Aufrufe
vor 2 Wochen

Netzwoche 6/2019

  • Text
  • Google
  • Headless
  • Menschen
  • Swiss
  • Schweizer
  • Webcode
  • Netzmedien
  • Gamification
  • Schweiz
  • Unternehmen

14 Bild: Pressfoto /

14 Bild: Pressfoto / freepik.com EU-DSGVO-Umsetzung in Schweizer Unternehmen – ein Erfahrungsbericht Mit der Inkraftsetzung der europäischen Datenschutz-Grundverordnung (EU-DSGVO) am 25. Mai des vergangenen Jahres haben viele Unternehmen in der Schweiz damit begonnen, sich ernsthaft mit der Thematik auseinanderzusetzen. Dabei rücken wichtige Fragen ins Zentrum der Überlegungen. Vor allem nominierte Projektleiter sind gefordert: Wie komplex ist die Thematik wirklich und was muss ich – ausserhalb der IT-Thematik – berücksichtigen? Ein möglicher Ansatz zeigt dieser Erfahrungsbericht. DER AUTOR Stefan Mannhart IT-Projektleiter DSGVO und Datenschutzbeauftragter, Elektro- Material 2017 hat das Mutterhaus von Elektro-Material, die Rexel Dévéloppement mit Sitz in Paris, ein konzernweites Projekt ins Leben gerufen mit dem Ziel, die europäische Datenschutz-Grundverordnung (EU-DSGVO) in ihren Tochtergesellschaften zu implementieren. Dazu wurde unser Unternehmen aufgrund der gesetzlichen Richtlinien und ihres Geschäftsanteils an Exporten in die EU von Rexel als umsetzungspflichtig erkannt. Ende 2019 schliesst Elektro- Material die Einführung der EU-DSGVO ab. Erleichternd für das Unternehmen war die Tatsache, dass wir die Projektstruktur des Mutterhauses übernehmen und unsere Planung darauf aufbauen konnten. Die Schätzung der finanziellen, technischen und personellen Aufwände mussten wir anhand des Masterplans der Konzernzentrale und den Gegebenheiten des Unternehmens anpassen. Projektorganisation, Scope und Strategie des Projekts Als Projektorganisation haben wir auf der Steuerungsebene einen Projektausschuss eingerichtet– bestehend aus den Fachbereichsleitern der Geschäftseinheiten. Auf Ebene Projekt hat eine Arbeitsgruppe aus Fachvertretern die Grundlagen erarbeitet. Die Bandbreite der Themen erstreckt sich in diesem Projekt über alle Kernelemente des Unternehmens. Prozesse, IT-Systeme und Mitarbeitende sind gleichermassen davon betroffen. Somit ist eine hohe Komplexität gegeben. Aufgrund der Projektsituation entschieden wir uns, die Themenbereiche in einzelne Initiativen zu unterteilen. Wir fassten die Tätigkeiten in Arbeitspaketen zusammen und konnten so die Kontrolle und Steuerung des Projekts vereinfachen. Nachfolgend die Beschreibung unserer Initiativen, die numerische Reihenfolge entspricht nicht einer zwingenden Reihenfolge, da diese Initiativen zeitgleich oder überlappend verliefen: Initiative 1: Inventar der Daten, Systeme und Schutzmassnahmen erstellen Wir erstellten ein Inventar über die personenbezogenen Daten sowie über die Systeme, welche die Daten bearbeiten. Zudem erhoben wir die zugehörigen Datenschutzmassnahmen. In einem weiteren Schritt identifizierten wir Prozesseigentümer, Systemverantwortliche und Daten verarbeitende. Am Schluss nahmen wir physische 06 / 2019 www.netzwoche.ch © netzmedien ag

