Diesen Artikel bewerten: 

Mehr als nur regelkonform

Umsetzung der DSGVO mit Weitblick schafft neue digitale Chancen

Dr. Andreas Schaffry ist freiberuflicher IT-Fachjournalist und von 2006 bis 2015 für die CIO.de-Redaktion tätig. Die inhaltlichen Schwerpunkte seiner Berichterstattung liegen in den Bereichen ERP, Business Intelligence, CRM und SCM mit Schwerpunkt auf SAP und in der Darstellung aktueller IT-Trends wie SaaS, Cloud Computing oder Enterprise Mobility. Er schreibt insbesondere über die vielfältigen Wechselwirkungen zwischen IT und Business und die damit verbundenen Transformationsprozesse in Unternehmen.
Bei der Umsetzung der DSGVO sollten Firmen sich nicht nur von der Pflicht, regelkonform zu werden, treiben lassen. Die Anforderungen der neuen DSGVO bieten Unternehmen vielfältige Chancen für die Realisierung datengetriebener digitaler Geschäftsmodelle. Voraussetzung dafür ist allerdings eine ganzheitliche Data-Governance-Strategie in Verbindung mit einer Plattform für das Datenmanagement sowie Techniken zur Anonymisierung personenbezogener Informationen.

Noch eine Woche vor Ablauf der Übergangsfrist für die Datenschutzgrundverordnung (DSGVO) der Europäischen Union (die Übergangsfrist endete am 25.05.2018) haben einer Studie der Management- und IT-Beratung Capgemini zufolge 81 Prozent der deutschen Unternehmen die neuen EU-Vorgaben verfehlt. Eines von vier Unternehmen wird es danach auch bis Jahresende nicht schaffen, regelkonform zu werden. Bei der Umsetzung der DSGVO konzentrierten sich Firmen überdies in erster Linie darauf, deren Anforderungen in Bezug auf personenbezogene Daten regelkonform umzusetzen - übersähen dabei aber die Geschäftschancen hinter der Verordnung, so die Studienautoren.

Das deckt sich mit den Beobachtungen von Wolfgang Epting, Solution Advisor Chief Expert bei SAP im Center of Excellence, Data Governance and Optimization & GDPR: "Unternehmen in Deutschland agieren in Bezug auf die DSGVO reaktiv und setzen die Anforderungen in vielen Fällen nach dem Minimalprinzip um." Der Fokus liege in der Regel darauf, Dokumentations- und Rechenschaftspflichten zu erfüllen oder Einwilligungserklärungen einzuholen.

Statt Bedrohungsszenarien: Vertrauen der Kunden stärken

Oftmals wird die neue Datenschutzverordnung wegen ihrer hohen Strafen sogar als Bedrohung gesehen. "Zu kurz kommt bei der ganzen Diskussion, dass die DSGVO auch enorme Chancen für die Geschäftsentwicklung eröffnet", so Wolfgang Epting. Wer personenbezogene Daten effizient schützt, zeigt digitale Verantwortung und stärkt so das Vertrauen der Kunden und Geschäftspartner in sein Unternehmen. Die neue Datenschutzrichtlinie bilde aber auch den Ausgangspunkt dafür, die Grundlagen für die Realisierung innovativer datengetriebener und dadurch wettbewerbsdifferenzierender Geschäfts- und Servicemodelle zu schaffen.

"Solche neuartigen Geschäftsmodelle sind ohne einen datenschutzkonformen Umgang mit personenbezogenen Daten von Kunden und Geschäftspartnern undenkbar", verdeutlicht Wolfgang Epting. Grundvoraussetzung für die DSGVO-Konformität und für digitale Businessmodelle bildet eine ganzheitliche, langfristig angelegte Data-Governance-Strategie und die Implementierung einer zentralen Plattform für ein effizientes Datenmanagement. Auf ihr lassen sich personenbezogene Daten und damit verbundene Compliance-Vorgaben - etwa im Hinblick auf Residenzzeiten und Aufbewahrungsfristen - über alle IT-Systeme hinweg konsistent, einheitlich und DSGVO-konform verwalten.

Identitäten für Analysen anonymisieren

Um das Potenzial digitaler Prozesse möglichst umfassend auszuschöpfen, ist es zudem nötig, die Vielzahl der Kunden- und Geschäftsdaten, die oft in verschiedenen IT-Systemen gespeichert sind, sinnvoll mit dem Strom an unstrukturierten Daten aus sozialen Medien, Sensoren, Steuerungen zu verknüpfen. Eine intelligente Auswertung all dieser Daten deckt verborgene Zusammenhänge, Beziehungen und Entwicklungen auf, aus denen sich Erkenntnisse ziehen lassen, um Produkt-, Service-, Prozess- oder Technologieinnovationen und neuartige Geschäftsmodelle zu entwickeln.

