Der 25. Mai 2018 hatte es in sich: Mit diesem Datum trat die neue Europäische Datenschutzgrundverordnung (EU-DSGVO) in Kraft – und sorgt bis heute bei so manchem Unternehmen für Fragezeichen. Welche neuen Regelungen gelten für welche Art von Informationen? Wie können Daten von Kunden und Geschäftspartnern geschützt und vor allem nachweisbar und vollständig gelöscht werden, ohne gleichzeitig gesetzliche Aufbewahrungsfristen zu missachten? Herausforderungen, vor denen Unternehmen auch ein Jahr nach dem Stichtag noch immer stehen. Wir haben viele Unternehmen begleitet und mit Doxis Lösungen zum EU-DSGVO-konformen Umgang mit Daten geschaffen.

In den ECM Insights haben wir CIOs, Prozessverantwortliche und IT-Leiter aus Unternehmen aller Branchen mit über 100 Mio. Euro Umsatz gefragt, ob sie die Anforderungen der EU-DSGVO erfüllen. Die erschreckende Antwort: Nur 20 % bejahen das. Knapp ein Viertel kennt sie nicht einmal alle. Immerhin: 80 % haben schon ein Projekt dafür gestartet. Der Handlungsbedarf ist dringend, denn durch die verschärften Sanktionen sind Datenschutzverstöße heute kein Kavaliersdelikt mehr. Bußgelder von 20 Millionen Euro oder 4 % des weltweiten Umsatzes drohen – und zwar die Summe, die jeweils höher ist. Sogar Betriebsverbote sind möglich. Europaweit wurden nach einem Bericht der Anwaltskanzlei DLA Piper im gesamten Jahr 2018 allerdings „nur“ 91 Bußgelder wegen DSGVO-Verstößen verhängt, z.B. 80.000 Euro für ein Unternehmen in Baden-Württemberg – laut „Handelsblatt“ die bislang höchste Einzelstrafe in Deutschland. In Relation zu den möglichen Summen eine eher milde Konsequenz. Das wird allerdings nicht so bleiben. Matthias Horn, Senior Consultant Cyber Risk / Risk Advisory bei der Wirtschaftsprüfungsgesellschaft Deloitte, hat mit uns gesprochen und warnt davor, sich auf die Nachsicht der Behörden zu verlassen: „Es ist zukünftig damit zu rechnen, dass mehr behördliche Maßnahmen gegenüber Unternehmen ergriffen werden.“ Doch was können und müssen Unternehmen tun, um das zu verhindern?

Laut EU-DSGVO müssen Unternehmen alle personenbezogenen Daten schützen und bei Nachfrage, übertragen oder vollständig löschen können. Hier kommt bei vielen Unternehmen bereits Unsicherheit auf: Wo sind überhaupt Informationen, die das betrifft? Daten in CRM und SAP, Verträge in Filesystemen, Kundenanfragen in E-Mail-Postfächern … Die Liste lässt sich schier unendlich fortsetzen. Macht ein Kunde von seinem „Recht auf Vergessenwerden“ gebrauch, fängt das große Suchen an. Unternehmen, die die Doxis ECM-Lösung einsetzen, haben es leichter: Doxis identifiziert z.B. alle Dokumente und auch Vorgänge, die Informationen zu einer bestimmten Person enthalten. Bereits beim Ablegen werden sie entsprechend markiert. So kann alles bei Bedarf sofort gefunden, übertragen und gelöscht werden.

Wurden wirklich alle personenbezogenen Informationen gelöscht? Wer weiß, wo seine Daten liegen, hat schon die erste Hürde dafür genommen. Aber Löschen ist nicht gleich Löschen! Das Löschen müssen Unternehmen in Zweifelsfall auch nachweisen können. Wir geben unseren Kunden Sicherheit, wenn sie sich für Doxis entscheiden. Matthias Horn hat Unternehmen bei der Bestimmung von entsprechenden Löschklassen und deren Implementierung beraten und bestätigt das: „Die ECM-Software Doxis von SER bietet beispielsweise Funktionalitäten zur Datenklassifizierung, die es Unternehmen ermöglichen, ihre datenschutzrechtlichen Pflichten für alle erhobenen Informationen softwareseitig umzusetzen sowie entsprechende Aufbewahrungs- und Löschfristen auch automatisiert zu verwalten.“ Damit gelingt das Löschen nicht nur vollständig, sondern auch effizient und wird gleichzeitig softwareseitig dokumentiert.

Eines der größten Fragezeichen ist nach wie vor das Dilemma zwischen Recht auf Löschen und gesetzlichen Aufbewahrungsfristen. Gelöscht werden muss, revisionssicher archiviert jedoch auch. Eine Methode, zu der Matthias Horn Unternehmen rät, ist der graduelle Entzug des Personenbezugs der Daten. Mithilfe von Pseudonymisierungs- und Anonymisierungstechniken können Unternehmen Daten „schwärzen“. Beschränkte Zugriffe sind die nächste Stufe, um Datenmissbrauch zu verhindern. So können Unternehmen die Rechte der Betroffenen wahren, ohne gesetzliche Aufbewahrungsfristen zu ignorieren. Mit Doxis lässt sich das dafür nötige detaillierte Berechtigungs-, Lösch- und Aufbewahrungskonzept für alle relevanten Informationen umsetzen. Dafür ist die ECM-Software eigens EU-DSGVO-zertifiziert.

Das Thema Datenschutz hat oberste Priorität – nicht nur in Anbetracht der rechtlichen Konsequenzen, sondern auch mit Blick auf das Vertrauen von Kunden und Geschäftspartnern. Wichtige Tipps, wie ein Konzept zur EU-DSGVO-konformen Datenhaltung aussieht und wie Sie die Anforderungen systemseitig umsetzen, erläutere ich Ihnen in einem Webinar-Special zum Jahrestag der EU-DSGVO.