Nachrichten

PME, TPE, Start-ups: Wie kann man das RGPD anwenden?

Houston,

Par Guillaume | Möglichkeit

Die Commission nationale informatique et libertés (Cnil) und Bpifrance haben am 17. April einen praktischen Leitfaden veröffentlicht, der KMU und TPE dabei helfen soll, die komplexe europäische Datenschutzverordnung (RGPD) anzuwenden, die am 25. Mai in Kraft tritt. Was können PME, TPE und Start-ups weltweit tun, um das Gesetz umzusetzen?

Die Unternehmen hatten einen großen Bedarf. Nach den unterschiedlichen Einschätzungen der Beratungsgremien hat die überwiegende Mehrheit der französischen Unternehmen (zwischen 50% und 70%) noch nicht mit der Vorbereitung begonnen, und weniger als 20% werden am 25. Mai nächsten Jahres erwartet, wenn die europäische Datenschutzverordnung (RGPD) in Kraft tritt. Der Text, der 2016 in Brüssel verabschiedet wurde, erlegt allen Unternehmen, die personenbezogene Daten verarbeiten (Start-ups, TPE, PME, ETI, große Konzerne), eine Reihe von Verpflichtungen in Bezug auf die Verarbeitung und Nutzung personenbezogener Daten ihrer Kunden und Angestellten auf. Mit der digitalen Revolution ist quasi die ganze Welt davon betroffen, vom TPE im Büro mit seinen Kundendaten bis zum multinationalen Unternehmen.

Während die großen Konzerne über die notwendigen finanziellen und personellen Mittel für die Umsetzung verfügen, ist dies für die KMU und die TPE, die fast die Gesamtheit der 4 Millionen aktiven Unternehmen in Frankreich ausmachen, nicht zwangsläufig der Fall. Um ihnen zu helfen, haben die Commission nationale informatique et liberté (Cnil) und Bpifrance in Anwesenheit des Staatssekretärs für Numérique, Mounir Mahjoubi, am Mittwoch einen praktischen Leitfaden vorgestellt, der den PME erklärt, wie sie die Bestimmungen der Verordnung am besten anwenden können.

Vaincre la peur du RGPD

Dieser klare und pädagogische Leitfaden soll Kleinstunternehmen dabei helfen, zu verstehen, was die RGPD ist, wozu sie nützlich ist und wie sie die Bestimmungen des Textes in ihre Arbeitsabläufe integrieren können. Er hilft z.B. bei der Erstellung und Sicherung des Datenregisters und erläutert wichtige Begriffe wie die Sichtung von Daten und die ausdrückliche Zustimmung der betroffenen Kunden oder Lieferanten.

" Die Verpflichtungen des RGPD stehen im Verhältnis zur Größe der Unternehmen. Die kleinsten von ihnen haben jedoch nicht die Möglichkeit, ein Beratungsgremium, einen Rechtsanwalt oder eine Anwältin zu bezahlen. Die Bedeutung eines Leitfadens für das RGPD ist vor allem eine Chance für PME/TPE, durch die Valorisierung von Daten das Internet zu nutzen", schätzt Mounir Mahjoubi ein.

Isabelle Falque-Pierrotin wiederum betonte die Notwendigkeit eines Diskurswechsels in Bezug auf die Regulierung und minimierte die durch die RGPD auferlegten Einschränkungen für die PME/TPE:

Man wollte diese vage Befürchtung beenden, die besagt, dass die RGPD zum Nachteil der Unternehmen und insbesondere der Kleinstunternehmen ist. Das ist eine falsche Herangehensweise, denn die RGPD ist einfach für die TPE/PME, es gibt keine zwingenden neuen Hindernisse, es sind vielmehr Prinzipien des guten Willens." so Isabelle Falque-Pierrotin, die Präsidentin des Cnil.

Die RGPD stellt für Unternehmen, die sich bereits an frühere Regelungen wie das Datenschutzgesetz von 1978 und die 2004 überarbeitete europäische Richtlinie von 1995 halten, vor allem einen "Toilettengang" dar.

Problem: In der Realität sind viele Unternehmen aufgrund der Komplexität des Wandels überfordert. Es muss gesagt werden, dass vor der RGPD die Vorschriften nicht so widersprüchlich waren, dass sie die meisten Unternehmen dazu veranlasst hätten, sie in vollem Umfang einzuhalten. Dennoch können die Regulierungsbehörden zusätzlich zu den neuen Grundsätzen und Rechten Änderungen einführen, die bis zu 4% des Weltumsatzes eines Unternehmens ausmachen.

