermögen verbunden mit pragmatischem Vorgehen sind gefragt.

Komplexe Projekte

Nachträglich eine datenschutzkonforme Verarbeitung personenbezogener Daten zu erreichen, kann zu sehr komplexen IT-Projekten führen. Unterschiedliche Fachbereiche und unterschiedliche IT-Teams und IT-Dienstleister müssen neu bei einem Thema zusammenarbeiten, mit dem sie sich bisher wenig befasst haben. Wo man sich im Tagesgeschäft auf sein Spezialgebiet fokussieren kann, gilt es plötzlich, über den eigenen Tellerrand zu schauen.

Einer guten Systemanalyse der IT-Architektur und einem nachvollziehbaren Anforderungsmanagement kommt in diesen Projekten eine besondere Bedeutung zu. Sie sind nicht nur wichtig, um die vielen Abhängigkeiten zwischen den Daten, Prozessen und der Unternehmenssoftware im Griff zu behalten. Sie werden zusätzlich gebraucht als Dokumentation der Maßnahmen, um so die Rechenschaftspflicht aus der DSGVO zu erfüllen.

Unterschiedliche Perspektiven und Sprachen

Dass an der Schnittstelle zwischen Fachbereich und IT zwei Welten aufeinandertreffen, davon kann jeder IT-Projektleiter ein Lied singen. Mit dem Thema Datenschutz kommt noch eine dritte Perspektive mit eigener Sprach- und Denkwelt dazu.

Damit Fachbereiche und IT-Teams effizient mit beratenden Experten wie Datenschutzbeauftragte, IT-Security-Spezialisten oder Juristen zusammenarbeiten können, müssen die abzustimmenden Sachverhalte klar, verständlich und präzise auf den Punkt gebracht werden. Bestehende Dokumentationen können dies oft nicht leisten, da sie für andere Zwecke erstellt wurden. Abstimmungen dauern lange, Missverständnisse drohen teuer zu werden.

Unsicherheit

Datenschutz ist ein lästiges Thema, vor dem sich nicht nur Mitarbeiter, sondern auch Führungskräfte am liebsten drücken möchten. Nicht selten haben sie Angst, Fehler zu machen. Die hohe Komplexität in den Prozessen und der IT und die für Laien oft schwer verständlichen juristischen Fragestellungen sorgen für Unsicherheit. Und das alles neben dem normalen Geschäftsbetrieb, der natürlich weiter gehen muss.

Transparenz, Klarheit, Offenheit und Geduld sind erforderlich, damit gemeinsam die richtigen Entscheidungen getroffen werden.

Zu integrierende Perspektiven und Kompetenzfelder