Der Weg zur GDPR-Compliance: Von den ersten Schritten zur langfristigen und nachhaltigen Compliance

Die neue EU-Datenschutz-Grundverordnung (GDPR) tritt im Mai 2018 in Kraft und wird die Art und Weise, wie Unternehmen persönliche Daten definieren und handhaben, substantiell ändern, wodurch bisherige Systemlandschaften, interne Prozesse, Datenverwaltungspraktiken und Organisationsstrukturen hinterfragt werden. Die bei Nicht-Einhaltung fälligen Strafzahlungen erreichen neue Dimensionen. Zusätzlich wird die territoriale Reichweite der Datenschutzregelung erhöht und die Rechte von in der EU ansässigen Datensubjekten werden gestärkt. All dies führt zu neuen Anforderungen an Organisationen mit verschiedenen Größen und Geschäftskonzepten.

Weitere Informationen zu den wichtigsten Aspekten der neuen Verordnung finden Sie hier.

Genau jetzt ist der richtige Zeitpunkt, um zu handeln und koordinierte Schritte in Richtung GDPR-Compliance zu unternehmen. Eine passive Haltung würde in einer solchen, sich dynamisch entwickelnden Rechtslandschaft die Stabilität des gesamten Unternehmens gefährden, wenn es von der Erhebung und Verarbeitung persönlicher Daten abhängig ist.

Dieser Artikel zeigt Ihnen deshalb einen praktisch orientierten Fahrplan zur GDPR-Compliance und geht auf in der Branche verbreitete Missverständnisse ein.


Wie bereitet sich die Branche auf diesen Entwicklungsschritt in der Regulierung persönlicher Daten vor?

Da die neue Verordnung in Kürze in Kraft tritt, machen die meisten datenbasierten Organisationen, besonders in Europa und den USA, GDPR-Compliance-Strategien zu einer Priorität in ihrer strategischen Geschäftsplanung.

Wenn sie ihren Fahrplan zur GDPR-Compliance gestalten, sehen sich die Unternehmen bei der genaueren Auseinandersetzung mit den Rahmenbedingungen der neuen Verordnung vielfältigen Herausforderungen gegenüber. Aus Erfahrung wissen wir, dass folgende Fragen bei Unternehmen, die ihre Compliance erneuern möchten, häufige Schwierigkeiten darstellen:

  • Wo ist der Startpunkt und wie sollen aus allen geplanten Maßnahmen Prioritäten festgelegt werden?
  • Welche Funktion oder Struktur soll zur treibenden Kraft werden und die unternehmensweite Erneuerung des Umgangs mit persönlichen Daten vorantreiben?
  • An welchem Punkt auf dem Weg zur Compliance sollten externe Beratungsdienste und Experten hinzugezogen werden?
  • Wie soll das Risikotoleranzprofil der Organisation definiert werden und welche finanziellen Folgen haben die Bemühungen um Compliance?

Um auf all diese Bedenken einzugehen, muss ein bewährtes Konzept vorliegen, das einen klaren Weg zur nachhaltigen GDPR-Compliance aufzeigt. Aktuell laufende Projekte zeigen durchdachte und effektive erste Schritte, die einige universelle Maßnahmen vorsehen und Teil eines logischen und ergebnisorientierten GDPR-Compliance-Fahrplans sind.

Aus diesen Kernelementen der Compliance-Strategie werden untergeordnete Arbeitspakete und Maßnahmen unterschiedlichen Umfangs abgeleitet, die Dokumentationsaufgaben, endverbraucherorientierte Prozessbewertungen, Datenquellen, Attribute, Aufbewahrungsfristen, Berechtigungskonzepte, Sicherheitsmaßnahmen, Schnittstellen usw. umfassen. Der Gesamterfolg auf dem Weg zur Compliance geht jedoch weit über die technischen Aspekte hinaus und hängt stark von der intern gepflegten Denkweise und Haltung gegenüber persönlichen Daten als streng regulierte und sehr wertvolle Unternehmensressource ab. Eine solche Denkweise kann erreicht werden, indem angemessene Methoden des Veränderungsmanagements, Schulungen und Sensibilisierungsmaßnahmen wirksam eingesetzt werden.