Warum sollte das bei vielen Unternehmen Panik auslösen, auch wenn Isabelle Falque-Pierrotin einräumt, dass die Kontroll- und Sanktionsmaßnahmen bei weitem nicht ausreichen, um eine strikte Anwendung der Vorschriften durch alle betroffenen Unternehmen zu gewährleisten. Für Nicolas Dufourcq, den Direktor von Bpifrance, ist das Problem in vielen Unternehmen immer noch präsent:

" Man muss sich darüber im Klaren sein, dass die Kunden bereit sind, eine Menge Daten für eine digitale Karte zu spenden, aber sie verlangen im Gegenzug ein höheres Schutzniveau, das sie bisher nicht hatten", erklärte er.

Douleur puis enthousiasme chez ceux qui ont franchi le pas

Zwar befinden sich in Frankreich nur wenige Unternehmen in einer konformen Situation, doch diejenigen, die seit mehr als einem Monat an dieser Frage arbeiten, sind bereits im Vorteil. Dies ist der Fall bei Huckink, TPE mit 7 Mitarbeitern, einer Filiale der PME Welljob, die sich auf die Einrichtung von Arbeitsplatzsuchsystemen in Durchgangsorten spezialisiert hat. Nathalie Daoud, die Entwicklungsdirektorin von Huclink, ist der Ansicht, dass die Konformitätsprüfung dem Unternehmen, das mit zahlreichen Partneragenturen zusammenarbeitet, eine erhebliche Verbesserung seiner Prozesse ermöglicht hat:

" Man darf nicht vergessen, dass man anfangs sagte: "Das ist eine große Einschränkung", und es ist sehr schwierig, die Menschen intern zu mobilisieren, damit sie sich mit dem Thema befassen. Dann haben wir an Seminaren zum Thema RGPD teilgenommen, uns mit anderen Verbänden über bewährte Praktiken ausgetauscht, unseren eigenen, von einem Datenschutzbeauftragten überwachten Aktionsplan aufgestellt, und das hat uns geholfen, zu verstehen, welche Daten wir verwenden, warum, und unsere internen Prozesse vollständig zu überdenken", sagt sie.

Trotz der Schwierigkeiten hat der amerikanische Logikhersteller Pros (1.300 Angestellte, davon ein Hundert in Frankreich), der Lösungen für die Preisgestaltung und Abgaben für Unternehmen in der ganzen Welt vertreibt, auch eine Lösung gefunden, um an der RGPD teilzunehmen:

" Die Konformität ist sehr schnell, denn trotz der Silo-Logik müssen alle Dienste im Haus untergebracht werden. Auch auf rechtlicher Ebene ist sie sehr komplex, denn es müssen alle Verträge mit Anbietern und Kunden überarbeitet werden, was eine Vielzahl von Interaktionen erfordert, die die gesamte Welt in Atem halten. Im Grunde genommen zwingt uns die Verpflichtung zur ausdrücklichen Zustimmung dazu, die Daten in unseren ruhenden Datenbanken zu speichern. Am Ende werden wir zwar an Umfang verlieren, aber an Qualität gewinnen. Nos bases seront mieux qualifiées et nous pourrons mieux les valoriser. Das ist positiv", sagt Virginie Dupin, Vizepräsidentin für Marketing in Europa und im Nahen Osten.

Das Gleiche gilt für Nicolas Berbigier, den Geschäftsführer und Mitgründer des Start-ups Famoco (120 Mitarbeiter), das NFC-Lösungen vertreibt.

" Le RGPD nous a forcés à nous remettre à niveau sur la sécurité des données. Da wir sensibel mit den Daten umgehen, hat er auch ein neues Verkaufsargument für die Unternehmen geschaffen, die ihren Kunden nun besser erklären können, wie man mit den Daten umgeht, und die daher das Produkt besser kennen", erklärte er.

Für die Kommission ist es vor allem wichtig, dass die Unternehmen mit der Umsetzung der Richtlinie beginnen. " Die Regulierungsbehörde ist nicht da, um zu sanktionieren, sondern um allen Unternehmen dabei zu helfen, sich an den europäischen Standard anzupassen, der bald weltweit für Personaldaten gelten wird., so Isabelle Falque-Pierrotin. Qui promet que la Cnil " ne va pas fondre sur les entreprises pour les sanctionner "aber es wird auch eine " courbe d'apprentissage "... du moment qu'un effort est réalisé.