Neueste Beiträge
DSGVO-Readiness Teil 1

DSGVO-Readiness: Erfahrungsbericht Teil 1

  |   SAP CRM

Es ist leise geworden um das Thema DSGVO. Der 25. Mai ist vorbei und geht man nach der Medienpräsenz, scheinen mit dem Stichtag alle Probleme verschwunden zu sein. Doch wie steht es um die DSGVO-Readiness in Deutschland? Laut unserer Erfahrung als CRM-Experten lautet die Antwort: schlecht. Das Statistik-Portal statista beschreibt die Situation in Deutschland bei den meisten deutschen Unternehmen als nicht DSGVO-Ready:

 

Quelle: https://de.statista.com/infografik/13651/dsgvo-konformitaet-von-unternehmen-in-deutschland/

 

DSGVO-Non-Readiness: Die wichtigsten Gründe

 

Als CRM-Beratung mit einem sehr großen Kundenkreis in Deutschland sind unsere Erfahrungen mit der Realität der DSGVO-Umsetzung in Unternehmen sogar deutlich schlechter. Wir haben fünf Gründe zusammengestellt, die in unseren Kundengesprächen als Hauptursache für die Situation genannt werden und den Unternehmen die größten Bauchschmerzen bereiten oder bereitet haben:

 

1. Zeit

Trotz Übergangsphase von 24 Monaten beklagen die meisten Unternehmen den relativ kurzen Zeitrahmen für die Umsetzung der neuen Vorordnung. Tatsächlich wurde erst durch den Stichtag das Bewusstsein und die Relevanz für die Thematik geschaffen. Die neue europäische Datenschutzvorordnung unterscheidet sich nur in wenigen Punkten von der seit Jahren gültigen deutschen Datenschutzvorordnung. Das Problem dabei aber ist, dass die deutsche Datenschutzvorordnung von den meisten Unternehmen ignoriert bzw. nur teilweise umgesetzt wurde. Somit war der GAP zu der neuen Regelung plötzlich sehr groß. Die meisten Unternehmen stellten fest, dass es sich um ein Großprojekt handelt, welches man weder in der Budgetplanung berücksichtigt hat, noch die notwendigen Ressourcen dafür vorhanden hat.

2. Budget

Der bekannte Spruch „Zeit ist Geld“ gilt auch im Alter der Digitalisierung. Das notwendige Budget für die Durchführung der DSGVO-Projekte war nicht vorhanden bzw. von den Verantwortlichen nicht eingeplant. Mit Mai 2016 war der Zeitpunkt nicht optimal, da die meisten Unternehmen in Deutschland Ihre Budgetplanung für das kommende Geschäftsjahr im September bzw. Oktober stattfindet und das geplante Budget somit dann erst ab Januar ausgegeben werden kann. An dieser Stelle muss erwähnt werden, dass dieser Vorwurf nicht an die Entscheider in den deutschen Unternehmen geht. Vielmehr wurde der Termin für die neue DSGVO von der Politik ungünstig gewählt. Das notwendige Budget für derartige Themen und Projekte war somit erst ab Januar 2017 verfügbar, wenn überhaupt, aber die verbleibende Zeit für die Umsetzung lag nur noch bei 1 Jahr und 5 Monaten.

 

3. Ressourcen

Die meisten Unternehmen, die sich dem Thema DSGVO ab Januar 2017 ernsthaft gewidmet haben, stellten plötzlich fest, dass für die Realisierung nicht die notwendigen Ressourcen bzw. Mitarbeiter vorhanden sind. Neben dem Datenschutzbeauftragten und der Rechtsabteilung brauchte man IT-Experten, die sich mit der Umsetzung der DSGVO-Richtlinien auskennen. Das Thema DSGVO wurde von den meisten Personalentscheidern als ein sogenanntes „einmaliges Ereignis“ klassifiziert, so dass auf die entsprechenden internen Stellen verzichtet und nach externen Experten gesucht wurde. Die Anforderungen und Vorgaben an die externen IT-Experten waren extrem hoch und nicht realistisch. Bereits Anfang 2017 lauteten die Anforderungsprofile: „Suchen IT-Experten mit mehreren Jahren Projekterfahrung im Bereich DSGVO“. Zu diesem Zeitpunkt haben sowohl Unternehmensberater als auch IT-Experten selbst erst angefangen, sich mit der neuen DSGVO zu beschäftigen. Die notwendigen IT-Ressourcen mit entsprechendem Know-how waren auf dem deutschen Markt nicht verfügbar, so dass entsprechende Projekte um weitere Monate verschoben werden mussten.

