Die Berater merken, dass, jetzt wo es nur noch sechs Wochen dauert, bis das AVG in Kraft tritt, die Nervosität in einigen Betrieben zunimmt. "Die Betriebe wissen inzwischen, dass das AVG im Anmarsch ist, dass die Regeln recht streng sind und dass es nach dem 25. Mai keine Kulanzperiode mehr geben wird", sagt Meryem. "Dadurch, dass die Situationen verschiedener Unternehmen sehr unterschiedlich sein können und die Terminologie für viele Betriebe nicht einfach zu verstehen ist, bekommen wir viele Fragen, wie diese Verordnung in der Praxis angewandt werden kann, damit viele Betriebe sie in der Praxis handhaben können. Aus dem Grund haben wir für Kunden einen 6-Stufen-Plan erstellt, mit dem sie in Aktion kommen können. Fragen, die darin gestellt werden, sind: Mit welchen empfindlichen Informationen hat man als Betrieb zu tun? Welche Risikos hat man als Organisation? usw..
"Wir beginnen darum oft damit, unsere Kunden erst kurz zu scannen. Es ist nämlich ein gravierender Unterschied, ob das Unternehmen aus fünf oder fünftausend Mitarbeitern besteht und ob das Unternehmen international oder nur in den Niederlanden aktiv ist", fährt Julien fort. "Wie streng dieses Gesetz letztendlich gehandhabt wird, kann ich natürlich schlecht abschätzen. Vielleicht wird die Suppe nicht so heiss gegessen, wie sie gekocht wird aber um die Suppe können wir nicht mehr herum, die ist da. Die Frage ist nun nicht, wie hoch sind die Strafen im Falle einer Zuwiderhandlung sondern, ob sie als Unternehmen nachweisen können, dass Sie mit vertraulichen Daten vernünftig umgehen. Da jedes Unternehmen mit persönlichen Daten arbeitet, betrifft es auch jeden. Bei einer Datenschutzerklärung muss man nicht zwingend an hochtrabende Dinge denken, man muss aber auf Papier stehen haben, wer man ist, was man tut und welche Rechte die Leute haben und man muss erklären, für welchen Grund Daten nötig sind und ob sie gespeichert werden oder nicht."
"Geschäftsleitungen neigen gelegentlich dazu, Angelegenheiten wie das AVG zu delegieren und es z. B. vom Buchhalter erledigen zu lassen. So soll es jedoch nicht sein und es ist auch nicht rechtmässig", warnt Meryem. "Selbstverständlich muss ein Direktor oder ein Vorstandsvorsitzender nicht alles selbst heraus finden aber letztendlich ist er oder sie verantwortlich. Nicht umsonst wurde an das AVG eine Mangementhaftung verbunden. Wir stellen in der Praxis auch fest, dass Projekte, die unter der Verantwortung der Direktion geleitet werden, viele Male erfolgreicher sind als wenn der x-te Lenkungsausschuss die Leitung hat."
Im O&G-Sektor ist vor allem die Datenqualität eine heisses Eisen. "Aufgrund der geringen Margen wollen Betriebe die Optimierung der Ketten realisieren. Hierfür werden sehr viele Daten mit unterschiedlichen Hilfsmitten gesammelt. In der Kette wird enorm viel registriert aber die Sicherheit der Daten ist oftmals minimal. Darum ist es wichtig, zu vermeiden, dass Daten lecken", setzt Meryem fort. "Oftmals liegen diese Daten bei externen Netzbetreibern, was aber keine Entschuldigung ist. Denn auch wenn man etwas auslagert, trägt man die Verantwortung, dass alles korrekt geregelt ist. Es ist möglich, dass das löschen von Back-Ups für Softwarelieferanten viel Arbeit bedeutet und mehr Anpassungen nötig sind als anfänglich erwartet. Das darf jedoch für IT-Lieferanten kein Grund sein, sich zu widersetzen. Wir sehen, dass viele Betriebe aus dem Gebiet der Automatisierung noch eine ganze Menge zu tun haben."
"Kunden haben ausserdem Schwierigkeiten mit den juristischen Aspekten. Ein Prozessordokument wird als schwerwiegendes juristisches Dokument betrachtet und dafür gibt es keinen Zaubertrunk. Deshalb empfehlen wir unseren Kunden immer, ihren Geschäftsbeziehungen in die Augen zu schauen und dafür zu sorgen, dass die Bedingungen, die beide Parteien erfüllen müssen, klar und deutlich sind. Dieses ist besser als sich hinterher in eine Diskussion zu verwickeln, wer der Schuldige ist", sagt Julien. Er selbst sieht in dem AVG eine gute Massnahme für den Erhalt der Privatsphäre. "Mit mindestens 80% der Rechtsvorschriften bin ich sehr zufrieden. Die sorgen dafür, dass die Unternehmen in der Kette gute Vereinbarungen über Datenschutzfragen treffen, und ich sehe auch, dass die Kette sich verantwortlich fühlt, dass dieses Thema korrekt gehandhabt wird. Ein Beispiel aus der Praxis ist, dass Betriebe oftmals für Kollegen die ins Ausland müssen, ein Visum beantragen, ohne jedoch die Erlaubnis des betroffenen Mitarbeiters eingeholt zu haben, eine Kopie des Reisepasses erstellen zu dürfen. Durch das AVG werden nun Dokumente erstellt, mit denen Kollegen Zustimmung geben können, dass diese Daten genutzt werden können."
"Dabei ist das AVG kein einzementiertes Gesetz und stark abhängig von den speziellen Eigenschaften der entsprechenden Organisation. Man kann nicht einfach einen Vordruck von einer anderen Organisation kopieren. Das AVG zwingt sie, die eigene Situation gut unter die Lupe zu nehmen. In meinen Augen ist es vor allem eine Verpflichtung, sich auseinander zu setzen als Resultate zu erzielen. Dadurch, dass sie ihr eigene Datenschutzerklärung erstellen, können sie eine Risikoanalyse erstellen und erfassen, was für die eigenen Organisation wohl oder nicht wichtig ist. Eine goldene Regel ist hierbei: benutzen Sie Ihren gesunden Menschenverstand. Wenn Abmachungen getroffen werden und sie auch transparent sind, dann hat man zwar noch eine ganze Menge Arbeit aber dann hat man schon einen grossen Schritt gemacht!"
Für mehr Informationen:
Julien Spronck / Meryem Sabotic-Deniz
BDO
+31 (0) 30-28 40 981 / +31 (0)70-338 07 56
julien.spronck@bdo.nl
Meryem.Deniz@bdo.nl
www.bdo.nl/nl-nl/branches/flowers-food