Die SAP HANA Data Management Suite setzt genau hier an. Sie schafft den Überblick und die Kontrolle über verteilte Daten und ermöglicht Unternehmen aus strukturierten und unstrukturierten Datenmengen, unabhängig von ihrem Speicherort, wertvolle und verwertbare Erkenntnisse zu gewinnen. Ein kritischer Punkt ist in diesem Zusammenhang, dass die datenschutzkonforme Nutzung personenbezogener Daten beispielsweise von Kunden, Geschäftspartnern, aber auch von Patienten zu jedem Zeitpunkt gewährleistet sein muss.

Dies ermöglichen zum Beispiel wissenschaftliche, auf mathematischen Modellen basierende Anonymisierungs- und Datenschutztechniken wie "k-Anonymität" und "Differential Privacy". Durch sie wird die DSGVO-konforme Verwendung personenbezogener Daten für Analysen, auch mit Technologien für Predictive Analytics oder Machine Learning überhaupt erst möglich. "Die Verfahren verschleiern Identitäten so, dass ein Rückschluss auf einzelne natürliche Personen nicht möglich ist, zugleich bleibt der jeweils benötigte semantische Informationsgehalt aus personenbezogenen Daten erhalten", sagt Wolfgang Epting.

Data Governance muss alles einbeziehen

Allerdings wird der mit einer konsistenten Anonymisierung und Verfremdung identischer personenbezogener Daten oder dem Sperren und Löschen dieser Daten verbundene Aufwand häufig unterschätzt. Das gilt besonders für heterogene IT-Landschaften, wo Daten verteilt in unterschiedlichen Datenbanken, Plattformen und Applikationen gespeichert sind. Aus Sicht von Wolfgang Epting ist es diese Komplexität, die dafür sorgt, dass Projektlaufzeiten von einem Jahr und mehr keine Seltenheit sind.

Umso wichtiger ist es, dass eine Data-Governance-Initiative alle relevanten Aspekte einbezieht - technologische, organisatorische wie auch juristische. Ebenso nötig ist auch die enge Zusammenarbeit aller Beteiligten: Geschäftsführung beziehungsweise Management, Geschäftsbereiche, IT-Organisation, Rechtsabteilung sowie Datenschutzbeauftragte. Das ist nicht immer der Fall, auch weil die jeweils Beteiligten unterschiedliche Sichtweisen und Ziele haben und es daher an der Kommunikation hapert. Es kommt zum Beispiel oft vor, dass die IT-Abteilung personenbezogene Daten seit Jahren auch in nicht produktive IT-Systeme wie das Entwicklungs- und Testsystem kopiert, der Datenschutzbeauftragte davon aber keine Kenntnis hat.

"Missverständnisse" wie diese, die aufgrund mangelnder Kommunikation entstehen, lassen sich durch die Bildung eines bereichsübergreifenden Projektteams vermeiden. Es muss die klare Vorgabe haben, die DSGVO in allen betroffenen Bereichen - von den IT-Systeme über Organisation, Beschäftigte und Prozesse bis hin zu den Daten - umzusetzen, und muss dazu mit den dafür nötigen Befugnissen ausgestattet werden.

Holistisches Verständnis für DSGVO entwickeln

Eine zentrale Rolle spielen in diesem Zusammenhang CIOs und IT-Leiter. Ihre Aufgabe ist es, die Geschäftsführung von den Vorteilen einer Data Governance in Bezug auf die digitale Transformation des Geschäftsmodells zu überzeugen. Zugleich sind sie gefordert, proaktiv Lösungsansätze für ein holistisches Verständnis der DSGVO-Anforderungen in Bezug auf die IT-System- und Datenlandschaft zu entwickeln und mit den Vorgaben des Managements und der Rechtsabteilung zu harmonisieren. Die technischen Voraussetzungen für die Umsetzung der DSGVO schafft dann eine Tool-gestützte Analyse der IT-Landschaft, der Prozesse und der Daten. Sie gibt Aufschluss darüber, in welchem Ausmaß die Anforderungen der Datenschutzverordnung das eigene Unternehmen betreffen, zeigt Schwachstellen und Lücken auf sowie die Prozesse, die in Bezug auf personenbezogene Daten besonders kritisch sind.

Angesichts der komplexen Aufgabenstellungen bei einem DSGVO- beziehungsweise Data-Governance-Projekt ist es ratsam, sich die Begleitung eines erfahrenen Partners zu sichern, der in diesen Bereichen über die nötige Beratungs-, Technologie- und Methodenkompetenz verfügt. Das spart wertvolle Zeit und schont personelle Ressourcen in der IT-Abteilung, der so mehr Raum für die Entwicklung und Realisierung innovativer IT- und Digitalisierungsstrategien bleibt. Da ein solches Vorhaben häufig auch Änderungen der Organisationsstruktur und der Prozesse nach sich zieht, ist außerdem ein kluges Change-Management gefragt.

Weitere Informationen von Wolfgang Epting zum Thema DSGVO finden Sie nachfolgend:

Jetzt zum Webinar "Umsetzung der Datenschutzgrundverordnung"