4 Chancen, die die DSGVO Deinem Unternehmen und Deiner IT-Abteilung eröffnet!

DSGVO bedeutet Aufwand und Arbeit! Der ROI für Dein Unternehmen ist gering! Den ROI kannst Du enorm steigern, wenn Du mindesten zwei der vier Chancen nutzt. Damit bringst Du Dein Unternehmen und Deine IT-Abteilung weit nach vorn!


den Podcast findest Du auch bei: iTunes - RSS - Spotify - Stitcher - YouTube - TuneIn - Google Podcast - Deezer - AudioNow - Amazon Music


Sind die fünf Buchstaben D-S-G-V-O in Deinem Unternehmen auch so ein Reizbegriff? Falls Du es noch nicht gehört hast: Ausgesprochen heißt das: Datenschutzgrundverordnung. Es ist eine europäische Regelung zum Datenschutz, die seit 25. Mai 2016 in Kraft ist. Ja, Du hörst richtig! Die Regelungen der DSGVO sind seit fast zwei Jahren in Kraft.

Du hörst überall, dass die DSGVO zum 25.5. 2018 in Kraft tritt. Das ist nicht richtig – da endet die Übergangsfrist und es tritt das neue Bundesdatenschutzgesetz in Kraft. In der Verordnung ist eine Übergangsfrist von zwei Jahren vorgesehen. Die Umsetzung in nationales Recht ist keine, ich wiederhole, keine Voraussetzung für die Rechtsgültigkeit.

Irgendwie haben es wohl die meisten Unternehmen verpennt. Anders kann ich das nicht nennen, was wir da draußen gerade erleben. Da gibt es die Berater und Medien, die die Sau durch das Dorf treiben, es gibt Unternehmenslenker, die sich lauthals über den bösen Datenschutz und damit verbundenen Aufwand beschweren und es gibt noch genügend Unternehmen, die denken, dass es sie nichts angeht.

Ich finde das wirklich sehr schade, denn aus meiner Sicht birgt die DSGVO eine riesige Chance für unsere Unternehmen. Du und Deine Bemühungen um einen Servicekatalog werden davon enorm profitieren können.

Transparenz ist Trumpf!

Jetzt lass uns erstmal einen Blick in die DSGVO werfen und die wichtigsten Änderungen anschauen:

  • Deutliche Erweiterung der Rechte von betroffenen Personen

An erster Stelle möchte ich da die Informations- und Transparenzpflichten nennen:

Bisher gab es ein Auskunftsrecht der betroffenen Person. Das heißt, Du kannst jedes Unternehmen anschreiben und fragen, welche Daten sie von Dir gespeichert haben. Also erst dann, wenn bereits Daten erhoben wurden und eine Verarbeitung bereits stattfand.

Jetzt sind die betroffenen Personen vor der Datenerhebung über Art, Umfang, Zweck und ggf. die rechtliche Grundlage zu informieren. Das heißt, wenn Dein Unternehmen beispielsweise Versicherungen verkauft, dann darf der Vertreter zu Beginn des Verkaufsgespräches den Interessenten darüber informieren, was mit seinen Daten im Detail passiert.

Sie sind auch darüber zu informieren, wenn und bevor Art, Umfang oder Zweck sich ändern oder erweitert werden. Eine Information ist nur dann nicht erforderlich, wenn die betroffene Person bereits über Art, Umfang, Zweck und ggf. die rechtliche Grundlage informiert war.

Daraus ergibt sich eine spannende Frage: Muss ein Unternehmen, welches bisher seine Kunden nicht oder nur unzureichend informiert hat, alle Kunden bis zum 25.5. informieren? Aus meinem Verständnis: Ja.

Du darfst in diesem Zusammenhang auch informieren, wenn Du Daten weitergibst. Auch hier wieder über Art, Umfang, Zweck und ggf. die rechtliche Grundlage.

Und wenn Du Daten von einem Geschäftspartner bekommen hast, dann gelten die Informationspflichten natürlich auch für Dich!

Wie funktioniert Dein Unternehmen?

Jetzt kommt der entscheidende Punkt:

Das setzt voraus, dass Dein Unternehmen genau weiß, welche Informationen werden in welchen Prozessen wie verarbeitet. Das heißt, dass es eine Transparenz über die – in der DSGVO heißen sie Verarbeitungstätigkeiten – gibt.

Da sich am Ende daraus technische Anforderungen ableiten, brauchst Du die Transparenz, wie Daten durch Dein Unternehmen fließen.

