Mai 10, 2021

Kreativitätsbooster: LEGO® im Einsatz bei DSGVO Themen

Seit 2016 gilt die EU Datenschutz-Grundverordnung zum Schutz der Daten natürlicher Personen. In der Verordnung sind unter anderem die Grundsätze und Rechtmäßigkeit der Verarbeitung personenbezogener Daten, aber auch die Rechte der betroffenen Personen, aufgelistet. Diese schaffen eine einheitliche Basis, die den Schutz personenbezogener Daten innerhalb der Europäischen Union sichergestellt, sowie den freien Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet.

Sicht des Endverbrauchers

Für den End-Verbraucher klingt das ganz sinnvoll und verständlich: „Meine Daten sind nur für relevante Zwecke von Dritten zu nutzen. Ich kann mitbestimmen, welche Daten sie von mir halten und welche zu löschen sind.“

Sicht des Unternehmens

Von der Unternehmensseite ist die DSGVO aber etwas komplizierter umzusetzen: „Als wir den Vertrag mit dem Kunden abgeschlossen haben, sind seine Daten in einem zentralen Kundenmanagement System abgelegt worden. Im Laufe der Geschäftsbeziehung sind viele Kopien von seinen personenbezogenen Daten gemacht worden, sowohl in Papierform als auch digital und dadurch auf anderen Systemen verteilt. Jetzt ist das Ende des Geschäftsverhältnisses erreicht und wir müssen seine Daten löschen. Jedoch brauchen wir diese, um unsere Buchführung durchzuführen und Jahresabschlussberichte zu erstellen. Dürfen wir die personenbezogenen Daten des Kunden trotzdem noch behalten? Und wenn ja, wie lange? Übrigens, gerade führen wir eine Marktanalyse über die Kaufvorlieben unserer Kunden durch. Dürfen wir ihre personenbezogenen Daten anonymisiert weiterverarbeiten?“ 

Die DSGVO Herausforderung

Im Rahmen der Beratung zur Umsetzung der DSGVO für ein Unternehmen, haben wir also festgestellt, dass dieses Thema gar nicht mal so einfach zu greifen ist, vor allem, wenn das Unternehmen es gerade zum ersten Mal einführt und die Geschäftsleitung sich erstmalig damit auseinandersetzt. Die DSGVO führt viele neue Begriffe und Rollen ein und fordert einen anderen Blickwinkel auf die Datenverarbeitung innerhalb des Unternehmens heraus.

Je nach Geschäftsprozess werden in jedem Unternehmensbereich Dokumente sowohl in Papier- als auch in digitaler Form erzeugt, kopiert, verschoben und gespeichert. Dabei sind manche Dokumente bereichsübergreifend, sodass sie in einem zentralen Ablageort abgelegt wurden. Die Variabilität der Dokumententypen und deren Abhängigkeit vom Geschäftsprozess machen es den Experten besonders schwer, die DSGVO-Richtlinien in einem Unternehmen sinnvoll einzuführen.

Unsere Lösung

Um das abstrakte DSGVO-Konzept zu veranschaulichen, haben wir uns einen spielerischen Ansatz überlegt, der sogar die Kreativität fördert. Durch haptische und visuelle Darstellung wird die Abstraktion reduziert und somit werden theoretische Konzepte anfassbar. Außerdem wird es durch den Einsatz von Gamification erreicht, sich in die erklärte Situation hinein zu versetzen und ein besseres Verständnis darüber zu entwickeln.

Mithilfe von LEGO® Serious Play haben wir die interagierenden Unternehmensbereiche Personal und Finanzen mit ihren Dataownern nachgebaut. Der Datenfluss wird durch farbkodierte Klemmbausteine dargestellt. Die Farbkodierung ergibt den dazugehörigen Datentyp. Zum Beispiel sind in Rot die digital gespeicherten Daten gekennzeichnet. Alle Bereiche können Daten im Zentralen Datenverarbeitungssystem und im digitalen Archivsystem speichern. Operative Querschnittsbereiche, wie der Bereich Finanzen, benötigen Daten wiederum aus allen dezentralen Bereichen, wie dem Bereich der Personaldaten. Es gibt also digitale Schnittstellen und zu beachtende Datenabhängigkeiten bei den roten Klemmbausteinen. Durch blaue Klemmbausteine sind Daten aus dem E-Mail-Verkehr dargestellt, die den Charakter von Geschäftsbriefen und Terminen haben können. Weiße stellen dagegen Papierdokumente dar, die in allen Bereichen erzeugt und irgendwann im zentralen Aktenablagesystem landen.

LEGO® Darstellung der Datenflüsse im Unternehmen

Die Rolle der fachlichen DSGVO - Berater ist anhand der Figuren im Boot dargestellt. Sie „segeln“ durch alle Bereiche und nehmen dabei die Geschäftsprozesse und die dazugehörigen Dokumente auf. Die darauffolgende Analyse resultiert in dem Konzept, welches eine optimale Implementierung der DSGVO-Richtlinien in dem konkreten Unternehmen liefert. Dabei werden Lösch- und Sperrvorgänge je nach Datenart vorgeschrieben, die dem täglichen Kerngeschäft des Unternehmens nicht in die Quere kommen, also Abhängigkeiten beachten, oder sogar mit anderen, bereits laufenden Vorgängen, integriert werden können.

Der Einsatz der DSGVO kann von Unternehmenssicht erstmal etwas mühsam wirken. Jedoch gibt es dabei auch eine sonnige Seite. Unternehmen können diese Möglichkeit nutzen, um einen detaillierten Überblick über die Systemlandschaft zusammen mit ihrem Dokumentenverkehr, ihren Schnittstellen und Datenflüssen zu schaffen.


Verwandte Beiträge

Warum deine Kritzelei so wertvoll ist – auch wenn du nicht Monet oder van Gogh heißt
Prozessmanagement für die Enterprise Software Entwicklung: Semesterprojekt mit der Humboldt Universität zu Berlin