Obwohl die Datenschutz-Grundverordnung klare, branchenübergreifende Grenzen setzt, ist der Weg zur Etablierung einer GDPR-konformen Organisation aufgrund der Besonderheiten und des unterschiedlichen Geschäftskonzepts jedes Unternehmens sehr individuell. Aus unseren Beobachtungen konnten wir zwei typische Fallstricke erkennen, die in vielen Unternehmen wiederkehrende Missverständnisse darstellen:

  • Missverständnis 1: Zentralisierung und ein rein Top-Down-gesteuerter Ansatz gewährleisten klare Ziele und die für den Compliance-Erfolg notwendige Transparenz.
  • Tatsächlich: Mit zunehmender internationaler Präsenz eines Unternehmens steigt die Komplexität des Compliance-Projekts parallel an. Eine Eigentümerschaft pro Land/Region ermöglicht die Übersetzung globaler Prozesse in lokale und sorgt für ein höheres internes Engagement.
  • Missverständnis 2: Die Einhaltung der Datenschutz-Grundverordnung ist ein Projekt, das vor allem rechtliche und technische Aspekte umfasst.
  • Tatsächlich: 70% des Arbeitsaufwands machen organisatorische Maßnahmen aus.

Nach dem Projektstart erkennen die meisten Firmen, welch langer Weg vor ihnen liegt und entscheiden sich für ein schrittweises Vorgehen. Ein gemeinsames Element aller Organisationsstrategien besteht darin, den Schwerpunkt auf die Beseitigung der unmittelbaren Schwachstellen in Hinblick auf GDPR-Standards zu legen, und zwar durch kurzfristig orientierte erste Schritte. Diese werden im weiteren Verlauf durch Maßnahmen zur Erreichung einer langfristigen und nachhaltigen Compliance ergänzt, was eine Kernumstrukturierung der internen Geschäftssäulen bedeutet: Organisation, Prozesse, Systeme und Datenverwaltung.

 


CAMELOT als verlässlicher Partner auf Ihrem Weg zur GDPR-Compliance

Treten Sie der Liga GDPR-konformer Unternehmen in einem rechtlich harmonisierten Datenschutzumfeld bei und vertrauen Sie auf die Expertise der CAMELOT Management Consultants. Wir haben 20 Jahre Erfahrung mit Datenverwaltungsprojekten im Unternehmensbereich und blicken mit unserem Kundenstamm, der hauptsächlich aus Fortune-Global-500-Unternehmen besteht, auf eine beachtliche Erfolgsbilanz. Die einzigartige Wertschöpfung von CAMELOT beruht auf starken, synergetischen Kompetenzen aus der Geschäftsperspektive einerseits, und der IT-Perspektive andererseits. Seine Spitzenposition bei neuen Technologien ermöglicht gleichzeitig das Erzielen schneller Erfolge mit digitalen Anwendungsfällen und eine solide strategische Führung, die seine Kunden langfristig zu Vorreitern in ihrer Branche macht.

Lesen Sie hier mehr über die Service-Angebote von CAMELOT zur GDPR-Compliance.

Der Autor möchte an dieser Stelle einen besonderen Dank an Aleksandra Baumann für ihre wertvolle Unterstützung bei der Erstellung dieses Artikels aussprechen.

written by
Nikola Baramov
Nikola Baramov ist Senior Consultant und Mitglied des Enterprise Information Management (EIM)-Teams bei CAMELOT. Er verfügt über sechs Jahre Arbeitserfahrung in der Branche, vor allem in den Bereichen datenbasierte Projekte, innovative Technologien und organisatorische Wandlungsprozesse.

Dieser Post ist außerdem verfügbar in: Englisch