Einführung DSGVO – Keine kleine Herausforderung für eine IT-Firma
Lange Zeit war das Thema Datenschutz für viele Softwarehäuser kein Kernthema der technischen Weiterentwicklung. Doch dies änderte sich spätestens mit der Inkraftsetzung der EU-DSGVO am 25.05.2018. In dieser Verordnung haben sich die europäischen Gesetzgeber auf Regeln geeinigt, wie personenbezogene Daten zu behandeln und vor allem zu schützen sind. Eine wichtige und notwendig Maßnahme wie viele Experten befanden. Doch was bedeutete dieses neue Gesetz und welche Maßnahmen mussten wir als IT-Unternehmen treffen, um den neuen Anforderungen gerecht zu werden? 99 Artikel innerhalb der neuen Verordnung; Erwägungsgründe; BDSG (neu); aber was fehlte? Zum Einführungsstichtag gab es keine konkreten Handlungsempfehlungen. Daher haben wir uns an spezialisierte Juristen gewandt. Doch auch bei ihnen bestand Unsicherheit. Es gab keine bestehende Rechtsprechung, keine Vergleichsfälle oder Urteile, an denen man sich orientieren konnte. Wie also sollte man die Umfangreichen Anforderungen zum Thema Datenschutz rechtskonform umsetzen?
Wir haben uns dafür entschieden, eine Kombination aus intensiver Eigenrecherche und Fortbildungen mit anschließender Beratung in einer Anwaltskanzlei zu verfolgen. Also stand zunächst eine interne Weiterbildung unserer Fachberater an. Nach bestem Wissen wurde die neue Verordnung bereits Mitte 2017 analysiert und die potentiell relevanten Bereiche festgelegt. Schnell wurde uns bewusst, dass wir zwei Hauptthemen weiterverfolgen mussten: Auswirkungen auf unsere Organisation innerhalb des Unternehmens und notwendige technische Maßnahmen für unsere Software-Produkte. Mit den aus unserer Analyse gewonnen Erkenntnissen fuhren wir nach Hamburg zu einer Anwaltskanzlei, die bereits im dritten Quartal 2017 eine Einführungsschulung für die DSGVO anbot. Hier wurden uns die Grundzüge der Verordnung verständlich und transparent erklärt. Doch leider waren damit längst nicht alle Schwierigkeiten beseitigt. Nach der Schulung konnten wir mit einiger Unterstützung der Anwaltskanzlei die organisatorischen Maßnahmen für unser Unternehmen vornehmen. Doch wie man alle Vorgaben der DSGVO in einer Software umsetzen sollte, die auf Vielseitigkeit und Flexibilität beruht, wussten wir immer noch nicht. Besonders die Vorgaben, welche Daten wie lange Aufbewahrt werden müssen und wann eine Löschung der personenbezogenen Daten zu erfolgen hat, stellte uns vor einige Fragen. In der Datenschutzgrundverordnung ist beschrieben, dass die personenbezogenen Daten mindestens so lange aufbewahrt werden müssen, wie eine rechtliche Verpflichtung dazu besteht. Also bestand unsere nächste Aufgabe darin, die relevanten Aufbewahrungsfisten zu erarbeiten und mit unseren Technikern abzustimmen. Doch schon standen wir vor der nächsten Herausforderung. Obgleich die DSGVO das Thema Datenschutz innerhalb der EU einheitlich regeln sollte, wurden die für Aufbewahrungsfristen zu Grunde liegenden Rechtsvorschriften nicht vereinheitlicht. Was sollten wir also als Software-Hersteller tun, wenn unsere Software in mehr als 15 Nationen eingesetzt wurde? Schnell wurde klar, dass eine flexibel administrierbare Lösung erarbeitet werden musste. Gemeinsam mit unseren Entwicklern haben wir sämtliche Stellen in unseren Produkten analysiert, an denen personenbezogene Daten gespeichert oder genutzt wurden. Dies war für sich genommen schon keine kleine Aufgabe, da unser Hauptprodukt bereits seit über 15 Jahren am Markt war und anhand verschiedenster Kundenanforderungen immer erweitert wurde. Doch nachdem alle relevanten Stellen und auch alle abhängigen Daten analysiert worden waren, konnten wir endlich damit anfangen, die eigentlichen Routinen für die Ermittlung der Aufbewahrungsfristen und Löschungen zu konzipieren. Nach vielen Diskussionen und tatkräftiger Unterstützung von beratenden Juristen konnten wir jedoch nach etwa einem Jahr Projektzeit unsere Lösung zur technischen Umsetzung der DSGVO fertigstellen und mit den Einführungsprojekten bei unseren Kunden beginnen.
Nach Abschluss des Projektes ziehe ich für mich das Fazit, dass die DSGVO uns zwar vor eine Vielzahl von Herausforderungen gestellt hat, wir aber jede einzelne lösen konnten. Ich bin sehr zufrieden mit dem Ergebnis des Projekts und freue mich auf die nächsten Herausforderungen (auch wenn ich hoffe, dass diese wieder mehr aus Kundenanforderungen stammen und nicht aufgrund von Gesetzesänderungen stattfinden müssen).