Business Fachbeitrag 15 Daten (Papierdokumente) und physische Ablageorte (Lateralschränke, Tresore, Archivräume etc.) ins Inventar auf. Initiative 2: Ausbilden der Mitarbeitenden Die Herausforderung für uns bestand darin, die Mitarbeitenden der zehn Niederlassungen, die in der Schweiz in allen Sprachregionen verteilt sind, zum Thema Datenschutz auszubilden. Dazu konnten wir auf webbasierte Trainingsprogramme des Konzerns zurückgreifen. Diejenigen Mitarbeitenden, die keinen direkten Internetzugang hatten, wurden vor Ort geschult. Für neu eintretende Mit arbeitende gehören die Datenschutzmodule zum Pflichtprogramm. Initiative 3: Notwendige Schutzmassnahmen erkennen und definieren Personenbezogene Daten trafen wir fast überall an. Personalwesen und Lohnadministration sind hier die klassischen Orte. Aber auch Kunden- und Lieferantendaten untersuchten wir auf genügenden Schutz. War dies nicht der Fall, trafen wir notwendige Massnahmen und setzten diese termingerecht um. Initiative 4: Rechtliche Grundlagen mit Partnern schaffen Wir sichteten die bestehenden Verträge mit Partnern und Lieferanten, die auf personenbezogene Daten zugreifen, sie speichern und/oder verarbeiten, und erweiterten sie allenfalls um datenschutzrechtliche Punkte. Bestehende Datenschutzvereinbarungen werden zurzeit noch überprüft, damit sie gegebenenfalls termingerecht angepasst werden können. Initiative 5: Rechte betroffener Personen sicherstellen Um die Rechte betroffener Personen in Bezug auf ihre Daten sicherstellen zu können, richteten wir einen Kommunikationskanal ein, um mögliche Anfragen zentral sammeln und sicherstellen zu können, dass keine Anfrage vergessen geht. Dafür wurde ein Datenschutzkontakt nominiert, der sich um die Koordination und Erledigung der Anfragen kümmert Fragen gibt: Wer sind die Informationsempfänger und was ist der Sachverhalt? Was sind die geeigneten Massnahmen zur Schadensbegrenzung? Wie sind die einzuhaltenden Meldefristen? Initiative 8: Datentransfers in Drittländer prüfen und Richtlinien dazu erlassen Die Datentransfers nach extern wie auch intern wurden von uns analysiert und wir nahmen die Rollenzuteilung von Datenverantwortlichen und Datenverarbeitenden vor. Oftmals ist auf den ersten Blick nicht ersichtlich, wer welche Rolle hat. Dies ist aber notwendig bei der Ausarbeitung von Datenschutzvereinbarungen zwischen den Parteien. Gerade bei Datentransfers, die in Drittländer ausserhalb der EU und des EWR-Wirtschaftsraums durchgeführt werden, kann dies von grosser Wichtigkeit sein. So gut wie nötig, nicht so gut wie möglich Datenschutz ist kein IT-Projekt, sondern unternehmensweit anzusiedeln. Prozesse und Personen sind ebenso matchentscheidend wie IT-Systeme. Darum gilt es, wirtschaftliche Überlegungen bei einem Projekt dieser Grössenordnung anzustellen: Wie halte ich die personellen und finanziellen Aufwände in einem vertretbaren Rahmen? Wie stelle ich sicher, dass die Geschäftstätigkeit nicht beeinträchtigt wird, und wie gerate ich nicht in einen Zielkonflikt mit anderen geschäftskritischen oder strategischen Projekten? Datenschutz soll so gut wie nötig, aber nicht so gut wie möglich sein. Datenschutz muss effektiv sein und uns in unserer täglichen Arbeit unterstützen, nicht behindern. Was passieren kann, wenn der Datenschutz weiterhin auf die leichte Schulter genommen wird, zeigt das Beispiel von Google. Auch wenn eine 50-Millionen-Euro-Strafe für einen Konzern wie Google ein Griff in die Portokasse bedeutet, ist die Signalwirkung für andere Unternehmen dennoch unmissverständlich: Die EU meint es ernst mit der Durchsetzung der EU-DSGVO. Gesetzgebung DSG / DSGVO Dossier online auf www.netzwoche.ch/eu-dsgvo Bei der Umsetzung der EU-DSGVO müssen die verschiedenen Stake holder im Unternehmen, ihre Beziehungen untereinander sowie die Prozesse berücksichtigt werden. Von der Bestandsaufnahme führt die Umsetzung über verschiedene Stationen in der Organisation, die Anpassungen erfordern. Auch äussere Faktoren sind hier zu beachten, um den Datenschutz sicherzustellen. Initiative 6: Periodische Risiko -Assessments durchführen Die Planung im Projekt sieht vor, dass Elektro-Material das Risiko-Assessment als institutionalisierten Prozess einführt. Das Assessment ist fester Bestandteil zukünftiger Bewertungen von Risikofaktoren für Datenschutzverletzungen personenbezogener Daten. Initiative 7: Datenschutzverletzungen erkennen, begrenzen und kommunizieren Wir führten Prozesse zur Identifikation und Klassifikation einer Datenschutzverletzung ein. Ebenfalls liegt ein Kommunikationskonzept vor, wie im Falle einer Schutzverletzung zu kommunizieren ist und Antwort auf folgende Unternehmen / Konzern Bestandesaufnahme Analyse Datenverletzungen Schutzmassnahmen Ausbildung Rechtsgrundlagen Kommunikation und Information Prozesse und Werkzeuge Rechte betroffener Personen Überprüfung, Bewertung und kontinuierliche Verbesserung (KVP) betroffene Personen Datenschutzbehörden www.netzwoche.ch © netzmedien ag 06 / 2019

Archiv