Diese von Workday-Autoren verfasste Workday Story wurde erstmals auf Englisch im Workday-Blog veröffentlicht. Unsere lokalen Leser finden im Folgenden eine deutsche Version des Beitrags.
Datenschutz und DSGVO-Compliance
Hand aufs Herz: Wie gut ist Ihr Unternehmen auf den 25. Mai 2018 vorbereitet? Ab diesem Stichtag gilt die neue Datenschutz-Grundverordnung (EU-DSGVO) der Europäischen Union, die das europäische Datenschutzrecht weitgehend vereinheitlichen wird. Doch obwohl der Termin zur Umsetzung immer näher rückt, können viele Unternehmen die Vorschriften noch nicht einhalten. Jeremy Baker, Affiliate Professor an der ESCP Europe Business School, sprach auf unserer Workday Rising Europe Veranstaltung im November 2017 darüber, wie Unternehmen die Herausforderungen und Änderungen im Hinblick auf die EU-DSGVO erfolgreich bewältigen können.
Zur Erinnerung: Die EU-DSGVO reguliert, wie personenbezogene Daten von EU-Bürgern gespeichert und verarbeitet werden. Darunter fallen nicht nur Basisdaten, mit denen sich Personen identifizieren lassen, sondern auch weiter gefasste Daten wie beispielsweise ethnische Herkunft, genetische und biometrische Informationen sowie politische Ansichten. Ziel der neuen Verordnung ist, die verschiedenen nationalen Gesetze zum Datenschutz weitgehend in einem europäischen Konstrukt zu vereinheitlichen.
Im Rahmen der neuen Regulierungen müssen Unternehmen ihre Daten inventarisieren und sie in einer sicheren Umgebung speichern. Darüber hinaus sind Unternehmen verpflichtet, genau zu dokumentieren, wer in ihrer Organisation Zugang zu welchen Kategorien von personenbezogenen Daten benötigt – und diesen Zugang angemessen kontrollieren.
„Unternehmen sollten am besten damit anfangen, alle bereits vorhandenen personenbezogenen Daten ausfindig zu machen“, rät Prof. Baker. „Diese sollten sie dann sammeln und sicher speichern. Im nächsten Schritt müssen Unternehmen dann Regeln entwickeln, die vorhandenen Daten zu verwalten, oder bestehende Regeln aktualisieren.“
„Die Aufgabe von HR wird neben Kommunikation auch Training und Change Management für alle Geschäftsbereiche umfassen.“
Wer die neuen Vorgaben nicht einhält, dem drohen Geldbußen von bis zu vier Prozent des jährlichen Gesamtumsatzes oder eine Höchststrafe von 20 Millionen Euro, je nachdem welcher Betrag höher ausfällt. Kein Wunder also, dass ein Fortune-500-Unternehmen im Schnitt 16 Millionen Dollar für Vorbereitungen ausgeben wird, so Baker weiter.
HR essenziell für den Erfolg
In seinem Vortrag in Barcelona zeigte Baker auch, welch entscheidende Rolle die Personalabteilung spielt, um Compliance-Vorgaben einzuhalten. So muss HR dafür sorgen, dass alle Mitarbeiter genau wissen, welche Rollen und Aufgaben sie bei der Umsetzung haben – und auch klar die Vorteile der Implementierung kommunizieren. Hierfür muss die Personalabteilung laut Prof. Baker in erster Linie die richtige Technologie finden, um die Anforderungen der EU-DSGVO optimal einzuhalten. Dabei spielten auch Cloud-Anbieter wie Workday eine wichtige Rolle.
„Die Aufgabe der Personalabteilung wird nicht nur die Kommunikation umfassen“, erklärte Baker, „sondern auch Training und Change Management für alle Geschäftsbereiche, wie etwa die IT- oder die Rechtsabteilung. Dabei muss HR nicht nur den allgemeinen Widerstand gegen Veränderungen überwinden, sondern auch Anreize schaffen, um das Engagement der Mitarbeiter zu wecken.“
In seinen qualitativen Studien mit Unternehmen, die sich derzeit auf die EU-DSGVO vorbereiten, identifizierte Prof. Baker drei konkrete Schritte:
- Aktionsplan entwickeln
- Soll-Ist Analyse (Zielsetzung vs. derzeitiger Stand) durchführen
- Schlüsselprozesse aktualisieren, um die Compliance zu gewährleisten
Auf der philosophischen Ebene betonte Prof. Baker, dass Optimismus im gesamten Unternehmen für die Umsetzung äußert wichtig ist. Die Mitarbeiter dürfen nicht vergessen, dass sich die Anstrengungen für die EU-DSGVO am Ende wirtschaftlich lohnen werden.
„Wir müssen uns nur den Sarbanes-Oxley Act ansehen, der Unternehmen dazu gebracht hat, ihre Finanzdaten neu zu organisieren“, so Prof. Baker. „Compliance war damals ein Albtraum, aber heute kann keiner mehr ohne sie leben. Dies ist eine neue Gelegenheit, die richtige Richtung einzuschlagen. Die Verordnung stellt die Daten in den Vordergrund und bietet verbesserte Datenverwaltung, Transparenz und die Chance, neu zu überdenken, wie man Daten erfasst, speichert und verwaltet.“
„Die tiefsitzende Angst vor Fehlern zwingt Unternehmen, sich auf die Suche nach dem richtigen Technologieanbieter zu konzentrieren.“
Strafen aktiv vorbeugen
Laut Prof. Baker hat die Androhung von Geldstrafen bei Nichteinhaltung einige Unternehmen dazu animiert, mehr Ressourcen für die Herausforderungen der EU-DSGVO bereitzustellen: „Unsere Interviews zeigen, dass Verantwortliche Bedenken haben, wenn es darum geht, was Kauf und Wartung eines Datenmanagementsystems kosten. HR-Profis sind keine IT-Experten, daher ist eine gute Zusammenarbeit mit der IT-Abteilung Voraussetzung. Die tiefsitzende Angst, einen Fehler zu machen, treibt Unternehmen an, sich auf die Suche nach dem richtigen Technologieanbieter zu konzentrieren.“.
Der Weg zur Compliance bringt laut Prof. Baker weitere Vorteile für die Personalabteilung mit sich. Im Hinblick auf die langfristigen Auswirkungen lasse der strikte Fokus auf Daten die Personalabteilung strategischer handeln. Schließen stünden jetzt viel mehr Datenpunkte rund um Engagement und Diversität zur Verfügung. Unternehmen, die den Prozess zur Erfüllung der EU-DSGVO-Anforderungen durchlaufen, werden nicht nur ihre Produktivität und Leistung steigern, sondern darüber hinaus als datenschutzorientierte Unternehmen auch das Vertrauen ihrer Mitarbeiter und Kunden stärken.