Warum mich die DSGVO nicht beunruhigt
Aktualisiert: 22. Mai 2018
Derzeit wird viel über die neue EU-DSGVO geklagt. Es ist sogar schon von Panik die Rede.
Ich möchte erklären, warum mich die DSGVO nicht beunruhigt.
Erstens verwalten wir alle personenbezogenen Daten unserer Geschäftspartner
in einem integrierten System. Wir haben uns aus gutem Grund dafür
entschieden, auf SAP Business ByDesign zu setzen. Es hat mich früher sowieso
schon gestört, warum die CRM Daten in einer Lösung, die Projektdaten in
einer anderen Lösung und die Finanzen in einer dritten Lösung verwaltet
werden sollten. Ich will natürlich den Zusammenhang von allem sehen. Und
natürlich ziehen sich die Geschäftspartner-Daten auch von A bis Z - vom
Marketing über die Kundengewinnung bis zur Auftragserteilung, der
Projektdurchführung und die Abrechnung und Verwaltung der offenen Posten
durch den Ende-zu-Ende Prozess durch. Warum sollte ich also die
Geschäftspartnerdaten in mehreren Systemen verwalten? Das macht doch nur
Probleme! Also - alles in eine Lösung.

Zweitens erlaubt ByDesign die Zentralisierung von Geschäftspartnerdaten. Das
heißt, ist ein Geschäftspartner sowohl Lieferant als auch Partner, oder
Partner und Kunde, dann wird er nur einmal im System angelegt und mit
verschiedenen Rollen versehen. Das verhindert, dass der Geschäftspartner
mehrfach angelegt werden muss - was umso schlimmer ist, wenn man die
Ansprechpartner auch darum mehrfach anlegen muss. Wäre das nicht möglich,
gäbe es auch ohne DSGVO schon moderates Chaos - das sich in manchen
mittelständischen Firmen zum veritablen Desaster bei der Stammdatenpflege
ausweiten kann. Alle diese Probleme habe ich nicht - wegen des
fortschrittlichen Geschäftspartner-Datenmodells von ByDesign.
Drittens erlaubt ByDesign einen vollständigen Verwendungsnachweis der
personenbezogenen Daten. Auf Knopfdruck bekomme ich angezeigt in welchen
Geschäftsvorfällen und Geschäftsobjekten diese Daten verwendet werden.
Dieser Datensatz kann natürlich extrahiert werden. Damit ist das Thema
"Recht auf Auskunft" erledigt. Zudem kann der Datensatz auch gelöscht oder
maskiert werden. Damit ist das Thema "Recht auf Vergessen" erledigt. Falls eine Löschung
nicht möglich ist, weil gesetzliche Aufbewahrungsfristen zum Beispiel von
Rechnungen dem entgegen stehen, dann weist mich ByDesig darauf hin und
verhindert die Löschung. Dann werden wir den Geschäftspartner zur weiteren Verwendung in den Prozessen sperren, was vom ByDesign System durch zusätzliche Prüfungen auch sichergestellt wird. Also ist das Thema Vermeidung von Dateninkonsistenz
damit auch erledigt.
Viertens verwalten wir in ByDesign im CRM die Erlaubnis der Kontaktierung
(Opt-In unserer Kontakte/Leads). Es kann auch verwaltet werden, ob über
bestimmte Kanäle Kontakt erwünscht ist oder nicht.
Fünftens musste ich mich dazu nicht einmal bemühen. Denn diese
fortgeschrittenen Funktionen die im Zug der DSGVO relevant werden, bekommen
wir einfach "geschenkt". Was heißt das? Nachdem wir vor ca. vier Jahren auf
ByDesign gewechselt haben, versorgt SAP uns vierteljährlich mit neuen
Funktionalitäten durch Upgrades. Darin enthalten sind funktionale
Verbesserungen allgemeiner Art, neue Prozesse, aber eben auch Ergänzungen
die im Zug gesetzlicher Anforderungen relevant werden. Wie geschieht das?
