Warum mich die DSGVO nicht beunruhigt

Derzeit wird viel über die neue EU-DSGVO geklagt. Es ist sogar schon von Panik die Rede.

Ich möchte erklären, warum mich die DSGVO nicht beunruhigt.

Erstens verwalten wir alle personenbezogenen Daten unserer Geschäftspartner

in einem integrierten System. Wir haben uns aus gutem Grund dafür

entschieden, auf SAP Business ByDesign zu setzen. Es hat mich früher sowieso

schon gestört, warum die CRM Daten in einer Lösung, die Projektdaten in

einer anderen Lösung und die Finanzen in einer dritten Lösung verwaltet

werden sollten. Ich will natürlich den Zusammenhang von allem sehen. Und

natürlich ziehen sich die Geschäftspartner-Daten auch von A bis Z - vom

Marketing über die Kundengewinnung bis zur Auftragserteilung, der

Projektdurchführung und die Abrechnung und Verwaltung der offenen Posten

durch den Ende-zu-Ende Prozess durch. Warum sollte ich also die

Geschäftspartnerdaten in mehreren Systemen verwalten? Das macht doch nur

Probleme! Also - alles in eine Lösung.

Ende-zu-Ende Prozesse in einer Lösung: SAP Business ByDesign

Zweitens erlaubt ByDesign die Zentralisierung von Geschäftspartnerdaten. Das

heißt, ist ein Geschäftspartner sowohl Lieferant als auch Partner, oder

Partner und Kunde, dann wird er nur einmal im System angelegt und mit

verschiedenen Rollen versehen. Das verhindert, dass der Geschäftspartner

mehrfach angelegt werden muss - was umso schlimmer ist, wenn man die

Ansprechpartner auch darum mehrfach anlegen muss. Wäre das nicht möglich,

gäbe es auch ohne DSGVO schon moderates Chaos - das sich in manchen

mittelständischen Firmen zum veritablen Desaster bei der Stammdatenpflege

ausweiten kann. Alle diese Probleme habe ich nicht - wegen des

fortschrittlichen Geschäftspartner-Datenmodells von ByDesign.

Drittens erlaubt ByDesign einen vollständigen Verwendungsnachweis der

personenbezogenen Daten. Auf Knopfdruck bekomme ich angezeigt in welchen

Geschäftsvorfällen und Geschäftsobjekten diese Daten verwendet werden.

Dieser Datensatz kann natürlich extrahiert werden. Damit ist das Thema

"Recht auf Auskunft" erledigt. Zudem kann der Datensatz auch gelöscht oder

maskiert werden. Damit ist das Thema "Recht auf Vergessen" erledigt. Falls eine Löschung

nicht möglich ist, weil gesetzliche Aufbewahrungsfristen zum Beispiel von

Rechnungen dem entgegen stehen, dann weist mich ByDesig darauf hin und

verhindert die Löschung. Dann werden wir den Geschäftspartner zur weiteren Verwendung in den Prozessen sperren, was vom ByDesign System durch zusätzliche Prüfungen auch sichergestellt wird. Also ist das Thema Vermeidung von Dateninkonsistenz

damit auch erledigt.

Viertens verwalten wir in ByDesign im CRM die Erlaubnis der Kontaktierung

(Opt-In unserer Kontakte/Leads). Es kann auch verwaltet werden, ob über

bestimmte Kanäle Kontakt erwünscht ist oder nicht.

Fünftens musste ich mich dazu nicht einmal bemühen. Denn diese

fortgeschrittenen Funktionen die im Zug der DSGVO relevant werden, bekommen

wir einfach "geschenkt". Was heißt das? Nachdem wir vor ca. vier Jahren auf

ByDesign gewechselt haben, versorgt SAP uns vierteljährlich mit neuen

Funktionalitäten durch Upgrades. Darin enthalten sind funktionale

Verbesserungen allgemeiner Art, neue Prozesse, aber eben auch Ergänzungen

die im Zug gesetzlicher Anforderungen relevant werden. Wie geschieht das?

