Ab dem 25. Mai 2018 ist die europäische Datenschutzgrundverordnung (DSGVO) einzuhalten. Ab dann gelten die Regelungen der DSGVO im Umgang mit personenbezogenen Daten (z. B. von Interessenten, Mietern, Beschäftigten und Handwerkern) unmittelbar für alle Unternehmen mit Sitz in Deutschland bzw. der Europäischen Union.
Es geht um die Frage, welche Daten überhaupt erhoben werden können. Die DSGVO regelt vor allem den Umgang mit den Daten, also das „Wie“. In diesem Bereich regelt die DSGVO eine Vielzahl von neuen Anforderungen, die eine umfangreiche Anpassung von bestehenden Prozessen erfordern.
Auf den ersten Blick entsprechen prägende Grundprinzipien, Verarbeitungserlaubnisse oder Schutzrechte der Betroffenen weitgehend den bekannten Anforderungen der EG-Datenschutzrichtlinie und des deutschen Datenschutzrechts. Dennoch ergeben sich auch vielen Neuerungen durch die neuen Vorgaben. Was das im Unternehmen bedeutet und welche Maßnahmen zur Umsetzung notwendig sind, möchten wir in einem Interview mit Kevin Mattiszik, Geschäftsführer BAUWENS Construction GmbH, und Hans-Peter Fries, dem Datenschutzbeauftragten des Unternehmens, erörtern.
Wer ist betroffen?
Herr Fries: Wer wird durch die neue DSGVO angesprochen? Welche Unternehmen sind davon betroffen?
Die Datenschutzgrundverordnung gilt für alle Stellen und Unternehmen im öffentlichen und nicht-öffentlichen Bereich (Verantwortlicher) egal welcher Größe oder Branche. Damit natürlich auch für die Immobilienbranche.
Herr Mattiszik: Müssen Sie bei BAUWENS Datenschutz völlig neu denken? Verändert sich schlagartig alles?
Datenschutz hat bei BAUWENS schon immer einen hohen Stellenwert eingenommen, die neue DSGVO zwingt uns allerdings dazu, dieses Themengebiet noch intensiver zu bearbeiten. Dies umfasst u. a. die kontinuierliche Sensibilisierung aller Mitarbeiter, geeignete IT-Systeme, standardisierte Prozesse/Abläufe und professionelle Partner. BAUWENS setzt sich bereits seit 2015 kontinuierlich im Rahmen einer umfassenden Digitalisierung mit diesem Thema auseinander. Daher kommt es für uns nicht schlagartig.
Grundsätze
Herr Fries: Inwieweit unterscheidet sich die Datenschutzgrundverordnung von der bisherigen nationalen Umsetzung? Was sind die grundlegenden Änderungen?
Die inhaltliche Unterscheidung bezogen auf den Schutz der personenbezogenen Daten (pbDaten) zwischen der DSGVO und dem derzeit noch aktuellen BDSG ist nicht so gravierend. Hier sind in die EU-Verordnung viele Elemente des deutschen Datenschutzes übernommen worden. Was jedoch für viele Unternehmen neu sein wird, ist die Erhebung und Beschreibung der relevanten Prozesse, welche pbDaten verarbeiten.
Hier ist dann auch bei der Analyse dieser Prozesse der Schutzbedarf – risikobasiert – zu ermitteln und die Maßnahmen zum Schutz dieser Daten entsprechend zu implementieren. Diese Schutzmaßnahmen sind hinsichtlich ihrer Wirksamkeit regelmäßig zu überprüfen und entsprechend – dokumentiert und damit nachweislich – anzupassen. Das ist grundsätzlich nichts Neues für Unternehmen, die auch schon heute die Themen Informationssicherheit und Datenschutz leben.
Viele Unternehmen stehen jedoch vor der großen Herausforderung, diese Sicherheits- und Datenschutzprozesse zu erstellen und nachhaltig in der Unternehmensstruktur zu verankern. Da dies alles nachweisbar sein muss – die DSGVO spricht hier von Accountability – ist eine Organisation dieses Datenschutzes meist nur über ein Datenschutzmanagementsystem gesetzeskonform möglich.
Herr Mattiszik: Wie war BAUWENS bisher beim Thema Datenschutz aufgestellt? Hatten Sie einen internen Datenschutzbeauftragten bzw. ab wann braucht man einen (kann ein Unternehmen das selbst noch überblicken)?
