Vor vielen französischen und europäischen Unternehmen liegt die letzte Vorbereitungsrunde. Sie haben noch bis zum 25. Mai 2018 Zeit, um sich an die Bestimmungen der berühmten DSGVO, der neuen europäischen Datenschutzverordnung, anzupassen. Dieser im Jahr 2016 verabschiedete Text, mit dem ein besserer Schutz der Bürger und ihrer persönlichen Daten gewährleistet werden soll, ist mit weitgehenden strukturellen und administrativen Veränderungen für die Unternehmen verbunden.
Zehn Jahre Verhandlung
In Brüssel sorgt die Verwaltung der personenbezogenen Daten der Bürger seit etwa zehn Jahren für Diskussionen zwischen Gesetzgebern und Lobbys. Ein heikles Thema, denn neben den Fragen hinsichtlich der Achtung der Privatsphäre wird durch den Verkauf von personenbezogenen Daten, die von Unternehmen wie Google, Facebook, Apple oder Amazon gesammelt werden, der sehr profitable Markt der zielgerichteten Werbung mit Material versorgt. Auf europäischer Ebene entsprach der Bereich der Big Data laut Le Monde „im Jahr 2016 ungefähr 300 Milliarden Euro und könnte 2020 430 Milliarden erreichen.“ Dennoch wurden die Bestimmungen von 1995 erst im letzten Jahr aktualisiert und ein neuer Text, die Datenschutz-Grundverordnung (DSGVO), von der Europäischen Kommission bestätigt und in den Mitgliedstaaten Schritt für Schritt angepasst.
Die DSGVO verspricht den Bürgern ein stärkeres Mitspracherecht in Bezug auf das, was mit ihren Daten gemacht wird, insbesondere durch die Einführung einer Unterschrift als expliziter Nachweis für eine entsprechende Zustimmung. Jeder Nutzer digitaler Dienste hat in Zukunft die Möglichkeit, seine Daten zurückzubekommen, um sie von einem Unternehmen an ein anderes zu übermitteln (zum Beispiel von einem sozialen Netzwerk an ein anderes), und kann sich im Streitfall zudem an einen zentralen Ansprechpartner wenden – für Frankreich die Nationale Kommission für Informatik und Freiheiten („Commission nationale de l'informatique et des libertés“ – CNIL).
Die neue Verordnung bringt einen wirklichen Fortschritt für den Schutz der europäischen Bürger, aber auch einen grundlegenden Wandel für die Unternehmen, die tiefgreifende Änderungen vornehmen müssen.
Für die Unternehmen führt die Verordnung zu Veränderungen in allen Bereichen
Nicht alle Unternehmen sind sich bewusst, dass sie von der DSGVO betroffen sind. Émilie Dumérain, Legal Affairs Officer des Berufsverbandes Syntec Numérique, betont: „Alle Unternehmen sind potenziell von der DSGVO betroffen, da sie personenbezogene Daten im Rahmen ihrer Personalverwaltung oder ihrer Kundenakten verarbeiten. Ein einfaches Datenerfassungsformular auf der Website eines Unternehmens impliziert beispielsweise die Umsetzung der in den DSGVO-Vorschriften festgelegten Regeln.“ Außerdem muss man wissen, dass potenziell jeder Bereich eines Unternehmens daran arbeiten muss, die Maßnahmen zur Angleichung an die neuen Bestimmungen umzusetzen. Sowohl auf der Seite der Mitarbeiter, die für die Datenverarbeitung verantwortlich sind, als auch auf der Seite der Verwaltungsdienste. In großen Unternehmen müssen neue Stellen geschaffen werden, die Data Protection Officers (DPO), deren Aufgabe es sein wird, zu überwachen, wie die gesammelten Informationen verarbeitet werden, wo sie gespeichert und an wen sie weitergegeben werden. „Ein wesentlicher Punkt bezieht sich auf das Privacy by design“, ergänzt Stéphane Prévost, Product Marketing Manager bei Stormshield. „Dabei geht es darum, bestimmte Datenschutzrichtlinien einzuführen, und damit immer und überall Sicherheit zu gewährleisten: zum Zeitpunkt der Konzipierung der Datenverarbeitung, auf Ebene der Daten selbst, auf Ebene des Netzwerks, aber auch an den Arbeitsplätzen, an denen die für die personenbezogenen Daten verantwortlichen Personen arbeiten.“ Darüber hinaus müssen Unternehmen ein Register führen, in dem sie jede Phase der Anpassung an die neuen Bestimmungen festhalten, und zudem ihre Kunden und die CNIL benachrichtigen, wenn eine Sicherheitslücke entstanden ist. Die Unternehmen, die Daten verarbeiten, welche mit Risiken verbunden sind, müssen Einschätzungen der Folgen für die Privatsphäre vornehmen, insbesondere wenn sich die Informationen auf politische oder religiöse Überzeugungen, auf die ethnische Herkunft oder die sexuelle Orientierung der Kunden beziehen.
