EU-DSGVO-Umsetzung im Schweizer Unternehmen – ein Erfahrungsbericht

2017 hat das Mutterhaus von Elektro-Material, die Rexel Dévéloppement mit Sitz in Paris, ein konzernweites Projekt ins Leben gerufen mit dem Ziel, die europäische Datenschutz-Grundverordnung (EU-DSGVO) in ihren Tochtergesellschaften zu implementieren. Dazu wurde unser Unternehmen aufgrund der gesetzlichen Richtlinien und ihres Geschäftsanteils an Exporten in die EU von Rexel als umsetzungspflichtig erkannt. Ende 2019 schliesst Elektro-Material die Einführung der EU-DSGVO ab.

Erleichternd für das Unternehmen war die Tatsache, dass wir die Projektstruktur des Mutterhauses übernehmen und unsere Planung darauf aufbauen konnten. Die Schätzung der finanziellen, technischen und personellen Aufwände mussten wir anhand des Masterplans der Konzernzentrale und den Gegebenheiten des Unternehmens anpassen.

Projektorganisation, Scope und Strategie des Projekts

Als Projektorganisation haben wir auf der Steuerungsebene einen Projektausschuss eingerichtet– bestehend aus den Fachbereichsleitern der Geschäftseinheiten. Auf Ebene Projekt hat eine Arbeitsgruppe aus Fachvertretern die Grundlagen erarbeitet. Die Bandbreite der Themen erstreckt sich in diesem Projekt über alle Kernelemente des Unternehmens. Prozesse, IT-Systeme und Mitarbeitende sind gleichermassen davon betroffen. Somit ist eine hohe Komplexität gegeben.

Was bedeutet die EU-DSGVO für Schweizer Unternehmen? Alle Informationen, Hintergrundberichte und News rund um zum Thema finden Sie in Online-Dossier der Netzwoche.

Aufgrund der Projektsituation entschieden wir uns, die Themenbereiche in einzelne Initiativen zu unterteilen. Wir fassten die Tätigkeiten in Arbeitspaketen zusammen und konnten so die Kontrolle und Steuerung des Projekts vereinfachen. Nachfolgend die Beschreibung unserer Ini­tiativen, die numerische Reihenfolge entspricht nicht einer zwingenden Reihenfolge, da diese Initiativen zeitgleich oder überlappend verliefen:

Initiative 1: Inventar der Daten, Systeme und Schutzmassnahmen erstellen

Wir erstellten ein Inventar über die personenbezogenen Daten sowie über die Systeme, welche die Daten bearbeiten. Zudem erhoben wir die zugehörigen Datenschutzmassnahmen. In einem weiteren Schritt identifizierten wir Prozesseigentümer, Systemverantwortliche und Daten­verarbeitende. Am Schluss nahmen wir physische Daten (Papierdokumente) und physische Ablageorte ­(Lateralschränke, Tresore, Archivräume etc.) ins Inventar auf.

Initiative 2: Ausbilden der Mitarbeitenden

Die Herausforderung für uns bestand darin, die Mitarbeitenden der zehn Niederlassungen, die in der Schweiz in allen Sprachregionen verteilt sind, zum Thema Datenschutz auszubilden. Dazu konnten wir auf webbasierte Trainingsprogramme des Konzerns zurückgreifen. Die­jenigen Mitarbeitenden, die keinen direkten Internetzugang hatten, wurden vor Ort geschult. Für neu eintretende Mit­arbeitende gehören die Datenschutzmodule zum Pflichtprogramm.

Initiative 3: Notwendige Schutzmassnahmen erkennen und ­definieren

Personenbezogene Daten trafen wir fast überall an. Personalwesen und Lohnadministration sind hier die klassischen Orte. Aber auch Kunden- und Lieferantendaten untersuchten wir auf genügenden Schutz. War dies nicht der Fall, trafen wir notwendige Massnahmen und setzten diese termingerecht um.

Initiative 4: Rechtliche Grundlagen mit Partnern schaffen

Wir sichteten die bestehenden Verträge mit Partnern und Lieferanten, die auf personenbezogene Daten zugreifen, sie speichern und/oder verarbeiten, und erweiterten sie allenfalls um datenschutzrechtliche Punkte. Bestehende Datenschutzvereinbarungen werden zurzeit noch überprüft, damit sie gegebenenfalls termingerecht angepasst werden können.

Initiative 5: Rechte betroffener Personen sicherstellen

Um die Rechte betroffener Personen in Bezug auf ihre Daten sicherstellen zu können, richteten wir einen Kommunikationskanal ein, um mögliche Anfragen zentral sammeln und sicherstellen zu können, dass keine Anfrage vergessen geht. Dafür wurde ein Datenschutzkontakt nominiert, der sich um die Koordination und Erledigung der Anfragen kümmert

Initiative 6: Periodische Risiko -Assessments durchführen

Die Planung im Projekt sieht vor, dass Elektro-Material das Risiko-Assessment als institutionalisierten Prozess einführt. Das Assessment ist fester Bestandteil zukünftiger Bewertungen von Risikofaktoren für Datenschutzverletzungen personenbezogener Daten.

Initiative 7: Datenschutzverletzungen erkennen, begrenzen und kommunizieren

Wir führten Prozesse zur Identifikation und Klassifikation einer Datenschutzverletzung ein. Ebenfalls liegt ein Kommunikationskonzept vor, wie im Falle einer Schutzverletzung zu kommunizieren ist und Antwort auf folgende Fragen gibt: Wer sind die Informationsempfänger und was ist der Sachverhalt? Was sind die geeigneten Massnahmen zur Schadensbegrenzung? Wie sind die einzuhaltenden Meldefristen?

Initiative 8: Datentransfers in Drittländer prüfen und Richtlinien dazu erlassen

Die Datentransfers nach extern wie auch intern wurden von uns analysiert und wir nahmen die Rollenzuteilung von Datenverantwortlichen und Datenverarbeitenden vor. Oftmals ist auf den ersten Blick nicht ersichtlich, wer welche Rolle hat. Dies ist aber notwendig bei der Ausarbeitung von Datenschutzvereinbarungen zwischen den Parteien. Gerade bei Datentransfers, die in Drittländer ausserhalb der EU und des EWR-Wirtschaftsraums durchgeführt werden, kann dies von grosser Wichtigkeit sein.

So gut wie nötig, nicht so gut wie möglich

Datenschutz ist kein IT-Projekt, sondern unternehmensweit anzusiedeln. Prozesse und Personen sind ebenso matchentscheidend wie IT-Systeme. Darum gilt es, wirtschaftliche Überlegungen bei einem Projekt dieser Grös­senordnung anzustellen: Wie halte ich die personellen und finanziellen Aufwände in einem vertretbaren Rahmen? Wie stelle ich sicher, dass die Geschäftstätigkeit nicht beeinträchtigt wird, und wie gerate ich nicht in einen Zielkonflikt mit anderen geschäftskritischen oder strategischen Projekten? Datenschutz soll so gut wie nötig, aber nicht so gut wie möglich sein. Datenschutz muss effektiv sein und uns in unserer täglichen Arbeit unterstützen, nicht behindern. Was passieren kann, wenn der Datenschutz weiterhin auf die leichte Schulter genommen wird, zeigt das Beispiel von Google. Auch wenn eine 50-Millionen-Euro-Strafe für einen Konzern wie Google ein Griff in die Portokasse bedeutet, ist die Signalwirkung für andere Unternehmen dennoch unmissverständlich: Die EU meint es ernst mit der Durchsetzung der EU-DSGVO.