Mit dem Inkrafttreten der DSGVO informierten Unternehmen sämtlicher Branchen in Newslettern und auf ihren Websites über die Verarbeitung der personenbezogenen Daten, holten sich die Einwilligung ihrer Kunden zum künftigen Versand von Newslettern und die Erlaubnis zur Verarbeitung der personenbezogenen Daten. Die Medien berichteten nonstop, insbesondere junge Startups schalteten ihren Webauftritt vorübergehend offline, Beratungshäuser überschwemmten die Unternehmen mit Angeboten zur Umsetzung der DSGVO, Unternehmen schulten ihre Mitarbeiter und suchten nach noch verbliebenen Datenschutzberatern auf dem Consulting Markt.

Panikmacher DSGVO!

Doch bereits kurz nach der Einführung flaute die Aufregung in der öffentlichen Wahrnehmung wieder ab. Unternehmen wurden nachlässiger oder setzten die DSGVO nicht vollständig um. Das gleiche gilt jedoch nicht für unsere Behörden. Immer mehr häufen sich Meldungen zu Datenschutzvorfällen und Verstößen gegen die DSGVO durch Unternehmen. Ein Jahr nach dem geltend werden der DSGVO, ist in den Datenschutzbehörden langsam eine gewisse Routine in der Überprüfung von Unternehmen und im Umgang mit Datenschutzverstößen entstanden. Bei einer Strafe von bis zu 4 % des Konzernumsatzes lohnt sich das Prüfen natürlich und tut betroffenen Unternehmen besonders weh.

So droht beispielsweise der Hotelkette Marriott aufgrund eines Verstoßes gegen die DSGVO eine Strafe von 110 Millionen Euro. Die Airline British Airways soll sogar 205 Millionen Euro zahlen. Unternehmen wie Apple, Google, Microsoft und Facebook geraten immer weiter ins Visier der Behörden. Deswegen ist die DSGVO in den Fokus vieler Unternehmen gerückt, welche nun den Datenschutz wesentlich entschiedener umsetzen. Durch die DSGVO sollen vor allem die Verbraucherrechte gestärkt werden. Die Datenschutz-Grundverordnung stellt für viele Unternehmen immer noch ein Minenfeld dar. Warum kann ein gut aufgebautes Prozessmanagement eine entscheidende Rolle bei der Umsetzung der DSGVO spielen?

Die DSGVO als entscheidendes Werkzeug im Prozessmanagement

Die Datenschutz-Grundverordnung ist eine Verordnung der Europäischen Union, welche die Verarbeitung von personenbezogenen Daten in der EU regelt. Hierzu zählt sowohl das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich, die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung personenbezogener Daten. Kurzum: Alle Tätigkeiten bei der Verarbeitung von personenbezogenen Daten fallen unter die DSGVO. Als personenbezogene Daten gelten Daten, die sich auf eine Person zurückführen lassen, wie beispielsweise Namen, Adressen, IP-Adressen usw.

Die DSGVO betrifft Unternehmen jeglicher Größenordnung. Deshalb muss die kleine Arztpraxis oder der Friseursalon um die Ecke, die DSGVO genauso einhalten, wie BMW oder die Deutsche Bahn. Für größere Unternehmen gelten allerdings zusätzliche Regulierungen. Ein Verarbeitungsverzeichnis muss beispielsweise erst ab einer Unternehmensgröße von 250 Mitarbeitern geführt werden, sofern kein Risiko für die Rechte und Freiheiten der betroffenen Personen entsteht oder Daten besonderer Kategorien, wie beispielsweise Gesundheitsdaten, geführt werden.

Grafik: DSGVO und Prozessmanagement

Ein Verarbeitungsverzeichnis beinhaltet sämtliche Prozesse aller Abteilungen im Unternehmen, in denen personenbezogene Daten verarbeitet werden. Hinter jeder Datenverarbeitung steht ein Prozess, der aufgenommen werden muss. Hierbei ist jedoch nicht entscheidend, ob beispielsweise nur der Name verarbeitet wird oder ob es sich um den gesamten Personalstamm inklusive der Gehaltsdaten handelt. Es müssen alle Prozesse aufgenommen werden in denen personenbezogene Daten verarbeitet werden. Dafür müssen in sämtlichen Bereichen und die bereichsübergreifenden Prozesse aufgenommen werden.

Das verpflichtende Verarbeitungsverzeichnis führt dazu, dass ein versiertes Prozessmanagement wichtigstes Werkzeug der DSGVO-Umsetzung wird. Die im Verzeichnis aufgeführten Prozesse und Personenkategorien der Kunden und Mitarbeiter müssen präzise und detailreich aufgenommen werden.

