Tipps von IDC kurz vor dem DSGVO-Stichtag

Was Unternehmen im Hinblick auf den „Stand der Technik“ beachten sollten

22.05.2018
Von 
Die studierte Betriebswirtin Laura Hopp war bei der IDC Central Europe GmbH bis Oktober 2018 mit der Durchführung von kundenspezifischen Consulting-Projekten sowie der Erstellung von Studien betraut. Als Analystin konzentrierte Hopp sich insbesondere auf die Themen Internet of Things, Industrie 4.0 und Smart Cities. Ein weiterer Schwerpunkt war die Analyse des IT-Marktes nach vertikalen Märkten.
Die wenige Tage bis zum Inkrafttreten der neuen EU-Datenschutz-Grundverordnung (DSGVO) sollten Unternehmen gut nutzen, um ihre aktuelle Position in Bezug auf die DSGVO-Compliance noch einmal kritisch zu prüfen und gegebenenfalls feinzujustieren.

Ein Konzept, dem hierbei eine wichtige Rolle zukommt, ist der Stand der Technik. Unternehmen in Deutschland müssen gemäß Art. 32 der DSGVO bei der Auswahl von Technologien den Stand der Technik berücksichtigen. Das Konzept ist somit ein zentraler Aspekt innerhalb der DSGVO und die Einhaltung der Anforderung entscheidend für die DSGVO-Compliance.

Der Gesetzgeber lässt jedoch offen, was genau darunter zu verstehen ist. Es bleibt viel Interpretationsspielraum. Eine häufig anzutreffende Meinung ist, dass es um die „neuesten und besten“ Technologien geht. Viele Entscheider sind auch der Auffassung, dass sie nun sämtliche IT-Systeme erneuern müssen. Dies ist nicht der Fall. Die Unsicherheit auf Seiten der Unternehmen bleibt dennoch hoch.

Der zur DSGVO-Compliance geforderte "Stand der Technik" bietet viel Interpretationsspielraum.
Der zur DSGVO-Compliance geforderte "Stand der Technik" bietet viel Interpretationsspielraum.
Foto: Gorodenkoff - shutterstock.com

Laut IDC entspricht eine IT-Lösung dem Stand der Technik, wenn drei Kriterien erfüllt sind:

  • Functionality: Die IT-Lösung sollte fortschrittliche und innovative Funktionalitäten aufweisen

  • Adoption: Die Technologie sollte am Markt bzw. in der jeweiligen Branche bereits etabliert sein

  • Future-Ready: Die IT-Lösung sollte an neue regulatorische, kunden- oder marktseitige Gegebenheiten anpassbar und somit „zukunftsfähig“ sein

IDC empfiehlt bei der Auswahl von Technologien, die personenbezogene Daten verarbeiten oder den Datenschutz verbessern sollen, Folgendes zu beachten:

Überstürzten Sie nichts bei der Einführung neuer Technologien

Verschwenden Sie kein Geld mit „riskanten“ IT-Projekten. Denken Sie daran, dass die Einführung von Technologien, die dem Stand der Technik entsprechen, nicht zwingend ist. Das Konzept muss lediglich geprüft werden. Konkret heißt es im Gesetzestext: „Unter Berücksichtigung des Stands der Technik, …trifft der Verantwortliche…geeignete technische Maßnahmen… .“ Demnach müssen Sie auch nicht Ihre komplette IT-Infrastruktur austauschen. Nichtsdestotrotz ist das Konzept insofern sinnvoll, als dass es Unternehmen dazu bewegt, ihre IT-Lösungen hinsichtlich eines angemessen hohen Datenschutzniveaus zu überprüfen und zu modernisieren.

Evaluieren Sie IT-Lösungen anhand unterschiedlicher Kriterien

Entscheiden Sie, was der Stand der Technik für Ihr Unternehmen bedeutet. Da der Gesetzgeber keine konkreten Vorgaben macht, gelten Ihre eigenen Maßstäbe. Prüfen Sie anhand der Kriterien „Functionality“, „Adoption“ und „Future-Ready“, ob eine IT-Lösung dem Stand der Technik entspricht. Im Idealfall handelt es sich um Technologien, die die Einhaltung von sowohl aktuellen als auch künftigen Datenschutzanforderungen unterstützen und gleichzeitig am Markt verbreitet und akzeptiert werden. Gehen Sie Kompromisse ein, falls nicht alle Kriterien erfüllt werden können. Dokumentieren Sie in jedem Fall Ihre Entscheidungen.

Setzen Sie die Notwendigkeit von Investitionen in den geschäftlichen Kontext

Wägen Sie bei der Einführung einer neuen IT-Lösung auf dem Stand der Technik Nutzen, Kosten und das Risiko einer „Nicht-Einführung“ ab. Setzen Sie die Entscheidung für oder gegen eine Einführung somit in den geschäftlichen Kontext. Die genannten Faktoren müssen zueinander im Verhältnis stehen. Der Gesetzgeber hat kein Interesse daran, Unternehmen in eine finanzielle Notlage zu bringen, nur damit diese ihre IT-Systeme komplett erneuern. Wenn Sie sich für Lösungen entscheiden, die nicht dem Stand der Technik entsprechen, müssen Sie diese Entscheidung vor den Aufsichtsbehörden jedoch gut begründen können.

Fazit

Die DSGVO stellt Unternehmen mit dem Stand der Technik vor neue Herausforderungen. Gleichzeitig formuliert der Gesetzgeber mit der Anforderung ein Konzept, das Unternehmen motivieren soll innovative Technologien einzusetzen. Nach Einschätzung von IDC sollten Sie daher vor allem die Chancen sehen, die sich daraus für Sie ergeben: Die Modernisierung der IT-Landschaft kann besser verargumentiert und somit sehr wahrscheinlich zügiger umgesetzt werden. Übergeordnetes Ziel ist es, das Datenschutzniveau so hoch wie möglich zu halten. Die Anforderung aus Art. 32 trägt in jedem Fall ihren Teil dazu bei. Sehen Sie die Umsetzung der DSGVO daher nicht als lästige Pflicht an, sondern als einen Anreiz Ihre bestehende IT-Systeme zu prüfen und in diese künftig stärker zu investieren. (mb)