 

4. Wissen

Die neue europäische Datenschutzvorordnung macht das Thema Datenschutz extrem komplex und dadurch anfangs auch sehr undurchsichtig. Wenn wir unsere Kunden in den Beratungsgesprächen auf das Thema DSGVO angesprochen haben, kam insbesonder bei den B2B-Kunden die Antwort: „Wir haben keine Verbraucherdaten, wir machen B2B-Geschäfte, wir sind von der DSGVO nicht betroffen“. Die Entscheider und die Projektverantwortlichen in den Unternehmen hatten eine große Wissenslücke, was dieses Thema betrifft. Ende 2016 bzw. Anfang 2017 musste man intensiv recherchieren, um zum Thema DSGVO anwendbare Informationen zu erhalten. In den meisten Fällen musste man sich durch Gesetzestexte oder Artikel in juristendeutsch kämpfen. Niemand wusste genau, was sich hinter der neuen Verordnung verbirgt und was die Datenschützer und IT-Experten erwartet. Nicht zuletzt die zum Teil widersprüchlichen Vorgaben selbst haben dazu beigetragen, dass nicht klar war, welche Prozesse für die DSGVO-Readiness relevant waren. Um nur ein Beispiel solcher Vorgaben zu nennen: Die Unternehmen sollen in der Lage sein, alle personenbezogenen Daten vollständig und unwiderruflich zu löschen und müssen es jederzeit nachweisen können. Wie kann man nachweisen, dass man etwas nicht besitzt?

 

5. Technik

Aus technischer Sicht lassen sich die Vorgaben aus der europäischen Datenschutzvorordnung zwar mittlerweile problemlos umsetzen. Die Hersteller der Standard CRM-Lösungen haben sich jedoch ebenfalls viel Zeit gelassen, um ihre teuren Produkte DSGVO-konform zu machen. Weder SAP noch Salesforce oder Microsoft sind in der Lage, alle Vorgaben im Rahmen des CRM-Standards abzudecken. Ein Beispiel: In der aktuellen On-Premise Version der SAP CRM 7.0 ist es momentan nicht möglich, einen Kunden vollständig zu löschen. Tatsächlich ist es im Datenmodell von SAP CRM generell nicht vorgesehen, dass man einen Business Partner unwiderruflich aus dem System entfernen kann. Dabei erwarten die Kunden zumindest eine standardisierte systemweite Funktionalität, um die personenbezogenen Daten nach DSGVO zu anonymisieren bzw. zu pseudonymisieren. Solche Algorithmen oder Funktionen sind jedoch im Standard-Umfang der führenden CRM-Lösungen nicht enthalten. Auch eine DSGVO-konforme vollständige Datenauskunft zu einem Kunden wird man vergeblich im Standard einer der führenden CRM-Lösungen suchen. Daher müssen nicht zuletzt die Anbieter der CRM-Lösungen viel mehr in die Pflicht genommen werden, um solche gesetzlichen Vorgaben im Standard anzubieten. Stattdessen werden die Kunden mit der technischen Herausforderung im Regen stehen gelassen. Viele CRM-Anbieter setzen die gesetzlichen DSGVO-Vorgaben ausschließlich in der cloud-basierten Version ihres Produktes um und versuchen somit ihre Kunden für die Cloud-Produkte zu gewinnen. Die Speicherung der personenbezogenen Daten auf den Cloud-Servern der großen CRM-Anbieter erschwert noch mehr die Umsetzung der europäischen Datenschutzvorordnung. Denn wer kann schon garantieren, dass die in der Cloud gespeicherten personenbezogenen Daten auf Kundenwunsch vollständig und unwiderruflich gelöscht werden? Letztendlich werden die Daten nicht ausschließlich auf einem Cloud-Server gespeichert, sondern aus dem ebenso wichtigen Grund der 100%-tigen Verfügbarkeit des CRM-Systems auf mehrere Cloud-Server gespiegelt.

 

Es gibt sicherlich weitere nachvollziehbare Gründe dafür, warum deutsche Unternehmen bei der Umsetzung der europäischen Datenschutzvorordnung aktuell weit hinterher sind. Bedenkt man die teilweise extistenzbedrohend hohen Strafen, die verhängt werden können, ist entscheidend, das Thema DSGVO-Readiness auch nach dem 25. Mai noch unternehmensintern voranzutreiben. Lesen Sie nächste Woche im zweiten Teil unseres Erfahrungsberichtes, wie Sie für das Thema CRM die wichtigsten Anforderungen der DSGVO pragmatisch und mit relativ wenig Aufwand umsetzen können.

 

 

Weitere Posts zum Thema DSGVO:

 

DSGVO in SAP CRM: Erfahrungsbericht Teil 2