Auf dem Papier erscheinen diese Entwicklungen ganz klar. Tatsächlich aber haben zahlreiche Unternehmen noch immer Mühe, sie wirklich umzusetzen.
42 % der befragten französischen Unternehmen werden sich der DSGVO „gerade erst einmal bewusst“
Eine vor Kurzem von der IDC France für die Syntec Numérique durchgeführte Studie ergab, dass 42 % der befragten französischen Unternehmen sich der DSGVO „gerade erst einmal bewusst“ werden, und nur 9 % gaben an, den Bestimmungen bereits zu entsprechen. „Wir haben vormittägliche Veranstaltungen organisiert, zu denen wir Kunden eingeladen haben, um sie für das Thema zu sensibilisieren. Manchmal haben wir festgestellt, dass es an Engagement fehlt“, so Stéphane Prévost. „Manche sind schon bereit, die großen Unternehmen zum Beispiel. Ich denke aber, dass viele kleine Gesellschaften sich für das Abwarten entschieden haben und die Anpassung Ihrer Strukturen und Mechanismen zur Herstellung von Konformität für das Budget 2018 vorgesehen haben.“ Eine andere OnePoll-Studie für Citrix ergab, dass 9 % der großen Unternehmen, die befragt wurden, unbekannt ist, auf welchen Systemen ihre Daten gehostet werden, und dass 8 % nicht wissen, für wie lange die Daten gespeichert werden. Sie haben jedoch keine Wahl: Über Mahnungen oder die Unterbrechung der Datenverarbeitung hinaus drohen ihnen unterschiedlich schwere Sanktionen und sogar ein Bußgeld in Höhe von 2 bis 4 % des jährlichen Umsatzes weltweit.
Aus diesem Grund werden mehr und mehr Unternehmen hinzugezogen, die auf Datenschutz und -verwaltung spezialisierte Dienstleistungen oder Softwareprogramme anbieten. „Viele dieser Unternehmen bieten Dienste in Verbindung mit der DSGVO“, betont Émilie Dumérain. „Eines von ihnen bietet beispielsweise eine Mapping-Software, über die automatisch alle Verarbeitungen identifiziert werden können. Ohne diesen Mechanismus würde dies manuell in einer Tabelle durchgeführt. Mit einem von einem anderen Unternehmen angebotenen Programm kann eine Diagnose Ihrer Situation durchgeführt werden. Es ist möglich, Tools zu haben, mit denen die Übertragbarkeit von Daten gewährleistet wird. Unternehmen können Werkzeuge einsetzen, um beispielsweise die Übertragbarkeit personenbezogener Daten zu implementieren. Sie können auch auf Beratung, Unterstützung und Unterstützung bei der Priorisierung der durchzuführenden Maßnahmen zurückgreifen.“ Den Unternehmen bleiben noch fünf Monate, um schließlich die so gefürchtete „Industrialisierung“ im Zusammenhang mit der Umsetzung der DSGVO auf den Weg zu bringen.
Dieser Artikel wurde in Zusammenarbeit mit Usbek & Rica verfasst.