Weil ByDesign in der SAP Cloud läuft müssen wir dazu gar nichts tun. An
einem Wochenende zu einem vorher bekannten Zeitpunkt führt SAP den Upgrade
durch und fertig. Wir loggen uns Montags ein und finden die neuen Funktionen
vor. Was will man mehr? Wenn man darüber nachdenkt, welche mehrmontigen
Projekte der Upgrade von Software in Firmen oft benötigen, die nicht auf die
SAP Cloud gesetzt haben, dann halte ich diese Herangehensweise für die
weitaus schlauere.
Natürlich hatten wir auch einmalig Aufwand unsere Geschäftsdaten vor ca.
vier Jahren nach ByDesign zu übernehmen. Mit Excel Import geht das aber
schnell, wenn man weiß wie es geht. Seitdem müssen wir uns über solche
gesetzlichen Anpassungen keine oder nur noch sehr wenige Gedanken machen.
Sechstens haben wir sowieso alle unsere Prozesse, die wir in unserer Firma
haben, als auch alle Prozesse die wir in SAP Business ByDesign nutzen als
Prozessmodelle definiert - und das schon seit Jahren. Wir nutzen dazu BPMN
2.0 und das Tool Signavio. Damit haben wir nun also im Zug der DSGVO
keinen Zusatzaufwand zur Erstellung des Verzeichnisses der Verarbeitungstätigkeiten. Alle
Verarbeitungsschritte und Datenobjekte sind ohnehin schon als
Prozessdiagramm modelliert, alle Rollen im Unternehmen sind zugewiesen und
somit lässt sich das Verzeichnis der Verarbeitungstätigkeiten auf Knopfdruck erzeugen. Ein
No-Brainer. Sicherlich hatten wir früher Aufwand, um so eine
Prozesslandschaft überhaupt aufzubauen. Aber wir haben uns dieser Aufgabe
frühzeitig gestellt - nicht speziell wegen der DSGVO, sondern weil es in
jeder anderen Hinsicht sowieso äußerst praktisch ist.
Darum schlafe ich jetzt trotz DSGVO äußerst ruhig.
Seien wir ehrlich: Die Probleme, die die DSGVO zum Vorschein bringt, sind
doch meistens in Patchwork-Software Landschaften begründet die nicht oder
nur sehr schwer modernisierbar sind, die eine historisch gewachsene
unbereinigte Stammdatenbasis beheimatet und die nicht dokumentiert ist - in
jedem Fall nicht so dokumentiert ist dass sie für die Zwecke der
Umstrukturierung oder der DSGVO nützt. Diese Probleme sind die Probleme des
täglichen IT Betriebs, der dadurch ständig unkalkulierbare Kosten verursacht
und dennoch kaum zufriedenstellende Ende-zu-Ende Prozesse in den
Fachabteilungen ermöglicht. Ich würde mir zweimal überlegen, bevor ich noch
irgendwelche Aufwände in so eine rückständige Systemlandschaft investieren
würde - denn diese sind mittelfristig verloren. Erst recht nicht in Panik.
Stattdessen würde ich einen kühlen Kopf behalten und die gegenwärtige
Situation zum Anlass nehmen einen ordentlichen Transformationsplan
aufzustellen, der nicht nur die Probleme verschleiert, sondern deren
Ursachen beseitigt. Warum nicht auf durchdachte Ende-zu-Ende Best Practice
Prozesse setzen, die durch einen Cloud-Mietvertrag in Ihrem Unternehmen
innerhalb von Tagen zur Verfügung gestellt werden können? Und dokumentiert
sind diese Prozesse ohnehin auf einem Level das seinesgleichen sucht: Die
Prozessdiagramme können ebenfalls gemietet werden.
Ich fasse zusammen:
Statt Patchwork Software sind alle personenbezogenen Daten in einer Lösung.
Statt Upgrade Projekte kommen die gesetzlichen Updates in der SAP Cloud viermal im Jahr automatisch.
SAP ist nach der DSGVO zertifizierter Auftragsdatenverarbeiter
Statt aufwändiger Neudokumentierung von Verarbeitungsschritten Wiederverwendung von Best-Practice Prozessen