Bis Ende Mai 2018 müssen die Unternehmen die neue Datenschutzgrundverordnung (DSGVO) der Europäischen Union umsetzen. Betroffen sind auch fast alle Schweizer Unternehmen, denn wer Kunden oder Mitarbeitende aus dem EU-Raum hat, muss die neue Datenschutzregelung beachten. Vor diesem Hintergrund stellt sich für viele die Frage: Wie setze ich die DSGVO um?
Auch die Ronal Group aus dem solothurnischen Härkingen ist von der DSGVO betroffen. Denn Ronal, einer der weltweit führenden Hersteller und Anbieter von Leichtmetallrädern für PKW und Nutzfahrzeuge, hat sowohl Kunden als auch Mitarbeitende im EU-Raum. Ronal muss also Kunden- wie auch Mitarbeiterdaten zukünftig gemäss DSGVO speichern und bearbeiten. Wir haben mit Patrick Huber, CIO, und Giovanna de Boers, Projektleiterin DSGVO, über die Tücken bei der Umsetzung der Verordnung gesprochen.
Probieren geht über Studieren
«Wichtig ist», so Patrick Huber, «überhaupt einmal anzufangen. Angesichts des schieren Umfangs der DSGVO wagen sich viele Unternehmen, insbesondere KMU, gar nicht an die Umsetzung und hoffen, dass die DSGVO an ihnen vorbeizieht.» Diesen Unternehmen empfiehlt Giovanna de Boers, mit einem externen Berater zusammenzuarbeiten, der die Datenschutzanforderungen kennt und idealerweise andere Unternehmen auf diesem Weg unterstützt hat.
Niemand braucht vor der DSGVO Angst zu haben. Ronal zum Beispiel stellte fest, dass vieles bereits richtiggemacht wurde. Prozesse und Verantwortlichkeiten waren zu grossen Teilen bereits definiert. Was zur vollständigen Einhaltung fehlte, waren gesetzeskonforme Regelwerke und Methoden zur regelmässigen Überprüfung und Gewährleistung der Einhaltung der Richtlinien.
Intern Bewusstsein schaffen
Doch überarbeitete Richtlinien und Prozesse machen noch keinen Datenschutz. Datenschutz muss vor allem auch gelebt werden. Deshalb hat Ronal Wert auf die Schulung der Mitarbeitenden gelegt. Diese hat zwei Effekte: Zum einen verkommen die neuen Richtlinien nicht zu toten Buchstaben, wie das sonst oft der Fall ist mit internen Regeln. Zum anderen ist die Akzeptanz für ein Projekt grösser, wenn man die Mitarbeitenden von Beginn weg mit einbezieht. Die interne Abwehrhaltung wird abgebaut, was die Umsetzung deutlich effizienter und effektiver macht.
Kundenbedürfnis Datenschutz
Zwar waren die DSGVO und die damit verbundenen möglichen Sanktionen der ursprüngliche Grund für Ronal, sich mit dem Thema Datenflüsse und -schutz auseinanderzusetzen. Doch hat sich rasch gezeigt, dass es auch ohne regulatorischen Druck Sinn macht, einen Fokus auf den Datenschutz zu legen und ihn zu überdenken.
Denn das Thema beschäftigt nicht nur den Gesetzgeber, sondern immer mehr auch Kunden. Im Informationszeitalter, in dem Daten zum neuen Öl erkoren wurden, ist das auch nicht erstaunlich. So ist es für die Kunden von Ronal – hauptsächlich Automobilhersteller – entscheidend, dass ihre Daten wie zum Beispiel Konstruktionspläne auch beim Zulieferer sicher sind.
Selbstverständlich verfügt nicht jedes Unternehmen über solch sensible Daten. Doch hat jeder Kunde das Bedürfnis, dass seine Daten sicher sind, sei es bei hochspezialisierten Zulieferern wie bei Ronal oder bei einem Onlineshop.
Vier Schritte zur DSGVO-Konformität
Das Vorgehen von Ronal kann durchaus als Muster für andere Unternehmen dienen. Folgende vier Schritte sind dabei zu berücksichtigen:
- Einen Überblick über das Datenmanagement gewinnen. Dabei kann die Zusammenarbeit mit einem externen Berater sinnvoll sein.
- Abgleichen des Datenmanagements mit den Vorschriften der DSGVO, gefolgt von der Identifikation allfälliger Lücken und dem daraus resultierenden Handlungsbedarf.
- Definition entsprechender Prozesse und Kompetenzen für das laufende Datenmanagement sowie für den Fall eines Datenlecks unter Einbezug der Mitarbeitenden.
- Schulung der Mitarbeitenden auf dem Thema, um Know-how weiterzugeben, andererseits und Akzeptanz zu schaffen.
Mit diesem Vorgehen erreichen Unternehmen nicht nur die DSGVO-Konformität, sondern sie beweisen Ihren Kunden, dass die Daten bei Ihnen sicher sind. Entscheidend ist zeitnah mit dem Prozess zu starten oder wie es Ronal-CIO Patrick Huber treffend zusammenfasst: «Es ist keine Rocket Science, aber ziemlich zeitaufwändig. Entsprechend sollte man besser heute als morgen damit beginnen.»
Erfahren Sie mehr darüber, wie Microsoft Sie bei DSGVO-Compliance unterstützen kann. Hier finden Sie umfassende Ressourcen wie Webinare, Videos, Whitepaper und FAQs rund um die neuen Vorschriften.