Daten? Aber sicher!
Angesichts der ab Ende Mai 2018 geltenden EU-Datenschutz-Grundverordnung kann die Überprüfung bisheriger Datenverarbeitungsprozesse zu mehr Sicherheit und Prozesseffizienz führen – und zu mehr Kundenzufriedenheit. Aareon zeigt, was das für Ihr Unternehmen bedeutet und was zu beachten ist.
2018 wird das Jahr des Datenschutzes. Dafür sorgt ganz sicher ein Stichtag, der alle diejenigen betrifft, die mit der Verarbeitung von Daten – erst recht personenbezogenen – zu tun haben: Zum 25. Mai 2018 müssen die Vorgaben der neuen Datenschutz-Grundverordnung der Europäischen Union (kurz EU-DSGVO) umgesetzt sein. Jedes Unternehmen, das Daten seiner Kunden verarbeitet, muss in seinen digitalen Lösungen die gesetzlichen Regelungen zur Verarbeitung und Speicherung einhalten und dafür Sorge tragen, dass die Betroffenen über die Datenverarbeitung informiert werden und ihr zustimmen – ganz gleich, ob es um ERP-System, Kundenportal oder Mieter-App geht.
Seit Mai 2016 ist die europaweit gültige Verordnung in Kraft, der Gesetzgeber gewährte aber eine zweijährige Übergangsfrist zur Umsetzung. Gültig ist die Verordnung für Unternehmen mit einer Niederlassung innerhalb der EU und für Unternehmen, die Produkte in der EU anbieten oder das Verhalten von EU-Bürgern „überwachen“ – unabhängig vom Ort der Datenverarbeitung. Deutschland ist das erste Land in der EU, das ein entsprechendes Umsetzungsgesetz erlassen hat. Dieses wird ebenfalls zum 25. Mai 2018 gelten und das bisherige Bundesdatenschutzgesetz ablösen.
Für viele Unternehmen heißt es trotz der langen Übergangsfrist, in Sachen Datenschutz noch kräftig in die Hände zu spucken. Eine im Herbst 2017 veröffentlichte repräsentative Studie des Bundesverbands Informationswirtschaft, Telekommunikation und neue Medien e.V. (Bitkom) kommt nach der Befragung von 500 Unternehmen zu dem Ergebnis, dass jedes dritte Unternehmen sich noch nicht mit der EU-DSGVO beschäftigt hat. „Unternehmen, die bis jetzt abgewartet haben, müssen das Thema schnellstmöglich aufarbeiten“, sagt Susanne Dehmel, Geschäftsführerin Recht & Sicherheit beim Bitkom. Dabei zeigt die Studie auch, dass die Nutzung personenbezogener Daten für viele Unternehmen von erheblicher Bedeutung ist: Jedes dritte (32 Prozent der Befragten) setzt sie zur Verbesserung von Produkten und Dienstleistungen ein. Und vier von zehn Unternehmen geben sogar an, dass die Nutzung personenbezogener Daten die Grundlage des eigenen Geschäftsmodells ist.
Was müssen Unternehmen in der täglichen Praxis nun tun, um in den verbleibenden Monaten fristgerecht den gesetzlichen Anforderungen gerecht zu werden? Und was müssen IT-Verantwortliche und Datenschutzbeauftragte angesichts dieser neuen Regeln beachten?
Des Pudels Kern: die wichtigsten Aspekte der EU-DSGVO
Der nun nahende Stichtag bietet Anlass, sich mit den neuen Anforderungen zu beschäftigen. Zum einen müssen Unternehmen ihre Kunden künftig deutlich früher und detaillierter als bisher darüber informieren, dass sie die sie betreffenden Daten verarbeiten und lückenlos dokumentieren. Dies hat mitunter einen erhöhten administrativen Aufwand zur Folge, verbessert aber auch den Datenschutz für Mieter und Kunden erheblich.
In Zeiten von Big Data, in denen vielfältige Datenbestände und Datenströme generiert und verarbeitet werden, ist es nicht nur aus Reputationsgründen wichtig, für einen adäquaten und zeitgemäßen Schutz der Daten zu sorgen. Vielmehr gilt jetzt das Prinzip „Privacy by Design“: Von Beginn an müssen bei Konzeption und Ausgestaltung datenverarbeitender Systeme datenschutzfreundliche Voreinstellungen durch den ganzen Design- und Entwicklungsprozess hindurch integraler Bestandteil sein. Für Wohnungsunternehmen heißt das: Der Schutz von Mietern vor einer allzu leichtfertigen „Datenhuberei“ wird mit der EU-DSGVO in den Mittelpunkt unternehmerischen Handelns gestellt. Es sollen nur noch diejenigen Daten verarbeitet werden, die für den konkreten Zweck erforderlich sind. Ziel ist es, in der EU ein einheitliches Datenschutzniveau und eine europaweite Rechtssicherheit herzustellen sowie Datensicherheit zu gewährleisten.
