Am 25. Mai 2018 wurde die EU-Datenschutz-Grundverordnung (kurz DSGVO) eingeführt. Ein großer Medientrubel, Unklarheit über die neue Gesetzeslage und die Ankündigung von hohen Strafen lösten bei vielen Unternehmen Panik aus. Wir ziehen nun, ein Jahr später ein Resümee: Ist die Klagewelle eingetreten? Wurde die DSGVO in Unternehmen umgesetzt? Welche Herausforderungen traten in Implementierungsprojekten auf?
Das hat die DSGVO verändert
Die Datenschutz-Grundverordnung wurde vom Europäischen Parlament zum Schutz der personenbezogenen Daten eingeführt und hat die bis dahin geltenden nationalen Datenschutzgesetze abgelöst. Ziel war es, den EU-Bürgern mehr Kontrolle über Ihre Daten, die von Unternehmen gespeichert und verarbeitet werden, zu ermöglichen. Unternehmen müssen demnach angeben können, zu welchem Zweck sie Daten speichern und verwenden. Besteht für die Speicherung keine Berechtigung, müssen die Daten gelöscht werden. Außerdem hat jede Person das Recht, Auskunft über seine gespeicherten Daten zu erhalten und auch die endgültige Löschung zu verlangen.
Die befürchtete Abmahnwelle
Für die Nichteinhaltung wurden hohe Strafen angesetzt: bis zu 20 Millionen Euro oder 4% des Jahresumsatzes, je nachdem, welche Summe höher ist. Bisher hat es Abmahnungen gegeben und auch einzelne Strafen, jedoch blieben diese weit unter den Maximalbeträgen. Die von Unternehmen befürchtete Klagewelle ist also ausgeblieben. Ein Grund dafür ist die noch fehlende Rechtssicherheit, da bisher kaum Urteile über DSGVO Verstöße gefällt wurden. Trotzdem sollten Unternehmen das Ganze nicht auf die leichte Schulter nehmen, denn dies kann sich mit zunehmender Sicherheit noch ändern.
Stand der DSGVO Umsetzung in SAP Systemen
In SAP Systemen werden Unmengen an Daten gespeichert und verarbeitet, weshalb auch hier die DSGVO eingehalten werden muss. Viele Unternehmen sind hiervon aber noch weit entfernt. Nach einer Kurzumfrage der EPI-USE Labs sind gerade einmal 11% komplett DSGVO konform. 56% sind immerhin in der Implementierungsphase, doch fast 1/3 hat noch nicht mit der Umsetzung begonnen.
Quelle: Kurzumfrage der EPI-USE Labs
Ralf Peters, DSAG-Fachvorstand Anwendungsportfolio, schätzt, dass vor allem Großunternehmen die entsprechende Mittel besitzen die DSGVO Umsetzung in den SAP Systemen bereits abgeschlossen haben.1 Für kleine und mittelständische Unternehmen ist es schwieriger, da sie die gleichen Vorschriften befolgen müssen wie Großkonzerne. Auch Branchenunterschiede werden in der Datenschutz-Verordnung nicht berücksichtigt.2
Die SAP selber bietet seinen Kunden im Standard das Tool ILM zur Umsetzung der DSGVO. Was eigentlich ein klassisches Archivierungstool ist, wurde an die Gegebenheiten der Verordnung angepasst. Demnach ist ILM in der Lage, Daten zu Löschen und zu sperren, das Auskunftsrecht kann hiermit aber nicht umgesetzt werden.
Nach einer Umfrage der DSAG sind 69% der Mitglieder unzufrieden mit dieser Situation und die DSAG hat angekündigt, hier weiter in engem Austausch mit der SAP zu bleiben. Natürlich gibt es auch weitere Lösungen am Markt, wie die DSGVO Compliance Suite der EPI-USE Labs, die von der Auskunft bis zur Löschung alles in einem Tool bietet.
Herausforderungen bei der Umsetzung
Die Umsetzung der DSGVO in SAP Systemen ist je nach Wahl des Tools oft langwierig und birgt große Herausforderungen. Hier gilt: Vorbereitung ist alles! Die Konzeptionsphase ist sehr entscheidend, für den darauffolgenden Projektablauf. Optimal ist natürlich, jedes Feld eines SAP Systems mit einem Juristen zu besprechen und zu entscheiden, welche Felder personenbezogen sind und welche nicht. Daraus lässt sich ein Konzept für die Auskunft und für das Löschwerk ableiten. Wichtig in der Konzeptionsphase ist auch einen Überblick über die Systeme zu erhalten, die an die Landschaft angeschlossen sind und wie diese Systeme miteinander verbunden sind.
Ein fehlerfreies Konzept beschleunigt die Implementierung, da das Projekt nicht ständig durch ungeklärte Fragen, die erst vom Datenschutz beantwortet werden müssen, unterbrochen wird. Die Erarbeitung eines Konzepts sollte demnach der erste Schritt für Firmen sein, die mit der Umsetzung noch nicht begonnen haben.
Ist die DSGVO gescheitert?
Noch immer sind viele Unternehmen nicht DSGVO konform und trotzdem wurden bisher nur wenige Strafen verteilt. Ist die DSGVO gescheitert? Auch wenn die Umsetzung noch nicht vollständig vollzogen wurde, hat die Datenschutz-Grundverordnung doch ein Umdenken bewirkt. Unternehmen sind in der Implementierungsphase oder sind sich zumindest bewusst, dass sich etwas ändern muss. Die Rechte der EU-Bürger wurden auf jeden Fall verbessert. IT-Systeme umzugestalten, ist nun mal ein langwieriges Unterfangen, was mit Sicherheit auch dem Gesetzgeber bewusst ist. Dieser Umstand und die bereits erwähnt fehlende Rechtssicherheit führen zum Ausbleiben der Strafen. Doch auch dies wird sich in Zukunft ändern, weshalb Unternehmen die noch nicht aktiv geworden sind, nicht mehr allzu viel Zeit verstreichen lassen sollten.
Quellen:
1: DSAG https://www.dsag.de/externe-news/dsag-umfrage-das-schreckgespenst-eu-dsgvo-ist-noch-nicht-gebannt
2: Pressebox https://www.pressebox.de/info/2019/05/23/datenschutz-ein-jahr-dsgvo/
Einen Kommentar schreiben