Das ist Dein Chance Nummer 1! Denn, was entsteht, wenn Du den Datenfluss durch Dein Unternehmen abbildest? Es entsteht eine Service-Architektur – eine Abbildung der Zusammenhänge von Geschäftsprozessen und der IT.

Wenn Du den Podcast schon länger hörst, dann sollten bei Dir jetzt im Kopf OBASHI aufleuchten. OBASHI ist eine Methode, um genau diesen Datenfluss zu dokumentieren. Du schaffst mit OBASHI die Transparenz, wie Menschen, Prozesse und Technologie in Deinem Unternehmen zusammenarbeiten. Also die beste Grundlage für das Verzeichnis der Verarbeitungstätigkeiten der DSGVO.

Hier kannst Du Dich zum kostenlosen OBASHI-Kurs anmelden:

Da lernst Du, wie DU OBASHI anwendest.

Geschäftsprozesse

Für Dich birgt die Anforderung aus der DSGVO die Chance, die Verbindung der IT zu den Geschäftsprozessen endlich zu bekommen. Auch wenn Dein Unternehmen bisher noch keine dokumentierten Prozesse hat, es muss ein Verzeichnis der Verarbeitungstätigkeiten anlegen.

Wenn Du Dein Unternehmen vorwärts bringen möchtest, dann darfst Du mit der Idee rausplatzen, dass als Gelegenheit zu nutzen, ein Prozessmanagement zu initiieren. Wenn Du jetzt ganz mutig bist, dann kann ich Dir nur empfehlen, erkläre Dich gleich bereit die Arbeit zu übernehmen.

Das ist Deine Chance Nummer zwei: Du und Deine IT-Abteilung werden sowieso im Rahmen der DSGVO involviert sein. Allerspätestens wenn es um die technisch organisatorischen Maßnahmen geht. Wenn Du jetzt auch die Aufnahme der Verarbeitungstätigkeiten bzw. der Prozesse übernimmst, dann kannst Du sofort Vorschläge für die Optimierung dieser unterbreiten.

Beispiel: Wenn Du den einzelnen Prozessschritten die IT-Systeme zuordnest wirst Du sehen, wo es Medienbrüche gibt. Du wirst sehen, welche manuellen Tätigkeiten besser elektronisch abgebildet werden können. Du kannst schauen, was sich durch einen elektronischen Workflow abbilden lässt und sich dadurch auch Aufgaben zum Mitarbeitern oder Kunden verlagern können.

Effizienz und Digitalisierung

Die Chance zwei bedeutet: Du kommst in die Pole-Position als Optimierer und Effizienzsteigerer in Deinem Unternehmen. Da wollen wir doch hin, oder?

Da kann ich, naja eigentlich die DSGVO, noch einen draufsetzen: Dein Unternehmen muss die Betroffenen informieren, wenn es zu einer Datenschutzverletzung gekommen ist. Das heißt, Du brauchst die Transparenz, von der ich sprach, auch in die andere Richtung: Du musst in der Lage sein, bei beispielsweise einem Hackerangriff, sagen zu können, welche Verarbeitungstätigkeiten und damit welche Informationen sind dadurch betroffen. Darüber ergibt sich dann der Kreis der zu informierenden. Quasi die Business-Impact-Analyse im Servicebaum von unten nach oben.

Jetzt habe ich mich schon etwas in Rage geredet, weil ich wirklich zwei super Chancen für die richtige Positionierung Deiner IT-Abteilung im Unternehmen und vor allem viele Möglichkeiten für Dein Unternehmen selbst sehe. Zurück zur DSGVO:

Zu den erweiterten Rechten der betroffenen Personen gehört das Auskunftsrecht. Das ist im Prinzip wie bisher auch: Fragt Dein Unternehmen eine Person an, darf Dein Unternehmen dieser mitteilen welche Daten zu welchem Zweck verarbeitet und weitergegeben werden. Damit sind wir wieder bei den ersten beiden Chancen. Zusätzlich dürft Ihr schauen, dass die Vorlagen der Informationsschreiben auch dem Change-Management unterliegen.