Sogenannte Öffnungsklauseln erlauben auch weiterhin Ergänzungen der EU-DSGVO auf nationaler Ebene. Und Fachleute gehen davon aus, dass auch nach 2018 die Landschaft der Datenschutzregelungen in Europa komplex und mitunter in Details widersprüchlich bleiben wird. Angesichts drastisch erhöhter Bußgelder – die EU-DSGVO sieht bis 20 Millionen Euro oder vier Prozent des Umsatzes vor, je nachdem, was höher ist – und der Ausweitung der Haftung im Falle von Datenschutzverstößen auch auf Auftragsverarbeiter wird jedoch deutlich, warum sich alle datenverarbeitenden Unternehmen in der verbleibenden Frist mit der Datenschutzverordnung befassen müssen. Zudem gilt kein Bestandsschutz für bestehende Datenschutzregelungen im Unternehmen. Der rechtzeitige Beginn von Überprüfung und Anpassung der eigenen Dokumentation mit Blick auf die EU-DSGVO ist also dringend ratsam.
Diese Regelungen der EU-DSGVO sollten IT-Verantwortliche kennen:
- Kunden müssen der Verarbeitung von Daten ausdrücklich zustimmen – versteckte Einwilligungen durch Datenschutzerklärungen zum Beispiel bei Vertragsabschluss sind nicht gültig.
- Der Transparenzgrundsatz ist ein wesentliches Prinzip der EU-DSGVO. IT-Verantwortliche und Datenschutzbeauftragte müssen dafür sorgen, dass Betroffene in klarer und einfacher Sprache über die Datenverarbeitung informiert werden.
- Es gibt umfassende Informationspflichten bei der Erhebung personenbezogener Daten, und die Auskunftsrechte der Betroffenen wurden erweitert.
- Die Einhaltung der Regelungen der EU-DSGVO muss dokumentiert und nachgewiesen werden.
- Unternehmen müssen im Falle des Vorwurfs von Datenschutzverstößen Entlastungsbeweise erbringen.
- Unternehmen müssen ihre IT-Systeme so ausgestalten, dass sie Datenschutzgrundsätze wirksam umsetzen
- Gemeinsame Verantwortlichkeit: Auftragnehmer von Datenverarbeitungsprozessen sind künftig neben deren Auftraggebern verantwortlich und haftbar.
- Erweitertes Recht auf Datenmitnahme, Löschung und Sperrung sowie Auskunft: Im Falle einer Vertragsbeendigung hat der Kunde das Recht, seine personenbezogenen Daten „mitzunehmen“, sperren oder löschen zu lassen.
ERP-System und CRM-App: rechtskonforme Lösungen mit „eingebautem“ Datenschutz schon heute verfügbar
Aareon arbeitet daran, dass ihr digitales Ökosystem – die Aareon Smart World – mit ihren vielfältigen Lösungen schon von der „Konstruktion“ her über Systemgrenzen hinweg auch in Zukunft den (neuen) Datenschutzregelungen entspricht. Die hohe Integration der Softwarelösungen sorgt dafür, dass personenbezogene und schützenswerte Daten – wie sie zum Beispiel bei einer Mieteranfrage über eine CRM-App an den Sachbearbeiter im Wohnungsunternehmen entstehen – in dem ohnehin sicheren, konsistenten Ökosystem verbleiben. Die zentrale EU-DSGVO-Anforderung „Privacy by Design“ ist also schon Teil der DNA der Aareon-Lösungen – die Datensicherheit also „eingebaut“.
Auch der Datenschutz künftiger denkbarer Anwendungen wird den neuen Anforderungen gerecht werden. Lösungen wie zum Beispiel zuletzt intensiv diskutierte Bots – also digitale Assistenten zur halbautomatisierten Bearbeitung von Kundenanfragen – würden im Falle der Integration in das digitale Ökosystem ebenso auf die zentralen, sicheren und zertifizierten Infrastrukturen der grundlegenden ERP-Systeme zurückgreifen. Datenschutzrechtliche Herausforderungen sind sicher beherrschbar – Aareon beschäftigt sich mit möglichen Problemen und ihren Lösungen bereits heute.
Wohnungsunternehmen, die vor der Entscheidung stehen, ein CRM-Portal, eine CRM-App oder andere Lösungen von Aareon einzuführen, sind schon jetzt und auch mit Blick auf die Umsetzung der EU-DSGVO auf der sicheren Seite. IT-Verantwortliche in den Unternehmen können sich somit stärker auf die Gestaltung der wohnungswirtschaftlichen Prozesse konzentrieren, mit denen die Daten erfasst und verarbeitet werden. Das sorgt nicht nur für Effizienz im täglichen unternehmerischen Handeln, sondern auch für eine verbesserte Kundenzufriedenheit im Zeitalter von Big Data.
Wer mit klarem Blick auf den Stichtag der EU-DSGVO in eine zügige Umsetzung der Vorgaben der EU-DSGVO einsteigt und sich mit seinen IT-Dienstleistern und Anbietern von ERP-Systemen dazu abstimmt, umgeht vermeidbare Risiken.
Die europäische Datenschutzgrundverordnung ist hier online vollständig verfügbar.
Bitte beachten Sie:
Dieser Beitrag stellt keine Rechtsberatung dar, sondern lediglich ein unverbindliches Informationsangebot. Trotz sorgfältiger Recherche können wir keine Haftung für die Richtigkeit, Vollständigkeit oder Aktualität der Inhalte übernehmen.