„Daten­schutz­grund­ver­ord­nung (DSGVO) ist vor allem für KMU herausfordernd“

Am 25. Mai 2018 tritt die Daten­schutz­grund­ver­ord­nung (kurz DSGVO) in Kraft. Bis dahin müs­sen Unter­neh­men ver­schie­dene Maß­nah­men für deren Umset­zung getrof­fen haben. Ansons­ten dro­hen Stra­fen, die bis zu 4 Pro­zent des Jah­res­um­sat­zes betra­gen kön­nen. Wir haben unse­ren DMS-Exper­ten Ralph Rot­mann gefragt, wie sich Unter­neh­men jetzt noch auf die DSGVO vor­be­rei­ten können.

smart: Herr Rot­mann, Sie bera­ten Unter­neh­men bei der Umset­zung von Doku­men­ten­ma­nage­ment-Pro­jek­ten (DMS). Wie oft begeg­net Ihnen dabei auch das Thema DSGVO?

Ralph Rot­mann: Wir stel­len fest, dass immer mehr Unter­neh­men sich mit den Aus­wir­kun­gen der DSGVO auf ihre Pro­zesse aus­ein­an­der­set­zen. Dies liegt sicher­lich auch daran, dass der Zeit­raum bis zum Inkraft­tre­ten der neuen Rege­lun­gen immer kür­zer und damit das Thema medial auch immer prä­sen­ter wird. Nichts­des­to­trotz gibt es immer noch zahl­rei­che kleine und mitt­lere Unter­neh­men (KMU), die die Ver­ord­nung noch nicht auf der Agenda haben. Hier ver­su­chen wir, im Rah­men von DMS-Pro­jek­ten zu sen­si­bi­li­sie­ren.

smart: Wel­che gra­vie­ren­den Ände­run­gen kom­men durch die DSGVO auf Unter­neh­men zu?

Rot­mann: Durch die DSGVO sind Unter­neh­men vor allem ver­pflich­tet, Daten- bzw. Infor­ma­ti­ons­pro­zesse zu doku­men­tie­ren bzw. diese nach­weis­bar zu machen. Um diese Auf­gabe zu bewerk­stel­li­gen, müs­sen Unter­neh­men ihre lau­fen­den Pro­zesse natür­lich zunächst durch­leuch­ten und dar­auf auf­bau­end Ände­run­gen umset­zen. Dies ist zeit­in­ten­siv und setzt zudem eine Kennt­nis der Mate­rie vor­aus: Die Ein­hal­tung der DSGVO ist daher vor allem für KMU her­aus­for­dernd.

smart: Am 25. Mai 2018 tritt die DSGVO in Kraft. Wenn ich bis heute noch nichts unter­nom­men habe: Reicht die Zeit aus, um ent­spre­chende Maß­nah­men umzu­set­zen und damit die Vor­ga­ben zu erfüllen?

Rot­mann: Tat­säch­lich drängt die Zeit, aktiv zu wer­den. Nichts­des­to­trotz kön­nen auch Unter­neh­men, die bis jetzt noch nicht aktiv gewor­den sind, ent­spre­chende Maß­nah­men umset­zen, um die Anfor­de­run­gen der Ver­ord­nung zu erfül­len. Grund­sätz­lich muss jedes Unter­neh­men einer­seits prü­fen, inwie­fern die tief­grei­fen­den neuen Ver­pflich­tun­gen für es gel­ten, zum ande­ren aber auch das Bewusst­sein für die­ses Thema schär­fen. Hier tun sich kleine und mitt­lere Unter­neh­men (KMU) oft schwer, da diese das Thema häu­fig bis­lang nur mit­ma­chen. Dabei gilt: Unter­neh­men mit mehr als zehn Mit­ar­bei­tern, die Zugriff auf E‑Mails haben, müs­sen einen Daten­schutz­be­auf­trag­ten bestel­len. Dem­entspre­chend wich­tig ist es für KMU, sich jetzt mit die­sem Thema ernst­haft aus­ein­an­der­zu­set­zen – auch wenn Begriffe wie EU-Daten­schutz­ver­ord­nung oder DSGVO zunächst nicht beson­ders span­nend klin­gen mögen: Ver­nach­läs­sigt man sie, kön­nen die Aus­wir­kun­gen erheb­lich sein. Bis zu 4 Pro­zent des jähr­li­chen Gesamt­um­sat­zes kön­nen als Strafe anfal­len.

smart: Was raten Sie Unter­neh­men zu tun?

