Überblick
Empfehlungen
Nächste Schritte
Soziale Medien
Die EU-Datenschutzgrundverordnung tritt am 25. Mai in Kraft
In bereits 24 Wochen tritt die neue EU-Datenschutzgrundverordnung (DSGVO) in Kraft. Damit ergeben sich für Firmen grundlegende Änderungen im Umgang mit personenbezogenen Daten. Unternehmen aller Branchen bereiten sich derzeit auf die weitreichenden Auswirkungen der DSGVO vor. Um sie dabei zu unterstützen, hat Mae Hansen, Absolventin des Global Executive MBA, gemeinsam mit ihren KollegInnen bei Match-Maker Ventures eine eigene Taskforce installiert, die auf globaler Ebene untersucht, wie große Unternehmen die Vorgaben der DSGVO erfüllen können, indem sie mit kleinen, vielseitigen Start-ups aus dem Technologiebereich Partnerschaften eingehen. Für unseren aktuellen Newsletter haben die ExpertInnen einen kurzen Leitfaden erstellt, der allen Unternehmen, für die die DSGVO eine Herausforderung darstellt, als Hilfestellung dienen soll.
Stellen Sie sich darauf ein, dass die DSGVO auch außerhalb der EU Auswirkungen haben wird – alle Unternehmen, die personenbezogene Daten von Datensubjekten „in der Union” verarbeiten, sind von den neuen Regelungen betroffen. Außerdem wird erwartet, dass weitere Länder dem Beispiel der EU folgen.
Begegnen Sie der DSGVO mit einer positiven Einstellung. Sehen Sie sie als Chance, das Vertrauen der KundInnen und den Wert der Daten auf ein Maximum zu steigern, und nicht als Bedrohung für Ihr Unternehmen.
Seien Sie kreativ, wenn es darum geht, die Einwilligung zur Verarbeitung personenbezogener Daten zu bekommen – die verschärften Bestimmungen der DSGVO bedeuten nicht, dass es in Zukunft unmöglich ist, Daten für geschäftliche Zwecke zu verwertet, aber es wird innovative Lösungen brauchen, damit KundInnen sich einfach und problemlos damit einverstanden erklären können.
Als optimale Vorbereitung empfiehlt es sich, die Erfordernisse der DSGVO auf sechs wesentliche Unternehmenskompetenzen herunterzubrechen.
Schaffung klarer Regeln für den Umgang mit personenbezogenen Daten
Unternehmen sind gefordert, einen Rahmen für das Management der internen Zugriffs- und Verarbeitungsrechte zu schaffen. Die meisten Datenschutzverletzungen passieren im Unternehmen. Deshalb ist es wichtig, für ein entsprechendes Management des Zugriffs von MitarbeiterInnen auf sensible Daten zu sorgen und die Verarbeitung solcher Daten auf das absolut notwendige Minimum zu beschränken. Die DSGVO sieht zudem die Ernennung eines oder einer Datenschutzbeauftragten vor, der oder die hauptverantwortlich für alle datenschutzrechtlichen Agenden im jeweiligen Unternehmen ist.
Erkennen sensibler Daten
Unternehmen müssen in der Lage sein, zu erkennen, welche der von ihnen verarbeiteten Daten in Bezug auf die Bestimmungen der DSGVO relevant sind, und Systeme zur Kategorisierung und Identifikation personenbezogener Daten innerhalb des Unternehmens implementieren. Das ist auch eine wesentliche Voraussetzung dafür, dass den Rechten von Datensubjekten auf effiziente Art und Weise entsprochen werden kann.
Einsatz kreativer Speicherlösungen zur Verbesserung des Datenschutzes
Unternehmen sind gefordert, Speicherlösungen zu implementieren, die einen besseren Schutz personenbezogener Daten ermöglichen. Dabei sollten sie dem Grundsatz des „eingebauten Datenschutzes” folgen und durch den Einsatz der erforderlichen Technologie sowie entsprechende organisatorische Maßnahmen mögliche Risiken (unrechtmäßige Zerstörung, zufälliger Verlust, unberechtigte Änderung oder nichtautorisierte Weitergabe von Daten) verringern.
