Ein Konzept, dem hierbei eine wichtige Rolle zukommt, ist der Stand der Technik. Unternehmen in Deutschland müssen gemäß Art. 32 der DSGVO bei der Auswahl von Technologien den Stand der Technik berücksichtigen. Das Konzept ist somit ein zentraler Aspekt innerhalb der DSGVO und die Einhaltung der Anforderung entscheidend für die DSGVO-Compliance.
Der Gesetzgeber lässt jedoch offen, was genau darunter zu verstehen ist. Es bleibt viel Interpretationsspielraum. Eine häufig anzutreffende Meinung ist, dass es um die „neuesten und besten“ Technologien geht. Viele Entscheider sind auch der Auffassung, dass sie nun sämtliche IT-Systeme erneuern müssen. Dies ist nicht der Fall. Die Unsicherheit auf Seiten der Unternehmen bleibt dennoch hoch.
Laut IDC entspricht eine IT-Lösung dem Stand der Technik, wenn drei Kriterien erfüllt sind:
Functionality: Die IT-Lösung sollte fortschrittliche und innovative Funktionalitäten aufweisen
Adoption: Die Technologie sollte am Markt bzw. in der jeweiligen Branche bereits etabliert sein
Future-Ready: Die IT-Lösung sollte an neue regulatorische, kunden- oder marktseitige Gegebenheiten anpassbar und somit „zukunftsfähig“ sein
IDC empfiehlt bei der Auswahl von Technologien, die personenbezogene Daten verarbeiten oder den Datenschutz verbessern sollen, Folgendes zu beachten:
Überstürzten Sie nichts bei der Einführung neuer Technologien
Verschwenden Sie kein Geld mit „riskanten“ IT-Projekten. Denken Sie daran, dass die Einführung von Technologien, die dem Stand der Technik entsprechen, nicht zwingend ist. Das Konzept muss lediglich geprüft werden. Konkret heißt es im Gesetzestext: „Unter Berücksichtigung des Stands der Technik, …trifft der Verantwortliche…geeignete technische Maßnahmen… .“ Demnach müssen Sie auch nicht Ihre komplette IT-Infrastruktur austauschen. Nichtsdestotrotz ist das Konzept insofern sinnvoll, als dass es Unternehmen dazu bewegt, ihre IT-Lösungen hinsichtlich eines angemessen hohen Datenschutzniveaus zu überprüfen und zu modernisieren.
Evaluieren Sie IT-Lösungen anhand unterschiedlicher Kriterien
Entscheiden Sie, was der Stand der Technik für Ihr Unternehmen bedeutet. Da der Gesetzgeber keine konkreten Vorgaben macht, gelten Ihre eigenen Maßstäbe. Prüfen Sie anhand der Kriterien „Functionality“, „Adoption“ und „Future-Ready“, ob eine IT-Lösung dem Stand der Technik entspricht. Im Idealfall handelt es sich um Technologien, die die Einhaltung von sowohl aktuellen als auch künftigen Datenschutzanforderungen unterstützen und gleichzeitig am Markt verbreitet und akzeptiert werden. Gehen Sie Kompromisse ein, falls nicht alle Kriterien erfüllt werden können. Dokumentieren Sie in jedem Fall Ihre Entscheidungen.
Setzen Sie die Notwendigkeit von Investitionen in den geschäftlichen Kontext
Wägen Sie bei der Einführung einer neuen IT-Lösung auf dem Stand der Technik Nutzen, Kosten und das Risiko einer „Nicht-Einführung“ ab. Setzen Sie die Entscheidung für oder gegen eine Einführung somit in den geschäftlichen Kontext. Die genannten Faktoren müssen zueinander im Verhältnis stehen. Der Gesetzgeber hat kein Interesse daran, Unternehmen in eine finanzielle Notlage zu bringen, nur damit diese ihre IT-Systeme komplett erneuern. Wenn Sie sich für Lösungen entscheiden, die nicht dem Stand der Technik entsprechen, müssen Sie diese Entscheidung vor den Aufsichtsbehörden jedoch gut begründen können.
Fazit
Die DSGVO stellt Unternehmen mit dem Stand der Technik vor neue Herausforderungen. Gleichzeitig formuliert der Gesetzgeber mit der Anforderung ein Konzept, das Unternehmen motivieren soll innovative Technologien einzusetzen. Nach Einschätzung von IDC sollten Sie daher vor allem die Chancen sehen, die sich daraus für Sie ergeben: Die Modernisierung der IT-Landschaft kann besser verargumentiert und somit sehr wahrscheinlich zügiger umgesetzt werden. Übergeordnetes Ziel ist es, das Datenschutzniveau so hoch wie möglich zu halten. Die Anforderung aus Art. 32 trägt in jedem Fall ihren Teil dazu bei. Sehen Sie die Umsetzung der DSGVO daher nicht als lästige Pflicht an, sondern als einen Anreiz Ihre bestehende IT-Systeme zu prüfen und in diese künftig stärker zu investieren. (mb)