Rot­mann: Zunächst rate ich den Unter­neh­men, das Thema Daten­schutz auf die Agenda zu set­zen. Dabei kann man dies durch­aus als Chance für das Unter­neh­men begrei­fen, Infor­ma­ti­ons­pro­zesse gene­rell auf den Prüf­stand zu stel­len. So emp­fiehlt es sich, die DSGVO zum Anlass zu neh­men, eine grund­le­gende Bestands­auf­nahme der Geschäfts­pro­zesse durch­zu­füh­ren. So lässt sich nicht nur Ver­bes­se­rungs­be­darf beim Daten­schutz iden­ti­fi­zie­ren, son­dern es las­sen sich auch Aspekte wie IT-Sicher­heit, Effi­zi­enz und Trans­pa­renz auf­schlüs­seln.

smart: Wie hängt dies mit der DSGVO zusammen? 

Rot­mann: Die wesent­li­chen Anfor­de­run­gen der DSGVO hän­gen mit Zugriffs­rech­ten, der Ver­füg­bar­keit und Revi­si­ons­si­cher­heit von Daten bzw. Infor­ma­tio­nen zusam­men. All diese Aspekte haben mit dem Infor­ma­ti­ons- bzw. Doku­men­ten­ma­nage­ment zu tun. Dem­entspre­chend las­sen sich durch die Ein­füh­rung eines elek­tro­ni­schen Doku­men­ten­ma­nage­ment-Sys­tems (DMS) nicht nur die Anfor­de­run­gen der DSGVO erfül­len. Viel­mehr las­sen sich sämt­li­che Work­flows, die mit der Daten­ver­ar­bei­tung zusam­men­hän­gen, nach­voll­zieh­ba­rer, siche­rer und kon­trol­lier­ba­rer gestal­ten. Dadurch kön­nen Unter­neh­men echte Effi­zi­enz­ge­winne erzielen. 

smart: Wie kön­nen Unter­neh­men bei der Über­prü­fung der Infor­ma­ti­ons­pro­zesse am bes­ten vorgehen?

Rot­mann: Tat­säch­lich ist die Über­prü­fung der eige­nen Abläufe bzw. im nächs­ten Schritt deren Opti­mie­rung alles andere als tri­vial – ins­be­son­dere für KMU. Hier sind nicht nur Zeit und Know-how, son­dern auch Res­sour­cen gefragt. Gemein­sam mit unse­ren Fach­han­dels­part­nern unter­stüt­zen wir den Mit­tel­stand daher bei die­ser Auf­gabe. So haben wir mit der KYOCERA Poten­zi­al­ana­lyse und der KYOCERA Work­flow-Opti­mie­rung gleich zwei Ansätze ent­wi­ckelt, mit denen wir die vor­han­de­nen Infor­ma­ti­ons- und somit auch Daten­schutz­pro­zesse im jewei­li­gen Unter­neh­men ana­ly­sie­ren. Auf Basis der hier gewon­ne­nen Daten ent­wi­ckeln wir dann ein pass­ge­naues Opti­mie­rungs­kon­zept, das auch den Ein­satz einer geeig­ne­ten Soft­ware­lö­sung vor­sieht. Das Beson­dere: Im Rah­men der KYOCERA Work­flow-Opti­mie­rung sind wir sogar in der Lage, den Amor­ti­sie­rungs­zeit­raum einer Lösung zu bezif­fern.

smart: Der Weg, recht­zei­tig com­pli­ant zu sein, geht also über die Ana­lyse der vor­han­de­nen Prozesse?

Rot­mann: Im Prin­zip gilt es drei Dinge zu beach­ten: Zunächst ein­mal muss ein Bewusst­sein für das Thema Daten­schutz und Com­pli­ance im Unter­neh­men geschaf­fen wer­den. Dazu gehört es auch, die Mit­ar­bei­ter ent­spre­chend zu sen­si­bi­li­sie­ren. Der zweite Aspekt ist dann tat­säch­lich die Über­prü­fung der aktu­el­len Pro­zesse: Ent­spricht unser Umgang mit Daten den Anfor­de­run­gen der DSGVO? Haben wir ent­spre­chende Sys­teme, die auto­ma­ti­siert dafür sor­gen, dass Lösch­fris­ten nicht ver­ges­sen wer­den? Zu guter Letzt gilt es dann zu prü­fen, wie sich die exis­tie­ren­den Infor­ma­ti­ons­pro­zesse opti­mie­ren bzw. DSGVO-kon­form auf­set­zen las­sen. Auch hier haben wir mit dem KYOCERA Work­flow Mana­ger eine DMS-Lösung im Port­fo­lio, die sich bin­nen weni­gen Tagen imple­men­tie­ren lässt und mit der sich die zen­tra­len Pro­zesse in Ein­kauf, Buch­hal­tung, Ver­trieb oder Per­so­nal­we­sen digi­ta­li­sie­ren las­sen. So kön­nen Unter­neh­men bis Mai 2018 die Anfor­de­run­gen der DSGVO erfül­len. Wei­tere Infor­ma­tio­nen zum KYOCERA Work­flow Mana­ger sowie zum Thema DMS fin­den Sie in unse­rem Leit­fa­den „Doku­men­ten­ma­nage­ment trifft KMU“. Die­sen kön­nen Sie kos­ten­frei herunterladen.