EU-Datenschutz-Grundverordnung: weniger Last als Chance für die Digitalisierung
Allen aktuellen Krisen zum Trotz – das Thema Datenschutz ist der Beweis dafür, wie gut die Zusammenarbeit in der EU sein kann. Nach der Verabschiedung der EU-Datenschutz-Grundverordnung (DS-GVO) hat die Kommission jüngst einen Vorschlag zur Regulierung von Cookies vorgelegt, der, kaum dass er bekannt wurde, von allen Seiten ins Kreuzfeuer der Kritik geriet – ein Qualitätsmerkmal.
Zwar wurde über die Verordnung (im Englischen heißt sie übrigens „General Data Protection Regulation“ oder kurz: GDPR) durchaus in den Massenmedien berichtet. Und doch sind ihre Auswirkungen nicht immer klar benannt und erkannt.
Die Vorteile überwiegen
Beginnen wir den Vorteilen: Zum ersten Mal wird der Datenschutz in Europa vereinheitlicht, wir nähern uns damit dem digitalen Binnenmarkt ein wichtiges Stück. Aus deutscher Sicht besonders erfreulich ist dabei die Tatsache, dass das hohe Schutzniveau, das wir hierzulande genießen, jetzt europaweit gilt – und darüber hinaus, denn alle Firmen müssen unabhängig von ihrem Heimatland diese Regularien einhalten, sofern sie persönliche Daten von Europäern verarbeiten oder speichern. Und das bedeutet drittens: Der strenge deutsche Datenschutz, den viele als Wettbewerbsnachteil oder zumindest -verzerrung kritisiert haben, ist keiner mehr, sondern kann sich im größeren Kontext von Digitalisierung und Sicherheit mittel- und langfristig zu einem Wettbewerbsvorteil wandeln – dank Europa.
Die Kehrseite ist freilich, dass eine Verordnung immer auch Regulierung bedeutet. Und die ist übrigens in allen EU-Ländern bereits heute geltendes Recht, auch in Großbritannien, wenngleich die lückenlose Erfüllung, Überprüfung und Sanktionierung erst mit dem 25. Mai 2018 beginnt. Ich greife aus der Vielzahl der Bestimmungen nur einige wenige heraus: Datenverluste müssen jetzt verbindlich gemeldet werden, Kunden können unter bestimmten Bedingungen nicht nur Einsicht in die über sie gesammelten Daten verlangen, sondern auch deren Löschung. Einmal für einen bestimmten Zweck erhobene Daten dürfen nicht für andere Zwecke weiterverarbeitet werden. Daten, die für den angegebenen Zweck zwar erhoben, aber für dessen Erfüllung nicht notwendig sind, müssen gelöscht werden. Die wohl größte Verschärfung findet aber auf Sanktionsseite statt. Die Strafen können sich auf bis zu vier Prozent des weltweiten Umsatzes und bis zu einer Obergrenze von 20 Millionen Euro belaufen.
Ein Meilenstein in Richtung Digitalisierung …
Informationen, und dazu zählen eben auch und in vielen Fällen vor allem persönliche Daten von Kunden, Mitarbeitern und Partnern, sind der Treibstoff der digitalen Wirtschaft. Doch mit der Cloud und ihren wunderbaren Services haben wir vielfach die Kontrolle darüber verloren, was mit diesen Daten wirklich passiert. Was ist zum Beispiel mit Kundendaten, die in einem CRM-System in der Wolke liegen und verarbeitet werden, selbst wenn das Rechenzentrum des Anbieters in Europa liegt? Was ist mit den bei vielen Abteilungen so beliebten Cloud-Diensten für Dateiaustausch und -speicherung? Sind Verbindungen dorthin zuverlässig verschlüsselt, ist der Zugriff auf abgelegte personenbezogene Daten durch starke Verschlüsselung geschützt? Wer hütet und schützt die Schlüssel? Vorstände und Geschäftsführer können die Verantwortung zur Einhaltung der EU-Datenschutz-Grundverordnung nicht auf den Dienstleister abwälzen. Sie bleiben persönlich haftbar.
Es bleibt bis zum 25. Mai 2018 nicht viel Zeit, um solche, organisatorisch und technisch in vielen Fällen heikle Fragen zu beantworten und innerbetrieblich zuverlässig und nachprüfbar zu regeln.
Die dafür nötige Bestandsaufnahme von Prozessen, Zuständigkeiten und Technologien zum Umgang mit Daten und Informationen sowie deren Schutz ist keine kleine Herausforderung. Sie ist aber gleichzeitig eine Riesenchance. Sie bietet die Gelegenheit, das Informationsmanagement unternehmensweit neu zu denken und zu organisieren – ganzheitlich, als Teil einer umfassenden Strategie zur digitalen Transformation, die auch Compliance miteinschließt. Sie ist die Gelegenheit, das unternehmensweite Informationsmanagement auf einer zentralen Plattform neu aufzusetzen.
Keine Panik, die Unternehmen müssen jetzt nicht alles Bestehende entsorgen und ein Megaprojekt mit entsprechenden Investitionen anstoßen. Sie müssen die ersten Bausteine einer solchen Plattform nicht einmal im eigenen Rechenzentrum errichten. Und sie können natürlich auch weiterhin externe Cloud-Services nutzen.
… speziell für SAP-Kunden
SAP-Kunden zum Beispiel können den rechts- und abhörsicheren Archivservice für ihre SAP®-Systeme in unserer eigenen Cloud nutzen. Die Daten werden dabei verschlüsselt, bevor sie das eigene Unternehmen verlassen, die Schlüssel sind ausschließlich in Kundenhand. Und als kanadisches Unternehmen unterliegen wir nicht den Bestimmungen des Patriot Act. Im Fall von personenbezogenen Daten können diese dank Enterprise Information Management weiterhin mit der beliebten SalesForce-Applikation in der Cloud bearbeitet werden, direkt aus deren Oberfläche heraus. Doch die Datenablage und -speicherung findet nicht mehr dort statt, sondern entweder im eigenen Rechenzentrum oder in der rechts- und abhörsicheren OpenText-Cloud.
Datenschutz ist damit keine Last mehr, sondern der Einstieg in eine Plattformstrategie, die den Weg in die digitale Zukunft weist. Informationen jeglicher Art, Prozesse im Frontend und Backend, Analysen und automatisierte Transaktionen entlang der gesamten Wertschöpfungskette – all das findet auf unserer EIM-Plattform statt, zu 100 Prozent digital und hoch automatisiert. Das ist intelligentes Compliance Management, das dank EIM zu einem Wettbewerbsvorteil wird.