Wenn Du beispielsweise von einem lokalen Sharepoint auf Office 365 wechselst, dann stehen da anderen Informationen in der Auskunft. Denn Du gibst die Daten ja nun weiter …

Was ich aus technischer Sicht sehr spannend finde, ist das Recht auf Löschung. Darauf möchte ich jetzt gar nicht so im Detail eingehen. Im Prinzip bedeutet das, dass Dein Unternehmen auf Verlangen alle Daten einer betroffenen Person löschen muss. Lass mir Dir ein paar Stichworte geben, die in dem Zusammenhang relevant sind:

  • Datensicherung – wie stellst Du sicher, dass die Daten auch dort „verschwinden“
  • Archivierung – gerade bei eMails möglichweiser ein großes Problem. Hier wird besonders deutlich, dass die Anforderungen der GOBD – Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ und der Datenschutz miteinander konkurrieren. Das ist kein neuer Fakt, das ist schon immer so. Allerdings tritt der viel stärker zu Tage aufgrund der neuen und verschärften Rechte Betroffener.
  • letztes Stichwort: Mobile Geräte – weißt Du auf welchen Geräten alles Daten gespeichert sind? Selbst wenn: Wie stellst Du die Löschung sicher?

Auch hier schlummert eine Menge Arbeit für Dein Unternehmen. Dir hilft dabei die Transparenz, die Du mit Hilfe von OBASHI geschaffen hast.

Jetzt habe ich schon so oft von „betroffenen Personen“ gesprochen. Es wird Zeit den Begriff näher zu definieren.

Bisher verstand das Bundesdatenschutzgesetz darunter Kunden, Mandanten, Patienten und ggf. auch Mitarbeiter. Das ändert sich mit der DSGVO: Die DSGVO versteht unter den betroffenen Personen alle Personen, unabhängig von Ihrer Rolle. Also auch Personen bei Dienstleistern, Partner, Gesellschaftern in Netzwerken usw.

Das macht den Scope ein ganzes Stück größer, oder? Ja!

Keine Chance ohne Risiko

Und spätestens jetzt ist es Zeit für die dritte Chance. Ich möchte Dich warnen, diese Chance birgt ein Risiko. Denn, damit Du die Chance nutzen kannst, darfst Du in Deinem Unternehmen das ganz große Fass aufmachen!

Denn die meisten sprechen davon, dass nur die personenbezogenen Daten geschützt werden müssen. Ja, dem ist laut DSGVO so. Ist das sinnvoll? Nein! Das würde ja bedeuten Du kennst zwei Klassen von Daten. Die DSGVO relevanten betrachtest Du und schützt diese ordentlich. Und die anderen nicht.

Das hat mit gesundem Menschverstand nichts zu tun. Denn viele der anderen Daten sind, wenn wir die gesetzliche Regelung beiseitelassen, für Dein Unternehmen wesentlich wichtiger! Es sind Eure Entwicklungs- und Forschungsdaten, Strategiepapiere, Zahlen und anderen Informationen, deren Abhandenkommen existenzbedrohend sein kann.

Das ganz große Fass bedeutet, dass Du energisch vorschlägst, nicht nur die personenbezogenen Daten zu betrachten, sondern die komplette Prozesslandschaft. Unabhängig von der DSGVO die Prozesse zu erfassen, zu schauen welche schützenswerten Daten da verarbeitet und gespeichert werden und entsprechende technische und organisatorische Maßnahmen ergreifen, um diese ordentlich zu schützen.

Das heißt, Du bist jetzt ganz schnell bei dem Thema Informationssicherheitsmanagementsystem – kurz ISMS. Und das ist auch das was die wirklichen Experten für die Umsetzung der DSGVO empfehlen. Dazu kannst Du auch gern in die Gespräche mit Gerald Spyra und Alexander Dörsam.

Ich kann Dir und Deinem Unternehmen nur ganz stark empfehlen, Informationssicherheit komplett anzugehen und nicht singuläre für personenbezogene Daten. Ihr verschenkt damit nur Geld und Zeit. Ihr erfüllt vielleicht die Anforderungen der DSGVO – als Unternehmen kommt Ihr aber nicht wirklich weiter!

Wenn wir beide das jetzt mal weiter Denken, ergibt sich für Dich die vierte und größte Chance: Du kannst endlich Deinen Servicekatalog aufbauen!

Deine große Chance!

Schauen wir uns das mal gemeinsam an:

Du brauchst die Abhängigkeiten der Prozesse zur IT für die DSGVO. Die DSGVO spricht von Verarbeitungstätigkeiten. Das sind die Prozesse Deines Unternehmens. Um herauszufinden, wo die Daten verarbeiten, gespeichert, übertragen und ggf. weitergegeben werden, brauchst Du eine Architektur, die alle Beteiligten Komponenten und deren Beziehungen beinhaltet. Damit bist Du bei der Servicearchitektur!