Das Themengebiet Datenschutz bzw. Schutz personenbezogener Daten ist so umfassend und unterliegt einer permanenten Veränderung, dass es sehr schwierig ist, hier immer auf dem neuesten Stand zu sein. Aus diesem Grund haben wir mit der Firma @ Yet und Herrn Fries sehr gute externe Partner an unsere Seite geholt. Ich würde auch jedem Unternehmen nahelegen, sich an dieser Stelle eine professionelle Unterstützung zu suchen. Es bleibt am Ende noch genug Arbeit, die jedes Unternehmen intern leisten muss. Die relevanten Prozesse und deren standardisierten Abläufe muss jedes Unternehmen selber definieren, hier agiert der DS-Beauftragte als Berater.
Verantwortlichkeiten im Unternehmen/Neue Ressourcen/Prozesse/Risiken
Herr Mattiszik: Was wird sich in der Zukunft bei BAUWENS durch die neue DSGVO verändern? Müssen/mussten Sie neue Ressourcen für die Umsetzung schaffen (finanziell/personell)? Und welche Prozesse sind konkret im Unternehmen von der DSGVO betroffen?
Durch unsere seit 2015 laufenden Digitalisierungsaktivitäten mussten wir bezogen auf die DSGVO keine speziellen weiteren Ressourcen aufbauen. In Summe haben wir allerdings in den Bereichen IT, Prozessdigitalisierung und Anwendungsbetreuung einige neue Positionen im Unternehmen geschaffen. Diese sind aus unserer Sicht allerdings auch notwendig. Die DSGVO hat nochmals unseren Blick für die Relevanz von beschriebenen und standardisierten Prozessen geschärft.
Ich denke an dieser Stelle liegt auch für jedes Unternehmen die größte Herausforderung. Welche Prozesse gibt es überhaupt bzw. wie viele Varianten eines einzelnen Prozesses gibt es in meinem Unternehmen? In welche Listen, Tabellen und Systemen werden welche Daten in meinem Unternehmen erfasst? Diese Dinge zu erfassen, zu definieren und zu vereinheitlichen hat einen großen Wert für jedes Unternehmen.
Auf diese Art und Weise kann man seine eigenen Abläufe hinterfragen – gibt es nicht vielleicht bessere Wege für einzelne Prozesse? Die DSGVO wird sich unmittelbar oder mittelbar auf alle Prozesse auswirken. Unmittelbar auf alle Prozesse, in denen personenbezogene Daten betreut werden und mittelbar auch auf alle weiteren Prozesse, die wir beschreiben und optimieren werden. Daher sehe ich in der DSGVO nicht nur eine Herausforderung, sondern auch eine Chance.
Herr Fries: Worauf müssen Unternehmen zukünftig besonders achten und welche Folgen kann eine Missachtung der neuen VO haben (im Gegensatz zu den vorherigen Regelungen)?
Wie bereits oben erwähnt, müssen Unternehmen darauf achten, dass die Regelungen zur Sicherstellung des Datenschutzes in allen Strukturen und Prozessen Berücksichtigung finden. Eine Risikobetrachtung bei der Einführung neuer Systeme und Abläufe ist aber auch bei funktionaler Erweiterung bestehender Verfahren zwingend erforderlich. Methodik und Ergebnis dieser Betrachtung sind zu dokumentieren.
Der Datenschutzbeauftragte ist noch stärker als bisher einzubinden in diese Risikobetrachtung. Alle Aktivitäten mit pbDaten sind transparent und „datenschutzfreundlich“ zu gestalten und Maßnahmen richten sich nach Begrifflichkeiten wie z. B. „Stand der Technik“ aus.
Dies ist deshalb erforderlich, weil sich damit natürlich die gesetzlichen Forderungen nach dokumentiertem Datenschutz und Informationssicherheit belegen lassen um nicht zuletzt – und auch das ist neu – einer Sanktionierung durch die Aufsichtsbehörden, mit deutlich gestiegenen Bußgeldern (10 bzw. 20 Mio. Euro bzw. 2 oder 4 Prozent – je nachdem, was höher ist – des unternehmensweltweiten Jahresumsatzes des Vorjahres) entgegenzuwirken. Damit wird Informationssicherheit und Datenschutz noch mehr ein Compliance-Thema, das für Unternehmen existentiell sein kann.
Praktische Umsetzung/Hürden
Herr Fries: Welche Schritte empfehlen Sie jetzt, wie und womit sollten sich die Unternehmen ganz praktisch in den kommenden verbleibenden Monaten auseinandersetzen. Gibt es eine Art Checkliste/Leitfaden, an der man sich orientieren kann?