Hierzu zählen u.a. der Zweck der Verarbeitung, die Art der verarbeiteten Daten, das verarbeitende Unternehmen und dessen Datenschutzbeauftragter, der Empfänger der Daten oder die Weitergabe der Daten an Drittländer. Des Weiteren sind die Fristen zur Datenlöschung sowie die technischen und organisatorischen Prozesse zur Sicherung der Daten vor Missbrauch festzuhalten.

Wie die Prozesse hinter dem Verarbeitungsverzeichnis geführt werden, bedarf keiner gesetzlich festgelegten Form. Das Festhalten ist mittels einer Datenbank mit allen gespeicherten Attributen möglich oder durch eine Modellierung nach der BPMN oder EPK. Genauso gut kann ein Prozess in detaillierten schriftlichen Beschreibungen festgehalten werden. Eine grundsätzliche Empfehlung für eine Methodik lässt sich hier nicht aussprechen.

DSGVO und Prozessmanagement: Chancen zur Optimierung

Mit der detailreichen Aufnahme von DSGVO-Prozessen werden zahlreiche Schnittstellen zusammengefügt. Neben der Prüfung von datenschutzkonformen Abläufen, besteht in der Modellierung in Prozessnotationen die Möglichkeit, weitere Optimierungen vorzunehmen. Somit ist die DSGVO nicht nur Aufwand- und Kostenfaktor, sondern birgt enormes Potenzial für die weitere Unternehmensentwicklung. Vor allem in nicht optimierten Prozessen entstehen in vielen Unternehmen häufig unnötig hohe Kosten oder Prozesslaufzeiten, weshalb Verbesserungs- und Einsparpotenziale häufig nicht identifiziert werden können. Auch Risiken können durch das Aufgliedern von Prozessen aufgedeckt und proaktive Lösungswege entwickelt werden.

Sicherheitsmaßnahmen und verbesserte Prozesse können Unternehmen und ihre Kunden zudem vor Diebstahl oder Missbrauch der Daten schützen.

Die Fluggesellschaft British Airways soll 205 Millionen Euro Strafe zahlen. Grund hierfür ist eine Sicherheitslücke, über welche Daten von 500.000 Kunden gestohlen wurden. Dazu zählen Kreditkartendaten, Adressen usw. Laut der britischen Datenschutzaufsicht ICO sollen “schwache Sicherheitsvorkehrungen” bei der Airline schuld an dem Vorfall gewesen sein. Eine saubere Dokumentation der Sicherheitsvorkehrungen, etablierte Prozesse in den Sicherheitsmaßnahmen und geschulte Mitarbeiter, hätten für eine geringere Strafe sorgen oder den Vorfall sogar verhindern können.

Im Fall der Hotelkette Marriott, sollen Dritte unerlaubt auf die Reservierungsdatenbank der Tochterfirma Starwood zugegriffen haben. Namen und Adressinformationen wurden genau wie unverschlüsselte Pass- und Kreditkartennummern abgegriffen.

Während unserer Tätigkeit als Berater im DSGVO-konformen Prozessmanagement stellen wir leider immer wieder fest, dass viele Unternehmen sich über bestimmte Sicherheitslücken nicht im klaren sind und Gefahr laufen, so gegen gesetzliche Bestimmungen zu verstoßen und vor allem die Daten ihrer Kunden gefährden.

Die Prozessoptimierung dient der grundlegenden Effizienz und Effektivität bestehender Geschäfts-, Produktions-, und Entwicklungsprozesse im Unternehmen. Sie fördert die kontinuierliche Optimierung benötigter Ressourcen, wie Personal, Material und Kosten. Da Kosten für eine detaillierte Prozessevaluation in Unternehmen oft als zu hoch betrachtet werden, kann die DSGVO als Grundlage genutzt werden, die Prozesse im Unternehmen zu untersuchen sowie effizient und sicher zu gestalten.

Mehr zu den Autoren:

Marco Mielich ist als Consultant bei affinis consulting tätig. Als Berater im Prozessmanagement mit dem Schwerpunkt Datenschutz hat der gebürtige Schwabe den Aufbau des Beratungsportfolios bei der Hamburger Beratung aktiv aufgebaut.Seitdem hat Herr Mielich namhafte Kunden aus Finanzbranche, Automobilindustrie und Energiewirtschaft bei der Konzeption und dem Aufbau DSGVO-konformer Prozesse unterstützt. Portrait: Mielich Affinis
Portrait: Schwarzrock AffinisTanja Schwarzrock-Plontasch verantwortet als Marketing Digital Consultant den Bereich Marketing & PR bei affinis consulitng. In ihrer Rolle als Consultant berät die Stralsunderin rund um digitale Lösungen in Kampagnenplanung, Tracking, Kundenkommunikation und Customer Experience Management. Die Beraterin legt den Fokus ihrer Expertise vor allem auf Kundenkommunikationsprozesse in der Energiebranche und arbeitet im Solution Lab der affinis in Stralsund.

Ihnen hat der Artikel gefallen? Andere Leser haben sich zusätzlich diese Artikel angeschaut: