DSGVO: Datenballast loswerden

Vier Jahre Datenschutz-Grundverordnung

Michael Kleine-Beckel, Jurist und Vorstand von t.serv, kennt die Herausforderungen und hat Empfehlungen für die Umsetzung. Catrin Schreiner, Fachjournalistin aus Köln, hat für das E-3 Magazin mit Herrn Kleine-Beckel ein Interview geführt.

Wie ist der Status quo in Unternehmen vier Jahre nach Einführung der DSGVO?

Michael Kleine-Beckel, t.serv: Viele Unternehmen haben bereits erste Maßnahmen umgesetzt und Daten bereinigt, andere sind in der Konzeption oder haben noch gar nicht begonnen. „Wir warten lieber ab, es wird schon nichts passieren“ ist ein Satz, den ich von Unternehmen weiterhin oft zu hören bekomme. Diese Einstellung kann jedoch verheerende Folgen haben. Die Strafen für Verstöße sind empfindlich. Wobei ich zugeben muss, dass Unternehmen im Business-to-Consumer-Bereich für den fehlerhaften Umgang mit Kundendaten bisher stärker geahndet werden. Es lohnt sich aber, auch im Business-to-Business-Bereich gut aufgestellt zu sein, denn irgendwann werden die Regelungen rechtssicherer und die Kontrollen schärfer. Ich kann mir gut vorstellen, dass Behörden in diesem Zusammenhang künftig automatisierte Prüfprogramme einsetzen werden, so wie bei der digitalen Betriebsprüfung. Softwareanbieter wären dann verpflichtet, diese in ihre Lösung einzubinden.

Was gilt es bei der Konzeption eines DSGVO-Vorgehens zu beachten?

Kleine-Beckel: Zum einen geht es um rechtliche Aspekte wie Aufbewahrungsfristen verschiedener Datensätze, beispielsweise Krankschreibungen und Urlaubsanträge, sowie Löschfristen, wobei zwischen Tabellen- und Komplettlöschungen von Objekten zu unterscheiden ist. Jeder Datensatz muss einzeln bewertet werden, und zwar jedes Jahr wieder. Zum anderen geht es um technische Aspekte. Viele Unternehmen fokussieren sich dabei nur auf Personaldaten von Beschäftigten und vergessen, Kunden- und Lieferantendaten einzubeziehen – die zählen aber auch als Personendaten!

Warum tun sich Unternehmen schwer mit dem Thema?

Kleine-Beckel: Es gibt mehrere Fallstricke. Viele sind schlicht von der großen Menge an Daten überfordert. Je mehr Ansprechpartner ein Unternehmen hat, desto schwerer ist es natürlich, den Überblick zu behalten. Im Zweifelsfall merkt ein Unternehmen gar nicht, wenn ein einzelner Mitarbeiter ausscheidet – dann versanden die Daten einfach. Hinzu kommt, dass gerade Tabellenlöschungen sehr komplex sind und eine hohe Auseinandersetzung mit dem System erfordern. Ein Fehler im Umgang mit personenbezogenen Daten in IT-Systemen, beispielsweise dem SAP HCM, ist, dass Löschkonzepte im Vorfeld der Realisierung häufig ohne Systemkenntnisse erarbeitet wurden. Dies führt dazu, dass Teile des Konzepts bei der Umsetzung teilweise unbrauchbar sind, da die Systemdeterminanten zur Wahrung der Datenintegrität nicht berücksichtigt wurden.

Was gilt speziell für SAP-Kunden?

Kleine-Beckel: Personaler sammeln gerne Daten nach dem Motto: „Was ich nicht löschen muss, behalte ich.“ Das Problem dabei ist, dass SAP-Kunden gezwungen sind, ihr HR-System bis 2027 auf Success Factors oder die neue Lösung H4S4 umzustellen. Letztere basiert auf einer Hana-Datenbank, die Daten im Memoryspeicher aufbewahrt. Je mehr Speicher ein Unternehmen benötigt, desto teurer wird die Datenbank. Daher ist es schon aus Kostengründen sinnvoll, Daten auszusortieren. Personaler sollten also umdenken: Alles, was nicht aufbewahrt werden muss oder gebraucht wird, kommt weg. Dazu gehören beispielsweise Informationen zum Lebenslauf von Mitarbeitenden, die Jahre zurückliegen. Beschäftigte achten übrigens nicht nur im privaten, sondern auch im beruflichen Umfeld immer stärker darauf, was mit ihren Daten passiert. Datenschutz ist noch nicht so präsent wie das Thema Nachhaltigkeit, aber definitiv im Kommen.

Inwiefern kann ein IT-Dienstleister unterstützen?

Kleine-Beckel: Bei genauerer Betrachtung ist auch die Löschung von Daten ein Projekt wie jedes andere. Es gibt ein standardisiertes Projektvorgehen, das alle Themen und Beteiligten vereint. Dienstleister können inhaltlich beraten, gemeinsam mit dem Kunden eine gute und rechtssichere Lösung entwickeln und die erste Datenbereinigung vornehmen. Dafür sollten sie technisch wie fachlich ausgebildet sein. Wichtig ist: Dienstleister dürfen keine Rechtsberatung machen. Das bedeutet, dass Kunden für den laufenden Betrieb selbst verantwortlich sind und haften.

Welche konkreten Schritte empfehlen Sie den Unternehmen?

Kleine-Beckel: Ich empfehle, einen internen Datenschutzbeauftragten mit juristischer Ausbildung zu benennen, der für die Einhaltung des Regelwerks sorgt. Außerdem sollten einzelne Beschäftigte für die zentrale Datenlöschung eingeteilt werden, nicht ganze Abteilungen. Trotzdem ist es wichtig, alle Mitarbeitenden im Unternehmen zu schulen – denn nur dadurch ist DSGVO-Sicherheit im Arbeitsalltag erreichbar. Außerdem sind die entrümpelten Daten die Basis dafür, dass Unternehmen ihre Analysen auf aktuellen und aussagekräftigen Informationen aufbauen. Für neuartige Analysen und Entscheidungswege ist das enorm hilfreich.

E-3: Danke für das Gespräch.