Ein erster notwendiger Schritt ist die Information und damit Sensibilisierung aller Verantwortlichen im Unternehmen. Die Bedeutung und die damit verbundenen notwendigen Aktivitäten müssen allen klar sein. Weiterhin muss klar sein, dass die Umsetzung der gesetzlichen Forderungen bis zum 25. Mai 2018 nicht alleine ein Thema der IT oder des Datenschutzbeauftragten ist.
Hier steht die Unternehmensleitung in der Verantwortung. Der Gesetzgeber ist hier ganz klar mit seiner Adressierung der Verantwortung zum Datenschutz. Darüber hinaus gibt es dann für die praktische Umsetzung der erforderlichen Maßnahmen Checklisten der Datenschutz-Aufsichtsbehörden bzw. verschiedenster Datenschutzverbände.
Priorität haben sollten aber die Aufnahme und Beschreibung der relevanten Verarbeitungen bzw. Prozesse, die Analyse der Dienstleistungsbeziehungen hinsichtlich der Auftragsdatenverarbeitungsrelevanz sowie die Überprüfung der gesetzeskonformen Einwilligungen der Betroffenen (Beschäftigte, Kunden, Interessenten, Lieferanten etc.) zur Verarbeitung ihrer Daten durch das Unternehmen. Diese Wahrung der Betroffenenrechte und die damit verbundene technische Umsetzung sind nicht zu unterschätzen und bedingen Zeit.
Herr Mattiszik: Aus eigener Erfahrung…Was raten Sie den BFW-Unternehmen hinsichtlich der Umsetzung der DSGVO? Wo liegen die größten Hürden bei der Umsetzung?
Ich kann allen nur zu fünf Dingen raten:
- Fangen Sie kurzfristig und mit Nachdruck an, sich mit dem Thema zu beschäftigen.
- Die Umsetzung der DSGVO ist Aufgabe der Geschäftsführung und nicht der IT!
- Stellen Sie ein internes Projektteam zusammen, um die Umsetzung zu realisieren.
- Holen Sie sich für die Vermittlung der DSGVO-Anforderungen einen professionellen Partner an ihre Seite und hinterfragen Sie, ob ihre internen Kompetenzen in den Bereichen IT und Prozessmanagement mittelfristig noch ausreichend sind.
- Erkennen Sie die Chance, den einen oder anderen alten Zopf abzuschneiden.
Vorteile für die Unternehmen
Herr Fries: Gibt es aus Ihrer Sicht auch positive Aspekte, die mit der neuen DSGVO einhergehen? Wo ergeben sich Erleichterungen für die Immobilienbranche, auch langfristig?
Die DSGVO zwingt Unternehmen noch mehr, als es das BDSG tat, sich um das Thema Informationssicherheit zu bemühen und diese sicherzustellen. Auch wenn die Begrifflichkeit zunächst abstrakt erscheint, verbergen sich doch auch hier klassische Maßnahmen zum Schutz der pbDaten und damit nicht zuletzt auch der Unternehmensdaten und damit der Assets.
Um dies dann auch erfolgreich sicherstellen zu können, sind die Analyse der Datenhaltung (Speicherorte), Datenströme und Nutzung der Daten nicht nur eine gesetzliche Erfordernis zur Umsetzung der DSGVO, sondern sorgen auch darüber hinaus für Transparenz über IT-Strukturen und bieten Optimierungspotential verschiedentlichster Art.
Weiterhin wird Datenschutz auch gesellschaftlich wahrgenommen. In einer Branche wie der Immobilienbranche, in der die Unternehmen mit zum Teil sehr sensiblen Daten ihrer Kunden arbeiten, hat der Datenschutz eine Signalwirkung und schafft damit auch einen Mehrwert. In Zeiten, in denen ja offensichtlich nichts mehr sicher ist, wird der Schutz der persönlichen Daten gegen Missbrauch als vertrauensbildende Maßnahme – auch für Marktbegleiter – positiv wahrgenommen.
Herr Mattiszik: Welche Vorteile ergeben sich konkret für BAUWENS mit der neuen DSGVO?
Die DSGVO gibt uns zum einen die Möglichkeit, unseren Kunden, Partnern und Mitarbeitern noch mehr Sicherheit bei ihren persönlichen Daten zu gewährleisten und zum anderen, uns als Unternehmen die Chance, unsere bestehenden Prozesse/Systeme zu erfassen, zu hinterfragen und zu standardisieren. Auf diese Weise erzeugt die DSGVO Unternehmenswert und erfordert nicht nur, wie von vielen proklamiert, ausschließlich finanzielle und personelle Ressourcen.
Herr Mattiszik, Herr Fries, wir bedanken uns herzlich für das Interview!