Du kannst also die Services definieren, die Du Deinem Unternehmen zur Verfügung stellst. Es ist ein und dieselbe Struktur, die hier zum Tragen kommt. Es kommt dazu noch ein entscheidender Vorteil: Wenn Deine IT service-orientiert arbeitet, dann hast Du Prozesse, die den Lebenszyklus eines Service begleiten. Ich meine zum Beispiel das Service-Design und das Change-Management.

Ich meinen auch den gesamten Bestell- und Bestellabwicklungsprozesse: Du weißt genau welche Abteilungen und Personen die Services konsumieren.

Da Du Dich in der Erstellungsphase intensiv mit Deinem Kunden beschäftigst, weißt Du genau welche Daten diese mit Hilfe des Service verarbeiten.

Wenn Du jetzt die Datenschutzaspekte in diese Prozesse integrierst, dann bekommt Dein Unternehmen bei fast Null Mehrkosten, ein komplettes Management der DSGVO relevanten Aspekte.

Gleichzeitig kann Dein Unternehmen damit auch die erste Stufe eines Prozessmanagements etablieren. Hier nutzt Du genau die gleichen Strukturen. Mit dem Vorteil, dass dadurch das Effizienzpotential Eurer Geschäftsprozesse gehoben werden kann. Und der erste Schritt in Richtung Digitalisierung gestartet wird.

Gleiches gilt für das Informationssicherheitsmanagement. Für den Teil der DSGVO relevanten Daten baust Du es implizit eh auf. Erweitere es auf alle Daten und integriere es in das Management Deines Servicekatalogs, Deiner Prozesse und des Datenschutzes.

Verschwendung vermeiden

Aus meiner Sicht reden wir bei den ganzen Themen immer von den gleichen Strukturen: Wir reden über Prozesse, die Daten in IT-Systemen verarbeiten und speichern. Also die Abhängigkeit der Organisation, ihrer Prozesse und der IT in Deinem Unternehmen. Das alles isoliert zu betrachten ist Wahnsinn!

Und ich glaube, wenn Du mal die Rechnung aufmachst, was Dein Unternehmen die Umsetzung und der Betrieb der DSGVO kostet und vergleichst, wieviel der ganzheitliche Ansatz kostet, wirst Du feststellen, dass da nicht sehr viele Euros dazwischen liegen. Und dann schaust Du auf den ROI!

Der ROI bei der DSGVO ist ausschließlich eine Risikovermeidung.  Natürlich möchte Dein Unternehmen nicht die Strafen zahlen und auch das Image schützen – klar.  Viel motivierende ist, dass bei Verstößen die Verantwortlichen nun unter Umständen auch persönlich haften – mit ihrem Privatvermögen. Und das will jeder Geschäftsführer vermeiden. Deswegen kümmert er sich auch drum!

Der ROI eines integrierten Ansatzes ist viel mehr für Dein Unternehmen:

  • Effizienzsteigerung durch Beseitigung von Medienbrüchen, Automatisierung, Self Services und so weiter
  • Reduzierung des Risikos, das geheime und vertrauliche Daten das Unternehmen verlassen, sowie Prozesse für die Schadensminderung, falls es passiert
  • Grundlage für die Digitalisierung des Geschäftes Deines Unternehmens
  • Steigerung des EBIT dadurch, dass Fachseite und IT die Verantwortung für die IT-Kosten übernehmen und wir diese nicht mehr isoliert betrachtet werden

Für mich ist die DSGVO eine riesige Chance für Dein Unternehmen! Nutzt diese Bitte! Wenn Du jetzt grad nicht weißt, wie Du das transportieren kannst, dann komm einfach auf mich zu. Wir können gern Telefonieren und zusammen einen Plan schmieden. Schreib mir dazu eine Mail an robert@different-thinking.de – ich bin gespannt!

Robert Sieber
 

Robert Sieber ist Ex-CIO, Podcaster und Servicenerd. Seine Vision ist eine interne IT, die sich genauso einfach buchen, nutzen und bezahlen lässt, wie die Fahrt mit dem Taxi. Als Berater und Coach packt er ganz praktisch und pragmatisch bei seinen Kunden an, um echte Serviceorientierung zu dauerhaft zu etablieren. Robert Sieber vertritt einen pragmatischen und geschäftsfokussierten Weg für Service-Management. Als Berater sind für ihn gesunder Menschenverstand und offene Kommunikation wichtiger als Frameworks und Best Practices.

Click Here to Leave a Comment Below 0 comments