Weil ByDesign in der SAP Cloud läuft müssen wir dazu gar nichts tun. An

einem Wochenende zu einem vorher bekannten Zeitpunkt führt SAP den Upgrade

durch und fertig. Wir loggen uns Montags ein und finden die neuen Funktionen

vor. Was will man mehr? Wenn man darüber nachdenkt, welche mehrmontigen

Projekte der Upgrade von Software in Firmen oft benötigen, die nicht auf die

SAP Cloud gesetzt haben, dann halte ich diese Herangehensweise für die

weitaus schlauere.

Natürlich hatten wir auch einmalig Aufwand unsere Geschäftsdaten vor ca.

vier Jahren nach ByDesign zu übernehmen. Mit Excel Import geht das aber

schnell, wenn man weiß wie es geht. Seitdem müssen wir uns über solche

gesetzlichen Anpassungen keine oder nur noch sehr wenige Gedanken machen.

Sechstens haben wir sowieso alle unsere Prozesse, die wir in unserer Firma

haben, als auch alle Prozesse die wir in SAP Business ByDesign nutzen als

Prozessmodelle definiert - und das schon seit Jahren. Wir nutzen dazu BPMN

2.0 und das Tool Signavio. Damit haben wir nun also im Zug der DSGVO

keinen Zusatzaufwand zur Erstellung des Verzeichnisses der Verarbeitungstätigkeiten. Alle

Verarbeitungsschritte und Datenobjekte sind ohnehin schon als

Prozessdiagramm modelliert, alle Rollen im Unternehmen sind zugewiesen und

somit lässt sich das Verzeichnis der Verarbeitungstätigkeiten auf Knopfdruck erzeugen. Ein

No-Brainer. Sicherlich hatten wir früher Aufwand, um so eine

Prozesslandschaft überhaupt aufzubauen. Aber wir haben uns dieser Aufgabe

frühzeitig gestellt - nicht speziell wegen der DSGVO, sondern weil es in

jeder anderen Hinsicht sowieso äußerst praktisch ist.

Darum schlafe ich jetzt trotz DSGVO äußerst ruhig.

Seien wir ehrlich: Die Probleme, die die DSGVO zum Vorschein bringt, sind

doch meistens in Patchwork-Software Landschaften begründet die nicht oder

nur sehr schwer modernisierbar sind, die eine historisch gewachsene

unbereinigte Stammdatenbasis beheimatet und die nicht dokumentiert ist - in

jedem Fall nicht so dokumentiert ist dass sie für die Zwecke der

Umstrukturierung oder der DSGVO nützt. Diese Probleme sind die Probleme des

täglichen IT Betriebs, der dadurch ständig unkalkulierbare Kosten verursacht

und dennoch kaum zufriedenstellende Ende-zu-Ende Prozesse in den

Fachabteilungen ermöglicht. Ich würde mir zweimal überlegen, bevor ich noch

irgendwelche Aufwände in so eine rückständige Systemlandschaft investieren

würde - denn diese sind mittelfristig verloren. Erst recht nicht in Panik.

Stattdessen würde ich einen kühlen Kopf behalten und die gegenwärtige

Situation zum Anlass nehmen einen ordentlichen Transformationsplan

aufzustellen, der nicht nur die Probleme verschleiert, sondern deren

Ursachen beseitigt. Warum nicht auf durchdachte Ende-zu-Ende Best Practice

Prozesse setzen, die durch einen Cloud-Mietvertrag in Ihrem Unternehmen

innerhalb von Tagen zur Verfügung gestellt werden können? Und dokumentiert

sind diese Prozesse ohnehin auf einem Level das seinesgleichen sucht: Die

Prozessdiagramme können ebenfalls gemietet werden.

Ich fasse zusammen:

• Statt Patchwork Software sind alle personenbezogenen Daten in einer Lösung.

• Statt Upgrade Projekte kommen die gesetzlichen Updates in der SAP Cloud viermal im Jahr automatisch.

• SAP ist nach der DSGVO zertifizierter Auftragsdatenverarbeiter

• Statt aufwändiger Neudokumentierung von Verarbeitungsschritten Wiederverwendung von Best-Practice Prozessen