Entwicklung eines modernen Systems zum Datenschutz und zur Meldung von Datenschutzverletzungen
Unternehmen werden Sicherheitssysteme entwickeln müssen, damit sie personenbezogene Daten schützen und Datenschutzverletzungen erkennen können. Mit der DSGVO treten auch verschärfte Bestimmungen bezüglich der Meldung von Verletzungen des Schutzes personenbezogener Daten in Kraft. Künftig sind die Aufsichtsbehörden innerhalb von 72 Stunden davon in Kenntnis zu setzen.
Implementierung eines Systems zum Einholen und Verwalten von Einwilligungen
Unternehmen müssen ein System zum Einholen, Speichern und Verwalten DSGVO-konformer Einwilligungen implementieren, wobei das Einholen über alle Online- und Offline-Kommunikationskanäle erfolgen sollte, also z. B. über die Unternehmenswebsite, E-Mails, Messenger-Dienste und sogar Direct Mailings sowie den direkten KundInnenkontakt im Geschäft.
Dokumentation der Datenverarbeitung und Risikobewertung
Unternehmen sind gefordert, Prozesse für die lückenlose Dokumentation der Datenverarbeitung und die Risikobewertung neuer Verarbeitungsaktivitäten einzuführen.
Zu guter Letzt ist es für Unternehmen wichtig, die DSGVO als Chance und nicht zwangsläufig als Bedrohung zu sehen. Sie bietet ihnen die Gelegenheit, sich im Hinblick auf die Verwendung und Verarbeitung personenbezogener Daten neu aufzustellen, wobei die KundInnen im Idealfall im Mittelpunkt der Neuausrichtungsbemühungen stehen.
Die folgende Matrix veranschaulicht, wie es durch die zuvor genannten Kompetenzen möglich wird, Vertrauen und Transparenz zu steigern, den Wert der Daten zu erhöhen und das Marketing und die KundInnenansprache zu optimieren.
Mit der DSGVO bietet sich Unternehmen auch eine Möglichkeit zur Zusammenarbeit mit kleinen, vielseitigen Start-ups. Neue Verpflichtungen im Bereich des Datenschutzes machen fortschrittliche und innovative Lösung erforderlich. Partnerschaften mit Start-ups einzugehen, bedeutet für etablierte Unternehmen, dass sie von der Umsetzungsgeschwindigkeit und Fokussiertheit, durch die sich Start-ups von anderen DSGVO-bezogenen Angeboten auf dem Markt abheben, profitieren können. Durch die neuen Einwilligungserfordernisse beispielsweise wird es für Unternehmen schwierig, sich die Zustimmung der KundInnen zur Verarbeitung ihrer personenbezogenen Daten über die in der Vergangenheit genutzten Kanäle zu holen. Es braucht daher neue, kreative Lösungen, und genau hier kommen Start-ups ins Spiel: Für diesen Aspekt der DSGVO können sie maßgeschneiderte Lösungen bieten, die innovativ sind und sich in jedem Unternehmen rasch einsetzen lassen.
Dieser Artikel wurde von Mae Hansen gemeinsam mit Barbara Stockinger und Christoph Prager geschrieben:
Barbara Stockinger ist Master-Studentin im "Strategy Management Control" an der WU. Bei Match-Maker Ventures ist sie als Start-up Engagement Manager aktiv. Außerdem leitet sie die Organisation der nächstjährigen Entrepreneurship Avenue an der WU.
Christoph Prager ist Start-up Engagement Manager bei Match-Maker Ventures und Leiter des dortigen DSGVO-Kompetenzbereichs. Zudem treibt der bei OptInk, einem MMV-Portfoliounternehmen, die Geschäftsfeld- und Produktentwicklung voran.
Sehen Sie die neue EU-Datenschutzgrundverordnung als Chance: Im Kurzprogramm "Data Science" der WU Executive Academy erfahren Sie unter anderem, wie Sie Ihr Unternehmen optimal auf die bevorstehende EU-Verordnung vorbereiten. Weitere Infos finden Sie hier.